将 VPC Service Controls 与 Dataplex Universal Catalog 搭配使用

本文档介绍了如何使用 VPC Service Controls (VPC-SC) 来保护 Dataplex Universal Catalog 服务。

VPC Service Controls 可为 Dataplex Universal Catalog 服务提供额外的安全保护,有助于降低数据渗漏风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止资源和服务受到跨边界的请求的影响。 如需了解详情,请参阅 VPC Service Controls 概览

Dataplex Universal Catalog 资源会显示在 dataplex.googleapis.com API 上,该 API 可让您执行服务级操作,例如创建和删除服务。

您可以通过限制与此 API 接口的连接来设置 VPC Service Controls 和 Dataplex Universal Catalog。

限制

在创建 Dataplex Universal Catalog 资源之前,请先设置 VPC Service Controls 安全边界。否则,您的资源将没有边界保护。Dataplex Universal Catalog 支持以下资源类型:

  • 湖泊
  • 资产
  • 数据分析扫描
  • 数据质量扫描

配置虚拟私有云 (VPC) 网络

您可以将 VPC 网络配置为限制服务边界的专用 Google 访问通道。这可确保 VPC 或本地网络中的主机只能按照符合相关边界政策的方式与 VPC Service Controls 支持的 Google API 和服务进行通信。

如需了解详情,请参阅设置与 Google API 和服务的专用连接

创建服务边界

创建服务边界时,您需要选择自己希望 VPC Service Controls 服务边界保护的 Dataplex Universal Catalog 项目。

如需创建服务边界,请按照创建服务边界中的说明操作。

向服务边界添加更多项目

如需将现有的 Dataplex Universal Catalog 项目添加到边界,请按照更新服务边界中的说明操作。

将 Dataplex Universal Catalog API 添加到服务边界

为了降低 Dataplex Universal Catalog 渗漏数据的风险(例如,使用 Dataplex Universal Catalog API),您必须限制 Dataplex Universal Catalog API。

如需添加 Dataplex Universal Catalog API 作为受限服务,请按照以下步骤操作:

控制台

  1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。

  3. 点击修改边界

  4. 修改 VPC 服务边界页面上,点击添加服务

  5. 添加 Dataplex Universal Catalog API

  6. 点击保存

gcloud

  • 使用 gcloud access-context-manager perimeters update 命令:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    替换以下内容:

    • PERIMETER_ID:边界的 ID 或边界的完全限定标识符
    • POLICY_ID:访问权限政策的 ID

可选:创建访问权限级别

如需允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别向受保护的资源授予对边界外的数据和服务的访问权限。

如需了解详情,请参阅允许从边界外访问受保护的资源

数据沿袭支持

受限虚拟 IP (VIP) 支持数据沿袭。如需了解详情,请参阅受限 VIP 支持的服务

后续步骤