VPC Service Controls の境界と Data Catalog

VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google マネージド サービスからデータが引き出されるリスクを軽減できます。このページでは、Data Catalog が VPC Service Controls サービス境界内でリソースとどのようにやり取りするかについて説明します。

このドキュメントの例では、BigQuery を使用して、Data Catalog が境界とやり取りする方法を示します。ただし、Data Catalog では、Cloud Storage と Pub/Sub を含むすべての Google ストレージ システムの周囲の境界が同じ方法で考慮されます。

Data Catalog が境界とやり取りする方法をわかりやすくするため、次の図を考えます。

この図には、Project AProject B の 2 つの Google Cloud プロジェクトがあります。Project A の周囲にはサービス境界が確立されていて、BigQuery サービスは境界によって保護されます。許可リストに登録された IP またはユーザー ID を使用した境界へのアクセスは許可されていません。Project B は境界の内側にありません。

プロジェクト A の VPC 境界により、ユーザーは Data Catalog を介してプロジェクト B のメタデータのみにアクセスします。
図 1: ユーザーは BigQuery Project B に対して Data Catalog のアクセス権がありますが、Project A に対してはありません。

この構成の結果は次のようになります。

  • Data Catalog は引き続き、両方のプロジェクトから BigQuery のメタデータを同期します。
  • ユーザーは BigQuery から Project B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery の Project A データにアクセスできません。また、ユーザーはそのメタデータを Data Catalog で検索 / タグ付けすることもできません。

カスタム統合アセット

Data Catalog は、他のクラウドやオンプレミスのデータソースからアセットを統合できます。これらはカスタム統合アセットと呼ばれます。Data Catalog が VPC Service Controls の境界に追加されていない場合でも、ユーザーはカスタム統合アセットにアクセスできます。これは、ユーザーがホワイトリストに登録されていない境界のプロジェクトでも同様です。

次の例では、最初の例Project AProject B の両方に、カスタム統合アセットが追加されています。この例のユーザーは、依然として境界にアクセスできません。

プロジェクト A の VPC 境界により、ユーザーはプロジェクト B とプロジェクト A と B のカスタム統合データのみにアクセスできます。
図 2.ユーザーは、BigQuery Project BProjects AB のカスタム統合メタデータに対して Data Catalog のアクセス権を持っています。

この構成の結果は次のようになります。

  • ユーザーは BigQuery から Project B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery から Project A のデータまたはメタデータにアクセスできません。また、Data Catalog でメタデータを検索 / タグ付けすることもできません。
  • ユーザーは、Data Catalog を使用して、Project AProject B の両方のカスタム統合アセットのメタデータを検索 / タグ付けできます。

カスタム統合アセットへのアクセスを制限する

サービス境界を使用して Data Catalog API を保護することで、カスタム統合アセットへのアクセスを制限できます。次の例では、Project B の Data Catalog サービスの周囲に境界を追加して、2 番目の例を拡張しています。

プロジェクト A の VPC 境界とプロジェクト B のカスタム統合データでにより、ユーザーはプロジェクト B とプロジェクト A のカスタムデータのみにアクセスできます。
図 3. ユーザーには、Project BProject A のカスタム統合メタデータに対する Data Catalog のアクセス権があります。

この構成の結果は次のようになります。

  • Data Catalog は Project A の境界に追加されていないため、ユーザーは Project A のカスタム統合アセットのメタデータを検索またはタグ付けできます。
  • Data Catalog が Project B の境界に追加されているため、ユーザーは Project B のカスタム統合アセットのメタデータを検索またはタグ付けできません。
  • 最初の例で説明したように、ユーザーは境界でブロックされているため、BigQuery から Project A のデータまたはメタデータにアクセスすることはできません。また、BigQuery のメタデータを Data Catalog で検索 / タグ付けすることもできません。
  • Project B にはサービス境界が確立されていますが、BigQuery サービスは追加されています。つまり、ユーザーは BigQuery から Project B のデータまたはメタデータにアクセスし、Data Catalog で BigQuery のメタデータを検索またはタグ付けできます。

データリネージのサポート

Data Lineage は、制限付き仮想 IP(VIP)でサポートされています。詳細については、制限付き VIP によってサポートされるサービスをご覧ください。