Controles de Servicio de VPC con Dataplex Universal Catalog

En este documento se describe cómo proteger los servicios de Dataplex Universal Catalog mediante Controles de Servicio de VPC (VPC-SC).

Controles de Servicio de VPC proporciona seguridad adicional a tus servicios de catálogo universal de Dataplex para ayudarte a mitigar el riesgo de filtración externa de datos. Con Controles de Servicio de VPC, puedes añadir proyectos a perímetros de servicio que protejan recursos y servicios de solicitudes que crucen el perímetro. Para obtener más información, consulta la descripción general de Controles de Servicio de VPC.

Los recursos de Dataplex Universal Catalog se exponen en la API dataplex.googleapis.com, que te permite realizar operaciones a nivel de servicio, como crear y eliminar servicios. Para configurar Controles de Servicio de VPC con Dataplex Universal Catalog, restringe la conectividad a esta superficie de API.

Funciones compatibles

Cuando proteges Dataplex Universal Catalog con un perímetro de servicio, se admiten las siguientes funciones:

  • Lagos: puedes crear y gestionar lagos de Dataplex Universal Catalog dentro del perímetro.

  • Recursos: puedes gestionar los recursos dentro del perímetro.

  • Recursos de metadatos en Catalog: puedes gestionar recursos de metadatos dentro del perímetro.

  • Exportación de metadatos: puedes exportar metadatos a Dataproc Metastore, lo que requiere una configuración adicional de VPC Service Controls. Para obtener más información, consulta Exportar metadatos a Dataproc Metastore.

  • Estadísticas de datos: puede ejecutar análisis de elaboración de perfiles de datos, calidad de los datos y estadísticas de metadatos.

  • Linaje de datos: puede hacer un seguimiento del linaje de datos mediante la IP virtual (VIP) restringida.

  • Búsqueda de Dataplex: puedes usar la SearchEntriesAPI. Cuando usas la búsqueda de Dataplex Universal Catalog en un proyecto protegido por un perímetro de servicio, los resultados de búsqueda solo incluyen los recursos que están dentro del mismo perímetro. Para obtener más información, consulta Ámbito de búsqueda y Aislar los resultados de búsqueda por entorno con Controles de Servicio de VPC.

Limitaciones

Puedes crear recursos de Universal Catalog de Dataplex antes de configurar el perímetro de seguridad de Controles de Servicio de VPC, pero esos recursos no tendrán protección perimetral.

Por diseño, Controles de Servicio de VPC impide que los recursos de un perímetro de servicio accedan a datos y servicios que estén fuera de ese perímetro. Por ejemplo, los análisis de calidad de los datos y de elaboración de perfiles de datos de Universal Catalog de Dataplex no pueden acceder a fuentes de datos, como tablas de BigQuery o archivos de Cloud Storage, que estén fuera del perímetro de servicio. Del mismo modo, al exportar los resultados de un análisis de datos, la tabla de BigQuery de destino debe estar en un proyecto protegido por el perímetro. Para obtener información sobre cómo conceder acceso a tus recursos protegidos desde fuera del perímetro, consulta Crear un nivel de acceso.

Configurar Controles de Servicio de VPC

Para proteger los recursos de Dataplex Universal Catalog con los Controles de Servicio de VPC, sigue estos pasos:

  1. Configura la red de VPC.
  2. Crea un perímetro de servicio.
  3. Añade proyectos al perímetro.
  4. Añade la API de Dataplex al perímetro de servicio.
  5. Opcional: crea un nivel de acceso.

Configurar la red de nube privada virtual (VPC)

Puedes configurar la red de VPC para restringir el acceso privado a Google con respecto a un perímetro de servicio. De esta forma, los hosts de tu red VPC o de tu red local solo pueden comunicarse con las APIs y los servicios de Google compatibles con Controles de Servicio de VPC de forma que se ajuste a la política del perímetro asociado.

Para obtener más información, consulta Configurar la conectividad privada en servicios y APIs de Google.

Crear un perímetro de servicio

Cuando creas un perímetro de servicio, seleccionas los proyectos de Universal Catalog de Dataplex que quieres que proteja el perímetro de servicio de Controles de Servicio de VPC.

Para crear un perímetro de servicio, sigue las instrucciones que se indican en el artículo Crear un perímetro de servicio.

Añadir más proyectos al perímetro de servicio

Para añadir proyectos de Universal Catalog de Dataplex a un perímetro, sigue las instrucciones que se indican en Actualizar un perímetro de servicio.

Añadir la API de Dataplex al perímetro de servicio

Para reducir el riesgo de que se extraigan datos de Dataplex Universal Catalog (por ejemplo, mediante métodos de la API de Dataplex), debes restringir la API de Dataplex.

Para añadir la API Dataplex como servicio restringido, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

    Ir a Controles de Servicio de VPC

  2. En la página Controles del servicio de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que quiera modificar.

  3. Haz clic en Editar perímetro.

  4. En la página Editar perímetro de servicio, haz clic en Añadir servicios.

  5. Añade la API de Dataplex.

  6. Haz clic en Guardar.

gcloud

  • Usa el comando gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    Haz los cambios siguientes:

    • PERIMETER_ID: el ID del perímetro o el identificador completo del perímetro
    • POLICY_ID: el ID de la política de acceso

Opcional: Crear un nivel de acceso

Para permitir el acceso externo a recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos que proceden de fuera del perímetro de servicio. No puedes usar niveles de acceso para dar permiso a los recursos protegidos para acceder a datos y servicios fuera del perímetro.

Para obtener más información, consulta el artículo sobre cómo permitir el acceso a recursos protegidos desde fuera de un perímetro.

Siguientes pasos