En este documento se describe cómo proteger los servicios de Dataplex Universal Catalog mediante Controles de Servicio de VPC (VPC-SC).
Controles de Servicio de VPC proporciona seguridad adicional a tus servicios de catálogo universal de Dataplex para ayudarte a mitigar el riesgo de filtración externa de datos. Con Controles de Servicio de VPC, puedes añadir proyectos a perímetros de servicio que protejan recursos y servicios de solicitudes que crucen el perímetro. Para obtener más información, consulta la descripción general de Controles de Servicio de VPC.
Los recursos de Dataplex Universal Catalog se exponen en la API dataplex.googleapis.com, que te permite realizar operaciones a nivel de servicio, como crear y eliminar servicios.
Para configurar Controles de Servicio de VPC con Universal Catalog de Dataplex, restringe la conectividad a esta superficie de API.
Limitaciones
Antes de crear recursos de Dataplex Universal Catalog, configura el perímetro de seguridad de Controles de Servicio de VPC. De lo contrario, tus recursos no tendrán protección perimetral. Dataplex Universal Catalog admite los siguientes tipos de recursos:
- Lago
- Recursos
- Análisis de perfil de datos
- Análisis de calidad de los datos
Configurar la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el acceso privado a Google con respecto a un perímetro de servicio. De esta forma, los hosts de tu red VPC o de tu red local solo pueden comunicarse con las APIs y los servicios de Google compatibles con Controles de Servicio de VPC de forma que se ajuste a la política del perímetro asociado.
Para obtener más información, consulta Configurar la conectividad privada en servicios y APIs de Google.
Crear un perímetro de servicio
Cuando creas un perímetro de servicio, seleccionas los proyectos de Universal Catalog de Dataplex que quieres que proteja el perímetro de servicio de Controles de Servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones que se indican en el artículo Crear un perímetro de servicio.
Añadir más proyectos al perímetro de servicio
Para añadir proyectos de Universal Catalog de Dataplex a un perímetro, sigue las instrucciones que se indican en Actualizar un perímetro de servicio.
Añadir la API de Dataplex al perímetro de servicio
Para reducir el riesgo de que se extraigan datos de Dataplex Universal Catalog (por ejemplo, mediante métodos de la API de Dataplex), debes restringir la API de Dataplex.
Para añadir la API Dataplex como servicio restringido, sigue estos pasos:
Consola
En la Google Cloud consola, ve a la página Controles de Servicio de VPC.
En la página Controles del servicio de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que quiera modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio, haz clic en Añadir servicios.
Añade la API de Dataplex.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Haz los cambios siguientes:
PERIMETER_ID: el ID del perímetro o el identificador completo del perímetroPOLICY_ID: el ID de la política de acceso
Opcional: Crear un nivel de acceso
Para permitir el acceso externo a recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos que proceden de fuera del perímetro de servicio. No puedes usar niveles de acceso para dar permiso a los recursos protegidos para acceder a datos y servicios fuera del perímetro.
Para obtener más información, consulta el artículo sobre cómo permitir el acceso a recursos protegidos desde fuera de un perímetro.
Compatibilidad con el linaje de datos
El linaje de datos es compatible con la IP virtual (VIP) restringida. Para obtener más información, consulte Servicios compatibles con el servicio VIP restringido.
Siguientes pasos
- Consulta más información sobre Controles de Servicio de VPC.
- Consulta más información sobre el control de acceso de Dataplex Universal Catalog con la gestión de identidades y accesos.
- Consulta más información sobre la seguridad de Dataplex Universal Catalog.