Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Kontrol Layanan VPC
dapat membantu organisasi Anda mengurangi risiko pemindahan data yang tidak sah dari
layanan yang dikelola Google seperti Cloud Storage dan BigQuery.
Halaman ini menunjukkan cara Katalog Data berinteraksi dengan resource di dalam
perimeter layanan Kontrol Layanan VPC.
Contoh dalam dokumen ini menggunakan BigQuery untuk menunjukkan cara
Data Catalog berinteraksi dengan perimeter. Namun,
Data Catalog mematuhi perimeter di sekitar semua sistem penyimpanan Google
dengan cara yang sama, termasuk Cloud Storage dan Pub/Sub.
Contoh
Untuk memahami cara Data Catalog berinteraksi dengan perimeter,
pertimbangkan diagram berikut.
Dalam diagram, ada dua project Google Cloud :
Project A dan Project B. Perimeter layanan dibuat di sekitar
Project A, dan layanan BigQuery dilindungi oleh
perimeter. Pengguna belum diberi akses ke perimeter melalui IP dalam daftar yang diizinkan atau identitas pengguna.
Project B tidak berada di dalam perimeter.
Gambar 1.
Pengguna memiliki akses Data Catalog ke BigQuery
Project B, tetapi tidak ke Project A.
Berikut adalah hasil konfigurasi ini:
Data Catalog terus menyinkronkan metadata BigQuery
dari kedua project.
Pengguna dapat mengakses data dan metadata untuk Project B dari BigQuery,
dan menelusuri atau memberi tag pada metadata-nya dengan Data Catalog.
Pengguna tidak dapat mengakses data Project A di BigQuery karena data tersebut
diblokir oleh perimeter. Pengguna juga tidak dapat menelusuri atau memberi tag pada metadatanya
dengan Data Catalog.
Aset terintegrasi kustom
Data Catalog dapat mengintegrasikan aset dari cloud lain dan sumber data on-premise. Aset ini disebut aset terintegrasi kustom. Jika
Katalog Data tidak ditambahkan ke perimeter Kontrol Layanan VPC,
pengguna tetap dapat mengakses aset terintegrasi kustom, bahkan untuk project di perimeter
yang tidak ada dalam daftar yang diizinkan.
Dalam contoh berikut, aset terintegrasi kustom telah ditambahkan ke
Project A dan Project B dari contoh pertama. Pengguna dalam
contoh ini masih tidak memiliki akses perimeter.
Gambar 2.
Pengguna memiliki akses Data Catalog ke Project B BigQuery dan metadata terintegrasi kustom di Projects A dan B.
Berikut adalah hasil konfigurasi ini:
Pengguna dapat mengakses data dan metadata untuk Project B dari
BigQuery, serta menelusuri atau memberi tag pada metadatanya dengan
Data Catalog.
Pengguna tidak dapat mengakses data atau metadata Project A dari BigQuery karena diblokir oleh perimeter. Mereka juga tidak dapat menelusuri atau memberi tag pada
metadata-nya dengan Data Catalog.
Pengguna dapat menggunakan Data Catalog untuk menelusuri atau memberi tag pada metadata untuk
aset terintegrasi kustom di Project A dan Project B.
Membatasi akses ke aset terintegrasi kustom
Anda dapat membatasi akses ke aset terintegrasi kustom menggunakan perimeter layanan
untuk melindungi Data Catalog API. Contoh berikut memperluas
contoh kedua dengan menambahkan perimeter di sekitar
layanan Data Catalog untuk Project B:
Gambar 3.
Pengguna memiliki akses Data Catalog ke Project B, dan
metadata terintegrasi kustom di Project A.
Berikut adalah hasil konfigurasi ini:
Data Catalog tidak ditambahkan ke perimeter untuk Project A, sehingga
pengguna dapat menelusuri atau memberi tag pada metadata untuk aset terintegrasi kustom di
Project A.
Data Catalog ditambahkan ke perimeter untuk Project B, sehingga
pengguna tidak dapat menelusuri atau memberi tag pada metadata untuk aset terintegrasi kustom di
Project B.
Seperti pada contoh pertama, pengguna tidak dapat mengakses data atau metadata Project A dari BigQuery karena diblokir oleh perimeter.
Mereka juga tidak dapat menelusuri atau memberi tag pada metadata BigQuery dengan
Data Catalog.
Meskipun perimeter layanan dibuat untuk Project B, layanan BigQuery ditambahkan ke dalamnya. Artinya, pengguna dapat mengakses data atau metadata Project B dari BigQuery, dan menelusuri atau memberi tag pada metadata BigQuery dengan Data Catalog.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-02-01 UTC."],[[["\u003cp\u003eVPC Service Controls help mitigate data exfiltration risks from Google-managed services, and Data Catalog respects perimeters around Google storage systems like Cloud Storage, BigQuery, and Pub/Sub.\u003c/p\u003e\n"],["\u003cp\u003eWhen a service perimeter is established around a project, users without perimeter access cannot access the project's data or metadata in BigQuery or use Data Catalog to search or tag its metadata.\u003c/p\u003e\n"],["\u003cp\u003eData Catalog can integrate assets from other clouds and on-premises data sources as custom integrated assets, and users can access these assets even in projects with perimeters if Data Catalog is not added to the perimeter.\u003c/p\u003e\n"],["\u003cp\u003eAccess to custom integrated assets can be limited by adding the Data Catalog API to a service perimeter, preventing users without access from searching or tagging metadata for those assets within the perimeter.\u003c/p\u003e\n"]]],[],null,["# VPC Service Controls perimeters and Data Catalog\n\n[VPC Service Controls](/vpc-service-controls/docs/overview)\ncan help your organization mitigate data exfiltration risks from\nGoogle-managed services like Cloud Storage and BigQuery.\nThis page shows how Data Catalog interacts with resources inside a\nVPC Service Controls service perimeter.\n\nThe examples in this document use BigQuery to demonstrate how\nData Catalog interacts with perimeters. However,\nData Catalog respects perimeters around all Google storage\nsystems in the same way, including Cloud Storage and Pub/Sub.\n\nFor more information about VPC Service Controls and data lineage,\nsee\n[Data lineage support](/dataplex/docs/vpc-sc#lineage-support).\n\nExample\n-------\n\nTo understand how Data Catalog interacts with perimeters,\nconsider the following diagram.\n\nIn the diagram, there are two Google Cloud projects:\n`Project A` and `Project B`. A service perimeter is established around\n`Project A`, and the BigQuery service is protected by the\nperimeter. The user hasn't been granted access to the perimeter through an\nIP on an allowlist or a\n[user identity](/vpc-service-controls/docs/use-access-levels#creating_an_access_level).\n`Project B` isn't inside the perimeter.\n**Figure 1.** User has Data Catalog access to BigQuery `Project B` but not `Project A`.\n\nThe following is the result of this configuration:\n\n- Data Catalog continues to sync BigQuery metadata from both projects.\n- The user can access data and metadata for `Project B` from BigQuery, and search or tag its metadata with Data Catalog.\n- The user can't access `Project A` data in BigQuery, as they're blocked by the perimeter. The user also cannot search or tag its metadata with Data Catalog.\n\n| **Note:** The Data Catalog service isn't added to the perimeter. Rather, Data Catalog respects the existing perimeter around `Project A` and BigQuery.\n\nCustom integrated assets\n------------------------\n\nData Catalog is capable of integrating assets from other clouds\nand on-premises data sources. They are called custom integrated assets. If\nData Catalog isn't added to the VPC Service Controls perimeter,\nusers can still access custom integrated assets, even for projects in perimeters\nwhere they aren't in an allowlist.\n\nIn the following example, custom integrated assets have been added to both\n`Project A` and `Project B` from the [first example](#example). The user in\nthis example still don't have perimeter access.\n**Figure 2.** The user has Data Catalog access to BigQuery `Project B` and custom integrated metadata in `Projects A` and `B`.\n\nThe following is the result of this configuration:\n\n- The user can access data and metadata for `Project B` from BigQuery, and search or tag its metadata with Data Catalog.\n- The user can't access `Project A` data or metadata from BigQuery because they're blocked by the perimeter. They also can't search or tag its metadata with Data Catalog.\n- The user can use Data Catalog to search or tag metadata for the custom integrated assets in both `Project A` and `Project B`.\n\n### Limiting access to custom integrated assets\n\nYou can limit access to custom integrated assets by using a service perimeter\nto protect the Data Catalog API. The following example expands on\nthe [second example](#custom-assets) by adding a perimeter around the\nData Catalog service for `Project B`:\n**Figure 3.** User has Data Catalog access to `Project B`, and custom integrated metadata in `Project A`.\n\nThe following is the result of this configuration:\n\n- Data Catalog isn't added to the perimeter for `Project A`, so the user can search or tag metadata for the custom integrated assets in `Project A`.\n- Data Catalog is added to the perimeter for `Project B`, so the user can't search or tag metadata for the custom integrated assets in `Project B`.\n- As in the [first example](#example), the user can't access `Project A` data or metadata from BigQuery because they're blocked by the perimeter. They also can't search or tag BigQuery metadata with Data Catalog.\n- Even though a service perimeter is established for `Project B`, the BigQuery service is added to it. This means that the user can access `Project B` data or metadata from BigQuery, and search or tag BigQuery metadata with Data Catalog."]]
