Cette page a été traduite par l'API Cloud Translation.

VPC Service Controls avec le catalogue universel Dataplex

Ce document explique comment sécuriser vos services Dataplex Universal Catalog à l'aide de VPC Service Controls (VPC-SC).

VPC Service Controls offre une sécurité supplémentaire pour vos services de catalogue universel Dataplex afin de réduire le risque d'exfiltration des données. VPC Service Controls vous permet d'ajouter des projets aux périmètres de service afin de protéger les ressources et les services des requêtes provenant de l'extérieur du périmètre. Pour en savoir plus, consultez la page Présentation de VPC Service Controls.

Les ressources Dataplex Universal Catalog sont exposées sur l'API dataplex.googleapis.com, ce qui vous permet d'effectuer des opérations au niveau du service, telles que la création et la suppression de services.

Pour configurer VPC Service Controls avec Dataplex Universal Catalog, vous devez limiter la connectivité à cette surface d'API.

Limites

Avant de créer des ressources Dataplex Universal Catalog, configurez le périmètre de sécurité VPC Service Controls. Sinon, vos ressources ne sont pas protégées par un périmètre. Dataplex Universal Catalog accepte les types de ressources suivants :

Lac
Éléments
Analyse du profil de données
Analyse de la qualité des données

Configurer le réseau de cloud privé virtuel (VPC)

Vous pouvez configurer le réseau VPC pour limiter l'accès privé à Google en fonction d'un périmètre de service. Cela garantit que les hôtes de votre VPC ou de votre réseau sur site ne peuvent communiquer qu'avec les API et les services Google compatibles avec VPC Service Controls, conformément à la règle de périmètre associée.

Pour en savoir plus, consultez la page Configurer une connectivité privée aux API et services Google.

Créer un périmètre de service

Lorsque vous créez un périmètre de service, vous sélectionnez les projets Dataplex Universal Catalog que le périmètre de service VPC Service Controls doit protéger.

Pour créer un périmètre de service, suivez les instructions de la section Créer un périmètre de service.

Ajouter d'autres projets au périmètre de service

Pour ajouter des projets Dataplex Universal Catalog existants au périmètre, suivez les instructions de la section Mettre à jour un périmètre de service.

Ajouter l'API Dataplex Universal Catalog au périmètre de service

Pour limiter le risque d'exfiltration de données à partir de Dataplex Universal Catalog, par exemple, à l'aide des API Dataplex Universal Catalog, vous devez limiter l'API Dataplex Universal Catalog.

Pour ajouter l'API Dataplex Universal Catalog en tant que service limité, procédez comme suit :

Console

Dans la console Google Cloud , accédez à la page "VPC Service Controls".

Accéder à VPC Service Controls
Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
Cliquez sur Modifier le périmètre.
Sur la page Modifier le périmètre de service VPC, cliquez sur Ajouter des services.
Ajoutez l'API Dataplex Universal Catalog.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud access-context-manager perimeters update :
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
Remplacez les éléments suivants :
- PERIMETER_ID : ID du périmètre ou identifiant complet du périmètre
- POLICY_ID : ID de la règle d'accès.

Facultatif : Créer un niveau d'accès

Pour autoriser l'accès externe aux ressources protégées d'un périmètre, vous pouvez utiliser des niveaux d'accès. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des ressources protégées à accéder à des données et à des services en dehors du périmètre.

Pour en savoir plus, consultez Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Compatibilité avec la traçabilité des données

La traçabilité des données est compatible avec les adresses IP virtuelles (VIP) restreintes. Pour en savoir plus, consultez Services compatibles avec l'adresse IP virtuelle restreinte.

Étapes suivantes

Apprenez-en plus sur VPC Service Controls.
En savoir plus sur le contrôle des accès à Dataplex Universal Catalog avec IAM
En savoir plus sur la sécurité de Dataplex Universal Catalog

VPC Service Controls avec le catalogue universel Dataplex Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.