VPC 서비스 제어 경계 및 Data Catalog

VPC 서비스 제어를 사용하면 조직에서 Cloud Storage 및 BigQuery와 같은 Google 관리형 서비스의 데이터 무단 반출 위험을 줄일 수 있습니다. 이 페이지에서는 Data Catalog가 VPC 서비스 제어 서비스 경계 내의 리소스와 상호작용하는 방법을 보여줍니다.

이 문서의 예에서는 BigQuery를 사용하여 Data Catalog가 경계와 상호작용하는 방법을 보여줍니다. 하지만 Data Catalog는 Cloud Storage 및 Pub/Sub를 포함하여 동일한 방식으로 모든 Google 저장소 시스템의 경계를 따릅니다.

예시

Data Catalog가 경계와 상호작용하는 방식을 이해하려면 다음 다이어그램을 참고하세요.

다이어그램에는 Project AProject B의 두 가지 Google Cloud 프로젝트가 있습니다. Project A를 중심으로 서비스 경계가 설정되었으며 BigQuery 서비스는 경계에 의해 보호됩니다. 사용자에게 허용 목록의 IP 또는 사용자 ID를 통한 경계 액세스 권한이 부여되지 않았습니다. Project B가 경계 내에 존재하지 않습니다.

프로젝트 A 주변의 VPC 경계로 인해 사용자는 Data Catalog를 통해 프로젝트 B 메타데이터에만 액세스합니다.
그림 1. 사용자에게 BigQuery Project B에 대한 Data Catalog 액세스 권한이 있지만 Project A에는 없습니다.

이 구성의 결과는 다음과 같습니다.

  • Data Catalog는 두 프로젝트의 BigQuery 메타데이터를 계속 동기화합니다.
  • 사용자는 BigQuery에서 Project B의 데이터와 메타데이터에 액세스하고 Data Catalog로 메타데이터를 검색 또는 태그할 수 있습니다.
  • 사용자가 경계에 의해 차단되었기 때문에 BigQuery에서 Project A 데이터에 액세스할 수 없습니다. 또한 사용자는 Data Catalog로 메타데이터를 검색하거나 태그를 지정할 수 없습니다.

커스텀 통합 애셋

Data Catalog는 다른 클라우드 및 온프레미스 데이터 소스의 애셋을 통합할 수 있습니다. 이를 커스텀 통합 애셋이라고 합니다. Data Catalog가 VPC 서비스 제어 경계에 추가되지 않은 경우 사용자는 허용 목록에 포함되지 않은 경계 내부의 프로젝트에서도 커스텀 통합 애셋에 계속 액세스할 수 있습니다.

다음 예시에서는 첫 번째 예시Project AProject B에 모두 커스텀 통합 애셋이 추가되었습니다. 이 예시의 사용자는 여전히 경계 액세스 권한이 없습니다.

프로젝트 A 주변의 VPC 경계로 인해 사용자는 프로젝트 B 및 프로젝트 A와 B의 맞춤 통합 데이터에만 액세스합니다.
그림 2. 사용자에게 BigQuery Project BProjects AB의 맞춤 통합 메타데이터에 대한 Data Catalog 액세스 권한이 있습니다.

이 구성의 결과는 다음과 같습니다.

  • 사용자는 BigQuery에서 Project B의 데이터와 메타데이터에 액세스하고 Data Catalog로 메타데이터를 검색 또는 태그할 수 있습니다.
  • 사용자가 경계에 의해 차단되었기 때문에 BigQuery에서 Project A 데이터 또는 메타데이터에 액세스할 수 없습니다. 또한 Data Catalog로 메타데이터를 검색하거나 태그를 지정할 수 없습니다.
  • 사용자는 Data Catalog를 사용하여 Project AProject B에서 커스텀 통합 애셋의 메타데이터를 검색하거나 태그할 수 있습니다.

커스텀 통합 애셋에 대한 액세스 제한

서비스 경계를 사용하여 Data Catalog API를 보호하여 커스텀 통합 애셋에 대한 액세스를 제한할 수 있습니다. 다음 예에서는 Project B의 Data Catalog 서비스 주위에 경계를 추가하여 두 번째 예시를 확장합니다.

프로젝트 A 주변의 VPC 경계와 프로젝트 B의 맞춤 통합 데이터로 인해 사용자는 프로젝트 B 및 프로젝트 A의 맞춤 데이터에만 액세스합니다.
그림 3. 사용자에게 Project B에 대한 Data Catalog 액세스 권한이 있고 Project A에 맞춤 통합 메타데이터가 있습니다.

이 구성의 결과는 다음과 같습니다.

  • Data Catalog가 Project A의 경계에 추가되지 않았으므로 사용자는 Project A에서 커스텀 통합 애셋의 메타데이터를 검색하거나 태그할 수 있습니다.
  • Data Catalog가 Project B의 경계에 추가되어 사용자는 Project B의 커스텀 통합 애셋에 대한 메타데이터를 검색하거나 태그할 수 없습니다.
  • 첫 번째 예시에서와 같이 사용자는 경계에 의해 차단되므로 BigQuery에서 Project A 데이터 또는 메타데이터에 액세스할 수 없습니다. 또한 Data Catalog로 BigQuery 메타데이터를 검색하거나 태그할 수 없습니다.
  • Project B에 대한 서비스 경계가 설정되었으나 BigQuery 서비스는 추가됩니다. 즉, 사용자는 BigQuery에서 Project B 데이터 또는 메타데이터에 액세스하고 Data Catalog로 BigQuery 메타데이터를 검색 또는 태그할 수 있습니다.

데이터 계보 지원

데이터 계보는 제한된 가상 IP(VIP)에서 지원됩니다. 자세한 내용은 제한된 VIP에서 지원하는 서비스를 참고하세요.