Perimetri dei Controlli di servizio VPC e Data Catalog

Controlli di servizio VPC possono aiutare la tua organizzazione a ridurre i rischi di esfiltrazione di dati da servizi gestiti da Google come Cloud Storage e BigQuery. Questa pagina mostra come Data Catalog interagisce con le risorse all'interno di un perimetro di servizio Controlli di servizio VPC.

Gli esempi in questo documento utilizzano BigQuery per dimostrare come Data Catalog interagisce con i perimetri. Tuttavia, Data Catalog rispetta i perimetri di tutti i sistemi di archiviazione Google allo stesso modo, inclusi Cloud Storage e Pub/Sub.

Esempio

Per capire in che modo Data Catalog interagisce con i perimetri, considera il seguente diagramma.

Nel diagramma sono presenti due progetti Google Cloud: Project A e Project B. Viene stabilito un perimetro di servizio attorno a Project A e il servizio BigQuery è protetto dal perimetro. All'utente non è stato concesso l'accesso al perimetro tramite un identità utente o un IP in una lista consentita. Project B non si trova all'interno del perimetro.

A causa del perimetro VPC attorno al progetto A, l'utente accede solo ai metadati del progetto B tramite Data Catalog.
Figura 1. L'utente ha accesso a BigQuery Project B tramite Data Catalog, ma non a Project A.

Di seguito è riportato il risultato di questa configurazione:

  • Data Catalog continua a sincronizzare i metadati BigQuery da entrambi i progetti.
  • L'utente può accedere ai dati e ai metadati di Project B da BigQuery e cercare o taggare i metadati con Data Catalog.
  • L'utente non può accedere ai dati Project A in BigQuery, poiché sono bloccati dal perimetro. Inoltre, l'utente non può cercare o taggare i metadati con Data Catalog.

Asset integrati personalizzati

Data Catalog è in grado di integrare asset da altri cloud e origini dati on-premise. Si chiamano asset integrati personalizzati. Se Data Catalog non viene aggiunto al perimetro di Controlli di servizio VPC, gli utenti possono comunque accedere alle risorse integrate personalizzate, anche per i progetti nei perimetri in cui non sono presenti in una lista consentita.

Nell'esempio seguente, gli asset integrati personalizzati sono stati aggiunti sia a Project A sia a Project B del primo esempio. L'utente in questo esempio non ha ancora accesso al perimetro.

A causa del perimetro VPC attorno al progetto A, l'utente accede solo al progetto B e ai dati integrati personalizzati nei progetti A e B.
Figura 2. L'utente ha accesso a Data Catalog per BigQuery Project B e ai metadati integrati personalizzati in Projects A e B.

Di seguito è riportato il risultato di questa configurazione:

  • L'utente può accedere ai dati e ai metadati di Project B da BigQuery e cercare o taggare i metadati con Data Catalog.
  • L'utente non può accedere ai dati o ai metadati Project A da BigQuery perché sono bloccati dal perimetro. Inoltre, non possono eseguire ricerche o applicare tag ai relativi metadati con Data Catalog.
  • L'utente può utilizzare Data Catalog per cercare o taggare i metadati degli asset integrati personalizzati sia in Project A sia in Project B.

Limitare l'accesso agli asset integrati personalizzati

Puoi limitare l'accesso agli asset integrati personalizzati utilizzando un perimetro di servizio per proteggere l'API Data Catalog. Il seguente esempio espande il secondo esempio aggiungendo un perimetro attorno al servizio Data Catalog per Project B:

A causa del perimetro VPC intorno al progetto A e dei dati integrati personalizzati nel progetto B, l'utente accede solo al progetto B e ai dati personalizzati nel progetto A.
Figura 3. L'utente ha accesso a Data Catalog per Project B e ai metadati integrati personalizzati in Project A.

Di seguito è riportato il risultato di questa configurazione:

  • Data Catalog non viene aggiunto al perimetro per Project A, pertanto l'utente può cercare o taggare i metadati degli asset integrati personalizzati in Project A.
  • Data Catalog viene aggiunto al perimetro per Project B, pertanto l'utente non può cercare o taggare i metadati degli asset integrati personalizzati in Project B.
  • Come nel primo esempio, l'utente non può accedere ai dati o ai metadati di Project A da BigQuery perché sono bloccati dal perimetro. Inoltre, non possono cercare o taggare i metadati BigQuery con Data Catalog.
  • Anche se è stato stabilito un perimetro di servizio per Project B, viene aggiunto il servizio BigQuery. Ciò significa che l'utente può accedere ai dati o ai metadati Project B da BigQuery e cercare o taggare i metadati di BigQuery con Data Catalog.

Supporto della derivazione dei dati

Data Lineage è supportato dall'IP virtuale (VIP) con limitazioni. Per ulteriori informazioni, consulta Servizi supportati dal VIP con limitazioni.