Dataplex Universal Catalog を使用した VPC Service Controls

このドキュメントでは、VPC Service Controls（VPC-SC）を使用して Dataplex Universal Catalog サービスを保護する方法について説明します。

VPC Service Controls を使用すると、Dataplex Universal Catalog サービスのセキュリティが強化され、データの引き出しリスクを軽減できます。VPC Service Controls を使用することで、境界を通過してくるリクエストからリソースとサービスを保護するサービス境界にプロジェクトを追加できます。詳細については、VPC Service Controls の概要をご覧ください。

Dataplex Universal Catalog リソースは dataplex.googleapis.com API で公開されており、このリソースを使用してサービスの作成や削除など、サービスレベルのオペレーションを実行できます。

Dataplex Universal Catalog で VPC Service Controls を設定するには、接続をこの API サーフェスに制限します。

制限事項

Dataplex Universal Catalog リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex Universal Catalog は、次のリソースタイプをサポートしています。

• レイク
• アセット
• データ プロファイルのスキャン
• データ品質のスキャン

Virtual Private Cloud（VPC）ネットワークを構成する

サービス境界に対するプライベート Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミス ネットワーク上のホストは、関連する境界のポリシーに準拠した方法で、VPC Service Controls がサポートしている Google の API やサービスとのみ通信できるようになります。

詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。

サービス境界を作成する

サービス境界を作成するときに、VPC Service Controls サービス境界で保護する Dataplex Universal Catalog プロジェクトを選択します。

サービス境界を作成するには、サービス境界の作成の手順に沿って操作します。

サービス境界にプロジェクトを追加する

既存の Dataplex Universal Catalog プロジェクトを境界に追加するには、サービス境界の更新の手順に沿って操作します。

サービス境界に Dataplex Universal Catalog API を追加する

たとえば Dataplex Universal Catalog API の使用で、Dataplex Universal Catalog からデータが引き出されるリスクを軽減するには、Dataplex Universal Catalog API を制限する必要があります。

Dataplex Universal Catalog API を制限付きサービスとして追加する手順は次のとおりです。

省略可: アクセスレベルを作成する

境界内の保護されたリソースに対する外部アクセスを許可するために、アクセスレベルを使用できます。アクセスレベルは、サービス境界外から保護されたリソースへのリクエストにのみ適用されます。保護されたリソースに境界外のデータやサービスへのアクセス権を付与することを目的としてアクセスレベルを使用することはできません。

詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。

データリネージのサポート

データリネージは、制限付きの仮想 IP（VIP）でサポートされています。詳細については、制限付き VIP によってサポートされるサービスをご覧ください。

次のステップ

• VPC Service Controls の詳細を確認する。
• IAM を使用した Dataplex Universal Catalog のアクセス制御の詳細を確認する。
• Dataplex Universal Catalog のセキュリティの詳細を確認する。