Esta página foi traduzida pela API Cloud Translation.

VPC Service Controls com o catálogo universal do Dataplex

Neste documento, descrevemos como proteger os serviços do Dataplex Universal Catalog usando o VPC Service Controls (VPC-SC).

O VPC Service Controls oferece mais segurança para seus serviços do catálogo universal do Dataplex para ajudar a reduzir o risco de exfiltração de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros. Para mais informações, consulte Visão geral do VPC Service Controls.

Os recursos do Dataplex Universal Catalog são expostos na API dataplex.googleapis.com, que permite realizar operações no nível do serviço, como criação e exclusão de serviços. Você configura o VPC Service Controls com o catálogo universal do Dataplex restringindo a conectividade a essa superfície de API.

Recursos compatíveis

Ao proteger o Dataplex Universal Catalog com um perímetro de serviço, os seguintes recursos são compatíveis:

Lakes: é possível criar e gerenciar lakes do Dataplex Universal Catalog dentro do perímetro.
Recursos: é possível gerenciar recursos dentro do perímetro.
Recursos de metadados no catálogo: é possível gerenciar recursos de metadados dentro do perímetro.
Exportação de metadados: é possível exportar metadados para o metastore do Dataproc, o que exige mais configuração do VPC-SC. Para mais informações, consulte Exportar metadados para o metastore do Dataproc.
Insights de dados: é possível executar verificações de criação de perfil, qualidade e insights de metadados.
Linhagem de dados: é possível rastrear a linhagem de dados usando o IP virtual (VIP) restrito.
Pesquisa do Dataplex: é possível usar a SearchEntries API. Quando você usa a pesquisa do Dataplex Universal Catalog em um projeto protegido por um perímetro de serviço, os resultados da pesquisa incluem apenas recursos que estão dentro do mesmo perímetro. Para mais informações, consulte Escopo de pesquisa e Isolar resultados da pesquisa por ambiente usando o VPC Service Controls.

Limitações

É possível criar recursos do Dataplex Universal Catalog antes de configurar o perímetro de segurança do VPC Service Controls, mas esses recursos não terão proteção de perímetro.

Por design, o VPC Service Controls impede que recursos dentro de um perímetro de serviço acessem dados e serviços fora desse perímetro. Por exemplo, as verificações de qualidade e criação de perfil de dados do Dataplex Universal Catalog não podem acessar fontes de dados, como tabelas do BigQuery ou arquivos do Cloud Storage, que estão fora do perímetro de serviço. Da mesma forma, ao exportar os resultados da verificação de dados, a tabela de destino do BigQuery precisa estar em um projeto protegido pelo perímetro. Para informações sobre como conceder acesso aos seus recursos protegidos de fora do perímetro, consulte Criar um nível de acesso.

Configurar o VPC Service Controls

Para proteger os recursos do Dataplex Universal Catalog com o VPC Service Controls, siga estas etapas:

Configure a rede VPC.
Criar um perímetro de serviço.
Adicione projetos ao perímetro.
Adicione a API Dataplex ao perímetro de serviço.
Opcional: crie um nível de acesso.

Configurar a rede de nuvem privada virtual (VPC)

Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts na sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associado.

Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.

Criar um perímetro de serviço

Ao criar um perímetro de serviço, você seleciona os projetos do Dataplex Universal Catalog que quer que o perímetro de serviço do VPC Service Controls proteja.

Para criar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço.

Adicionar mais projetos ao perímetro de serviço

Para adicionar projetos do Dataplex Universal Catalog ao perímetro, siga as instruções em Atualizar um perímetro de serviço.

Adicionar a API Dataplex ao perímetro de serviço

Para reduzir o risco de seus dados serem separados do Dataplex Universal Catalog, por exemplo, usando métodos da API Dataplex, é necessário restringir a API Dataplex.

Para adicionar a API Dataplex como um serviço restrito, siga estas etapas:

Console

No console do Google Cloud , acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço, clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Salvar.

gcloud

Use o comando gcloud access-context-manager perimeters update:
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
Substitua:
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso

Opcional: criar um nível de acesso

Para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.

Para mais informações, consulte Como permitir acesso a recursos protegidos de fora de um perímetro.

A seguir

Saiba mais sobre o VPC Service Controls.
Saiba mais sobre o controle de acesso do Dataplex Universal Catalog com o IAM.
Saiba mais sobre a segurança do Dataplex Universal Catalog.