VPC Service Controls 可以帮助您的组织降低 Google 托管服务(如 Cloud Storage 和 BigQuery)的数据渗漏风险。本页面介绍了 Data Catalog 如何与 VPC Service Controls 服务边界内的资源互动。
本文档中的示例使用 BigQuery 来演示 Data Catalog 如何与边界交互。但是,Data Catalog 以同样的方式遵循所有 Google 存储系统(包括 Cloud Storage 和 Pub/Sub)的边界。
示例
如需了解 Data Catalog 如何与边界交互,请参考下图。
图中有两个 Google Cloud 项目:Project A 和 Project B。已为 Project A 建立服务边界,且 BigQuery 服务受到边界的保护。用户尚未通过加入许可名单的 IP 或用户身份获得边界的访问权限。Project B 不在边界范围内。
Project B 拥有 Data Catalog 访问权限,但对 Project A 没有访问权限。
此配置的结果如下:
- Data Catalog 将继续同步这两个项目中的 BigQuery 元数据。
- 用户可以通过 BigQuery 访问
Project B的数据和元数据,并使用 Data Catalog 搜索或标记其元数据。 - 用户无法访问 BigQuery 中的
Project A数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。
自定义集成资产
Data Catalog 能够集成来自其他云和本地数据源的资产。此类素材资源称为自定义集成素材资源。如果未将 Data Catalog 添加到 VPC Service Controls 边界,用户仍然可以访问自定义集成资源,即使对于未列入许可名单的边界内的项目也是如此。
在以下示例中,自定义集成资源已添加到第一个示例中的 Project A 和 Project B。此示例中的用户仍然没有边界访问权限。
Project B 和 Projects A 和 B 中的自定义集成元数据的 Data Catalog 访问权限。
此配置的结果如下:
- 用户可以通过 BigQuery 访问
Project B的数据和元数据,并使用 Data Catalog 搜索或标记其元数据。 - 用户无法访问 BigQuery 中的
Project A数据或元数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。 - 用户可以使用 Data Catalog 来搜索或标记
Project A和Project B中自定义集成资产的元数据。
限制对自定义集成资产的访问权限
您可以使用服务边界来保护 Data Catalog API,从而限制对自定义集成资产的访问权限。以下示例通过为 Project B 的 Data Catalog 服务添加边界,对第二个示例进行子扩展:
Project B 和 Project A 中的自定义集成元数据拥有 Data Catalog 访问权限。
此配置的结果如下:
- 未向
Project A的边界添加 Data Catalog,因此用户可以搜索或标记Project A中自定义集成资产的元数据。 - Data Catalog 已添加到
Project B的边界中,因此用户无法在Project B中搜索或标记自定义集成资产的元数据。 - 与第一个示例一样,用户无法访问 BigQuery 中的
Project A数据或元数据,因为它们已被边界屏蔽。他们也无法使用 Data Catalog 搜索或标记 BigQuery 元数据。 - 虽然已为
Project B建立了服务边界,但 BigQuery 服务已添加到该边界。这意味着,用户可以通过 BigQuery 访问Project B数据或元数据,并使用 Data Catalog 搜索或标记 BigQuery 元数据。
数据沿袭支持
受限虚拟 IP (VIP) 支持数据传承。如需了解详情,请参阅受限 VIP 支持的服务。