Para proteger ainda mais seus serviços do Dataplex, use o VPC Service Controls (VPC-SC).
O VPC Service Controls adiciona mais segurança aos Serviços do Dataplex para ajudar a reduzir o risco dos dados vazamentos de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros.
Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.
Os recursos do Dataplex são expostos na
API dataplex.googleapis.com
, usada para executar tarefas
operações, como criação e exclusão de serviços.
Para configurar o VPC Service Controls com o Dataplex, restringindo a conectividade com essa superfície de API.
Limitações
Antes de criar seus recursos do Dataplex, configure o Perímetro de segurança do VPC Service Controls. Caso contrário, os recursos têm proteção de perímetro. O Dataplex é compatível com os seguintes tipos de recursos:
- Lake
- Verificação do perfil de dados
- Verificação da qualidade de dados
Configurar a rede de nuvem privada virtual (VPC)
É possível configurar a rede VPC para restringir Acesso privado do Google em relação a um perímetro de serviço. Isso garante que na sua rede VPC ou no local só podem se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneira que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Durante esse procedimento, você seleciona os projetos do Dataplex que você quer que o perímetro de serviço do VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do Dataplex ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicionar a API Dataplex ao perímetro de serviço
Para reduzir o risco de exfiltração de dados do Dataplex, Por exemplo, usando as APIs do Dataplex, precisa restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito:
Console
No console do Google Cloud, abra a página VPC Service Controls:
Acesse a página VPC Service Controls no console do Google Cloud
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço da VPC, Clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Salvar.
gcloud
Use o comando
gcloud access-context-manager perimeters update
a seguir:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua:
PERIMETER_ID
: o ID do perímetro ou o identificador totalmente qualificado do perímetro.POLICY_ID
: o ID da política de acesso.
Criar um nível de acesso
Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.
A seguir
- Saiba mais sobre o VPC Service Controls.
- Saiba mais sobre o IAM e controle de acesso do Dataplex.
- Saiba mais sobre a segurança do Dataplex.