En este documento, se describe cómo proteger tus servicios de Dataplex Universal Catalog con los Controles del servicio de VPC (VPC-SC).
Los Controles del servicio de VPC brindan seguridad adicional para tus servicios de Dataplex Universal Catalog a fin de mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que protejan los recursos y servicios de las solicitudes que cruzan el perímetro. Para obtener más información, consulta la descripción general de los Controles del servicio de VPC.
Los recursos de Dataplex Universal Catalog se exponen en la API de dataplex.googleapis.com, que te permite realizar operaciones a nivel del servicio, como la creación y eliminación de servicios. Para configurar los Controles del servicio de VPC con el catálogo universal de Dataplex, restringe la conectividad a esta superficie de la API.
Funciones admitidas
Cuando proteges Dataplex Universal Catalog con un perímetro de servicio, se admiten las siguientes funciones:
Lakes: Puedes crear y administrar lakes de Dataplex Universal Catalog dentro del perímetro.
Recursos: Puedes administrar los recursos dentro del perímetro.
Recursos de metadatos en Catalog: Puedes administrar recursos de metadatos dentro del perímetro.
Exportación de metadatos: Puedes exportar metadatos a Dataproc Metastore, lo que requiere una configuración adicional de VPC-SC. Para obtener más información, consulta Cómo exportar metadatos a Dataproc Metastore.
Estadísticas de datos: Puedes ejecutar análisis de estadísticas de perfiles de datos, calidad de los datos y metadatos.
Linaje de datos: Puedes hacer un seguimiento del linaje de datos con la IP virtual (VIP) restringida.
Búsqueda de Dataplex: Puedes usar la API de
SearchEntries. Cuando usas la búsqueda de Dataplex Universal Catalog en un proyecto protegido por un perímetro de servicio, los resultados de la búsqueda solo incluyen los recursos que se encuentran dentro del mismo perímetro. Para obtener más información, consulta Alcance de la búsqueda y Aísla los resultados de la búsqueda por entorno con los Controles del servicio de VPC.
Limitaciones
Puedes crear recursos de Dataplex Universal Catalog antes de configurar el perímetro de seguridad de los Controles del servicio de VPC, pero esos recursos no tendrán protección perimetral.
Por diseño, los Controles del servicio de VPC impiden que los recursos dentro de un perímetro de servicio accedan a datos y servicios fuera de ese perímetro. Por ejemplo, los análisis de calidad y los perfiles de datos de Dataplex Universal Catalog no pueden acceder a fuentes de datos, como tablas de BigQuery o archivos de Cloud Storage, que se encuentran fuera del perímetro de servicio. Del mismo modo, cuando exportes los resultados del análisis de datos, la tabla de BigQuery de destino debe estar en un proyecto protegido por el perímetro. Para obtener información sobre cómo otorgar acceso a tus recursos protegidos desde fuera del perímetro, consulta Crea un nivel de acceso.
Configura los Controles del servicio de VPC
Para proteger los recursos de Dataplex Universal Catalog con los Controles del servicio de VPC, sigue estos pasos:
- Configura la red de VPC.
- Crear un perímetro de servicio
- Agrega proyectos al perímetro.
- Agrega la API de Dataplex al perímetro de servicio.
- Opcional: Crea un nivel de acceso.
Configura la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el Acceso privado a Google con respecto a un perímetro de servicio. Esto garantiza que los hosts en tu VPC o en la red local solo puedan comunicarse con las APIs y los servicios de Google que son compatibles con los Controles del servicio de VPC de manera que se ajusten a la política del perímetro asociado.
Para obtener más información, consulta Cómo configurar una conectividad privada en los servicios y las API de Google.
Crea un perímetro de servicio
Cuando creas un perímetro de servicio, seleccionas los proyectos del catálogo universal de Dataplex que deseas que proteja el perímetro de servicio de los Controles del servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones en Crea un perímetro de servicio.
Agrega más proyectos al perímetro de servicio
Para agregar proyectos existentes de Dataplex Universal Catalog al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.
Agrega la API de Dataplex al perímetro de servicio
Para mitigar el riesgo de que tus datos se filtren de Dataplex Universal Catalog, por ejemplo, si usas métodos de la API de Dataplex, debes restringir la API de Dataplex.
Para agregar la API de Dataplex como un servicio restringido, sigue estos pasos:
Console
En la consola de Google Cloud , ve a la página Controles del servicio de VPC.
En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio, haz clic en Agregar servicios.
Agrega la API de Dataplex.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Reemplaza lo siguiente:
PERIMETER_ID: ID del perímetro o el identificador completamente calificado del perímetroPOLICY_ID: El ID de la política de acceso
Opcional: Crea un nivel de acceso
Para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso a fin de otorgar permisos a los recursos protegidos para acceder a los datos y servicios fuera del perímetro.
Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.
¿Qué sigue?
- Obtén más información sobre los controles de servicio de VPC.
- Obtén más información sobre el control de acceso de Dataplex Universal Catalog con IAM.
- Obtén más información sobre la seguridad de Dataplex Universal Catalog.