Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls mit Dataplex Universal Catalog

In diesem Dokument wird beschrieben, wie Sie Ihre Dataplex Universal Catalog-Dienste mit VPC Service Controls (VPC-SC) schützen.

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Dataplex Universal Catalog-Dienste, um das Risiko einer Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen. Solche Dienstperimeter schützen Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten. Weitere Informationen finden Sie unter VPC Service Controls.

Dataplex Universal Catalog-Ressourcen werden über die dataplex.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Sie richten VPC Service Controls mit Dataplex Universal Catalog ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.

Beschränkungen

Bevor Sie Dataplex Universal Catalog-Ressourcen erstellen, müssen Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Andernfalls sind Ihre Ressourcen nicht durch einen Perimeter geschützt. Dataplex Universal Catalog unterstützt die folgenden Ressourcentypen:

Lake
Assets
Datenprofilscan
Datenqualitätsscan

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur auf eine Weise mit Google APIs und Diensten kommunizieren können, die von VPC Service Controls unterstützt wird und der Richtlinie des zugehörigen Perimeters entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Dataplex Universal Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Wenn Sie dem Perimeter vorhandene Dataplex Universal Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataplex Universal Catalog API zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataplex Universal Catalog exfiltriert werden, z. B. mithilfe von Dataplex Universal Catalog-APIs, müssen Sie die Dataplex Universal Catalog API einschränken.

So fügen Sie die Dataplex Universal Catalog API als eingeschränkten Dienst hinzu:

Console

Rufen Sie in der Google Cloud -Console die Seite „VPC Service Controls“ auf.

Zu „VPC Service Controls“
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
Fügen Sie die Dataplex Universal Catalog API hinzu.
Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud access-context-manager perimeters update aus:
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
Ersetzen Sie Folgendes:
- PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter
- POLICY_ID: Die ID der Zugriffsrichtlinie

Optional: Zugriffsebene erstellen

Mit Zugriffsebenen können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Unterstützung von Data Lineage

Die Datenherkunft wird von der eingeschränkten virtuellen IP (VIP) unterstützt. Weitere Informationen finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

VPC Service Controls mit Dataplex Universal Catalog Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.