Neste documento, descrevemos como proteger os serviços do catálogo universal do Dataplex usando o VPC Service Controls (VPC-SC).
O VPC Service Controls oferece mais segurança para seus serviços do catálogo universal do Dataplex para ajudar a reduzir o risco de exfiltração de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros. Para mais informações, consulte Visão geral do VPC Service Controls.
Os recursos do Dataplex Universal Catalog são expostos na API
dataplex.googleapis.com
, que permite realizar operações
no nível do serviço, como criação e exclusão de serviços.
Você configura o VPC Service Controls com o catálogo universal do Dataplex restringindo a conectividade a essa superfície de API.
Limitações
Antes de criar recursos do Dataplex Universal Catalog, configure o perímetro de segurança do VPC Service Controls. Caso contrário, os recursos não terão proteção de perímetro. O Catálogo Universal do Dataplex é compatível com os seguintes tipos de recursos:
- Lake
- Recursos
- Verificação do perfil de dados
- Verificação da qualidade de dados
Configurar a rede de nuvem privada virtual (VPC)
Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts na sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Ao criar um perímetro de serviço, você seleciona os projetos do catálogo universal do Dataplex que quer proteger com o perímetro de serviço do VPC Service Controls.
Para criar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do Catálogo Universal do Dataplex ao perímetro, siga as instruções em Atualizar um perímetro de serviço.
Adicionar a API Dataplex Universal Catalog ao perímetro de serviço
Para reduzir o risco de seus dados serem separados do Dataplex Universal Catalog, por exemplo, usando as APIs do Dataplex Universal Catalog, é necessário restringir a API do Dataplex Universal Catalog.
Para adicionar a API Dataplex Universal Catalog como um serviço restrito, siga estas etapas:
Console
No console Google Cloud , acesse a página do VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
Adicione a API Dataplex Universal Catalog.
Clique em Salvar.
gcloud
Use o comando
gcloud access-context-manager perimeters update
:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua:
PERIMETER_ID
: o ID do perímetro ou o identificador totalmente qualificado do perímetro.POLICY_ID
: o ID da política de acesso
Opcional: criar um nível de acesso
Para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Para mais informações, consulte Permitir acesso a recursos protegidos fora de um perímetro.
Suporte à linhagem de dados
O rastreamento de dados é compatível com o IP virtual (VIP) restrito. Para mais informações, consulte Serviços compatíveis com o VIP restrito.
A seguir
- Saiba mais sobre o VPC Service Controls.
- Saiba mais sobre o controle de acesso do Dataplex Universal Catalog com o IAM.
- Saiba mais sobre a segurança do Dataplex Universal Catalog.