Questo documento descrive come proteggere i servizi Dataplex Universal Catalog utilizzando Controlli di servizio VPC.
I Controlli di servizio VPC forniscono ulteriore sicurezza per i tuoi servizi Dataplex Universal Catalog per contribuire a mitigare il rischio di esfiltrazione di dati. Utilizzando Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che proteggono risorse e servizi dalle richieste che attraversano il perimetro. Per ulteriori informazioni, consulta la panoramica dei Controlli di servizio VPC.
Le risorse Dataplex Universal Catalog sono esposte nell'API dataplex.googleapis.com, che consente di eseguire operazioni a livello di servizio, come la creazione e l'eliminazione di servizi.
Configura i Controlli di servizio VPC con Dataplex Universal Catalog limitando la connettività a questa superficie API.
Limitazioni
Prima di creare risorse Dataplex Universal Catalog, configura il perimetro di sicurezza dei Controlli di servizio VPC. In caso contrario, le tue risorse non hanno una protezione perimetrale. Dataplex Universal Catalog supporta i seguenti tipi di risorse:
- Lake
- Asset
- Scansione del profilo di dati
- Analisi della qualità dei dati
Configura la rete Virtual Private Cloud (VPC)
Puoi configurare la rete VPC per limitare l'accesso privato Googleo rispetto a un perimetro di servizio. Ciò garantisce che gli host sulla tua rete VPC o on-premise possano comunicare solo con le API e i servizi di Google supportati dai Controlli di servizio VPC in modi conformi alle norme del perimetro associato.
Per ulteriori informazioni, consulta Configurazione della connettività privata alle API e ai servizi Google.
Crea un perimetro di servizio
Quando crei un perimetro di servizio, selezioni i progetti Dataplex Universal Catalog che vuoi che il perimetro di servizio Controlli di servizio VPC protegga.
Per creare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio.
Aggiungere altri progetti al perimetro di servizio
Per aggiungere progetti Dataplex Universal Catalog esistenti al perimetro, segui le istruzioni riportate in Aggiorna un perimetro di servizio.
Aggiungi l'API Dataplex al perimetro di servizio
Per ridurre il rischio di esfiltrazione dei dati da Dataplex Universal Catalog, ad esempio utilizzando i metodi dell'API Dataplex, devi limitare l'API Dataplex.
Per aggiungere l'API Dataplex come servizio con limitazioni, segui questi passaggi:
Console
Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
Fai clic su Modifica perimetro.
Nella pagina Modifica perimetro di servizio, fai clic su Aggiungi servizi.
Aggiungi l'API Dataplex.
Fai clic su Salva.
gcloud
Utilizza il comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetroPOLICY_ID: l'ID della policy di accesso
(Facoltativo) Crea un livello di accesso
Per consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.
Per ulteriori informazioni, vedi Consentire l'accesso a risorse protette dall'esterno di un perimetro.
Supporto della derivazione dei dati
La derivazione dei dati è supportata dall'IP virtuale (VIP) con limitazioni. Per saperne di più, consulta Servizi supportati dal VIP con limitazioni.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC
- Scopri di più sul controllo dell'controllo dell'accesso Universal Catalog con IAM.
- Scopri di più sulla sicurezza di Dataplex Universal Catalog.