このページは Cloud Translation API によって翻訳されました。

Dataplex Universal Catalog を使用した VPC Service Controls

このドキュメントでは、VPC Service Controls（VPC-SC）を使用して Dataplex Universal Catalog サービスを保護する方法について説明します。

VPC Service Controls を使用すると、Dataplex Universal Catalog サービスのセキュリティが強化され、データの引き出しリスクを軽減できます。VPC Service Controls を使用することで、境界を通過してくるリクエストからリソースとサービスを保護するサービス境界にプロジェクトを追加できます。詳細については、VPC Service Controls の概要をご覧ください。

Dataplex Universal Catalog リソースは dataplex.googleapis.com API で公開されており、このリソースを使用してサービスの作成や削除など、サービスレベルのオペレーションを実行できます。Dataplex Universal Catalog で VPC Service Controls を設定するには、接続をこの API サーフェスに制限します。

サポートされている機能

サービス境界で Dataplex Universal Catalog を保護する場合、次の機能がサポートされます。

レイク: 境界内で Dataplex Universal Catalog レイクを作成して管理できます。
アセット: 境界内のアセットを管理できます。
カタログ内のメタデータリソース: 境界内でメタデータリソースを管理できます。
メタデータのエクスポート: メタデータを Dataproc Metastore にエクスポートできます。これには、追加の VPC-SC 構成が必要です。詳細については、Dataproc Metastore にメタデータをエクスポートするをご覧ください。
データ分析情報: データプロファイリング、データ品質、メタデータ分析情報スキャンを実行できます。
データリネージ: 制限付きの仮想 IP（VIP）を使用して、データリネージを追跡できます。
Dataplex Search: SearchEntries API を使用できます。サービス境界で保護されたプロジェクトで Dataplex Universal Catalog 検索を使用すると、検索結果には同じ境界内のリソースのみが含まれます。詳細については、検索範囲と VPC Service Controls を使用して環境ごとに検索結果を分離するをご覧ください。

制限事項

VPC Service Controls のセキュリティ境界を設定する前に Dataplex Universal Catalog リソースを作成できますが、これらのリソースには境界保護が適用されません。

VPC Service Controls は、サービス境界内のリソースがその境界外のデータとサービスにアクセスできないように設計されています。たとえば、Dataplex Universal Catalog のデータプロファイリングとデータ品質スキャンは、サービス境界外にある BigQuery テーブルや Cloud Storage ファイルなどのデータソースにアクセスできません。同様に、データスキャン結果をエクスポートする場合、宛先の BigQuery テーブルは境界で保護されたプロジェクトに存在する必要があります。境界の外部から保護されたリソースへのアクセスを許可する方法については、アクセスレベルを作成するをご覧ください。

VPC Service Controls の設定

VPC Service Controls で Dataplex Universal Catalog リソースを保護する手順は次のとおりです。

VPC ネットワークを構成します。
サービス境界を作成します。
境界にプロジェクトを追加します。
サービス境界に Dataplex API を追加します。
省略可: アクセスレベルを作成します。

Virtual Private Cloud（VPC）ネットワークを構成する

サービス境界に対するプライベート Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミスネットワーク上のホストは、関連する境界のポリシーに準拠した方法で、VPC Service Controls がサポートしている Google の API やサービスとのみ通信できるようになります。

詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。

サービス境界を作成する

サービス境界を作成するときに、VPC Service Controls サービス境界で保護する Dataplex Universal Catalog プロジェクトを選択します。

サービス境界を作成するには、サービス境界の作成の手順に沿って操作します。

サービス境界にプロジェクトを追加する

既存の Dataplex Universal Catalog プロジェクトを境界に追加するには、サービス境界の更新の手順に沿って操作します。

サービス境界に Dataplex API を追加する

たとえば Dataplex API メソッドの使用で、Dataplex Universal Catalog からデータが引き出されるリスクを軽減するには、Dataplex API を制限する必要があります。

Dataplex API を制限付きサービスとして追加する手順は次のとおりです。

コンソール

Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動
[VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
[境界を編集] をクリックします。
[サービス境界の編集] ページで、[サービスを追加] をクリックします。
Dataplex API を追加します。
[保存] をクリックします。

gcloud

gcloud access-context-manager perimeters update コマンドを使用します。
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
次のように置き換えます。
- PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
- POLICY_ID: アクセスポリシーの ID

省略可: アクセスレベルを作成する

境界内の保護されたリソースに対する外部アクセスを許可するために、アクセスレベルを使用できます。アクセスレベルは、サービス境界外から保護されたリソースへのリクエストにのみ適用されます。保護されたリソースに境界外のデータやサービスへのアクセス権を付与することを目的としてアクセスレベルを使用することはできません。

詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。

次のステップ

VPC Service Controls の詳細を確認する。
IAM を使用した Dataplex Universal Catalog のアクセス制御の詳細を確認する。
Dataplex Universal Catalog のセキュリティの詳細を確認する。