Controlli di servizio VPC possono aiutare la tua organizzazione a ridurre i rischi di esfiltrazione di dati da servizi gestiti da Google come Cloud Storage e BigQuery. Questa pagina mostra come Data Catalog interagisce con le risorse all'interno di un perimetro di servizio Controlli di servizio VPC.
Gli esempi in questo documento utilizzano BigQuery per dimostrare come Data Catalog interagisce con i perimetri. Tuttavia, Data Catalog rispetta i perimetri di tutti i sistemi di archiviazione Google allo stesso modo, inclusi Cloud Storage e Pub/Sub.
Esempio
Per capire in che modo Data Catalog interagisce con i perimetri, considera il seguente diagramma.
Nel diagramma sono presenti due progetti Google Cloud:
Project A
e Project B
. Viene stabilito un perimetro di servizio attorno a Project A
e il servizio BigQuery è protetto dal perimetro. All'utente non è stato concesso l'accesso al perimetro tramite un
identità utente o un
IP in una lista consentita.
Project B
non si trova all'interno del perimetro.
Di seguito è riportato il risultato di questa configurazione:
- Data Catalog continua a sincronizzare i metadati BigQuery da entrambi i progetti.
- L'utente può accedere ai dati e ai metadati di
Project B
da BigQuery e cercare o taggare i metadati con Data Catalog. - L'utente non può accedere ai dati
Project A
in BigQuery, poiché sono bloccati dal perimetro. Inoltre, l'utente non può cercare o taggare i metadati con Data Catalog.
Asset integrati personalizzati
Data Catalog è in grado di integrare asset da altri cloud e origini dati on-premise. Si chiamano asset integrati personalizzati. Se Data Catalog non viene aggiunto al perimetro di Controlli di servizio VPC, gli utenti possono comunque accedere alle risorse integrate personalizzate, anche per i progetti nei perimetri in cui non sono presenti in una lista consentita.
Nell'esempio seguente, gli asset integrati personalizzati sono stati aggiunti sia a Project A
sia a Project B
del primo esempio. L'utente in questo esempio non ha ancora accesso al perimetro.
Di seguito è riportato il risultato di questa configurazione:
- L'utente può accedere ai dati e ai metadati di
Project B
da BigQuery e cercare o taggare i metadati con Data Catalog. - L'utente non può accedere ai dati o ai metadati
Project A
da BigQuery perché sono bloccati dal perimetro. Inoltre, non possono eseguire ricerche o applicare tag ai relativi metadati con Data Catalog. - L'utente può utilizzare Data Catalog per cercare o taggare i metadati degli asset integrati personalizzati sia in
Project A
sia inProject B
.
Limitare l'accesso agli asset integrati personalizzati
Puoi limitare l'accesso agli asset integrati personalizzati utilizzando un perimetro di servizio per proteggere l'API Data Catalog. Il seguente esempio espande il secondo esempio aggiungendo un perimetro attorno al servizio Data Catalog per Project B
:
Di seguito è riportato il risultato di questa configurazione:
- Data Catalog non viene aggiunto al perimetro per
Project A
, pertanto l'utente può cercare o taggare i metadati degli asset integrati personalizzati inProject A
. - Data Catalog viene aggiunto al perimetro per
Project B
, pertanto l'utente non può cercare o taggare i metadati degli asset integrati personalizzati inProject B
. - Come nel primo esempio, l'utente non può accedere ai dati o ai metadati di
Project A
da BigQuery perché sono bloccati dal perimetro. Inoltre, non possono cercare o taggare i metadati BigQuery con Data Catalog. - Anche se è stato stabilito un perimetro di servizio per
Project B
, viene aggiunto il servizio BigQuery. Ciò significa che l'utente può accedere ai dati o ai metadatiProject B
da BigQuery e cercare o taggare i metadati di BigQuery con Data Catalog.
Supporto della derivazione dei dati
Data Lineage è supportato dall'IP virtuale (VIP) con limitazioni. Per ulteriori informazioni, consulta Servizi supportati dal VIP con limitazioni.