Dokumen ini menjelaskan cara mengamankan layanan Dataplex Universal Catalog menggunakan Kontrol Layanan VPC (VPC-SC).
Kontrol Layanan VPC memberikan keamanan tambahan untuk layanan Katalog Universal Dataplex Anda guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang melindungi resource dan layanan dari permintaan yang melintasi perimeter. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.
Resource Katalog Universal Dataplex diekspos di
dataplex.googleapis.com API, yang memungkinkan Anda melakukan operasi
tingkat layanan, seperti pembuatan dan penghapusan layanan.
Anda menyiapkan Kontrol Layanan VPC dengan Dataplex Universal Catalog dengan membatasi konektivitas ke platform API ini.
Batasan
Sebelum membuat resource Dataplex Universal Catalog, siapkan perimeter keamanan Kontrol Layanan VPC. Jika tidak, resource Anda tidak memiliki perlindungan perimeter. Katalog Universal Dataplex mendukung jenis resource berikut:
- Danau
- Aset
- Pemindaian profil data
- Pemindaian kualitas data
Mengonfigurasi jaringan Virtual Private Cloud (VPC)
Anda dapat mengonfigurasi jaringan VPC untuk membatasi Akses Google Pribadi sehubungan dengan perimeter layanan. Hal ini memastikan bahwa host di VPC atau jaringan lokal Anda hanya dapat berkomunikasi dengan Google API dan layanan yang didukung oleh Kontrol Layanan VPC dengan cara yang sesuai dengan kebijakan perimeter terkait.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google.
Membuat perimeter layanan
Saat membuat perimeter layanan, Anda memilih project Dataplex Universal Catalog yang ingin dilindungi oleh perimeter layanan Kontrol Layanan VPC.
Untuk membuat perimeter layanan, ikuti petunjuk di Membuat perimeter layanan.
Menambahkan lebih banyak project ke perimeter layanan
Untuk menambahkan project Dataplex Universal Catalog yang ada ke perimeter, ikuti petunjuk di bagian Memperbarui perimeter layanan.
Menambahkan Dataplex Universal Catalog API ke perimeter layanan
Untuk memitigasi risiko data Anda dieksfiltrasi dari Dataplex Universal Catalog, misalnya, menggunakan API Dataplex Universal Catalog, Anda harus membatasi API Dataplex Universal Catalog.
Untuk menambahkan Dataplex Universal Catalog API sebagai layanan terbatas, ikuti langkah-langkah berikut:
Konsol
Di konsol Google Cloud , buka halaman VPC Service Controls.
Di halaman VPC Service Controls, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
Klik Edit Perimeter.
Di halaman Edit Perimeter Layanan VPC, klik Tambahkan Layanan.
Tambahkan Dataplex Universal Catalog API.
Klik Simpan.
gcloud
Gunakan perintah
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Ganti kode berikut:
PERIMETER_ID: ID perimeter atau ID yang memenuhi syarat sepenuhnya untuk perimeterPOLICY_ID: ID kebijakan akses
Opsional: Buat tingkat akses
Untuk mengizinkan akses eksternal ke resource terlindungi di dalam perimeter, Anda dapat menggunakan level akses. Tingkat akses hanya berlaku untuk permintaan resource terlindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin kepada resource yang dilindungi agar dapat mengakses data dan layanan di luar perimeter.
Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Dukungan silsilah data
Linage data didukung oleh IP Virtual (VIP) terbatas. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung oleh VIP yang dibatasi.
Langkah berikutnya
- Pelajari lebih lanjut Kontrol Layanan VPC.
- Pelajari lebih lanjut kontrol akses Dataplex Universal Catalog dengan IAM.
- Pelajari lebih lanjut keamanan Dataplex Universal Catalog.