本文說明如何使用 VPC Service Controls (VPC-SC) 保護 Dataplex Universal Catalog 服務。
VPC Service Controls 為您的 Dataplex Universal Catalog 服務提供額外的安全性,以降低資料遭到竊取的風險。您可以透過 VPC Service Controls 將專案加入服務範圍內,如此一來,跨越範圍的要求就無法存取相關資源及服務。詳情請參閱「VPC Service Controls 總覽」。
Dataplex Universal Catalog 資源會顯示在 dataplex.googleapis.com API 上,方便您執行服務層級的作業,例如建立及刪除服務。
如要透過 Dataplex Universal Catalog 設定 VPC Service Controls,請限制與這個 API 介面的連線。
限制
請先設定 VPC Service Controls 安全防護範圍,再建立 Dataplex Universal Catalog 資源。否則資源不會受到服務範圍保護。Dataplex Universal Catalog 支援下列資源類型:
- 湖泊
- 資產
- 資料剖析掃描
- 資料品質掃描
設定虛擬私有雲 (VPC) 網路
您可以設定虛擬私有雲網路,根據服務範圍限制私人 Google 存取權。這可確保虛擬私有雲或內部部署網路上的主機,只能以符合相關聯範圍政策的方式,與 VPC Service Controls 支援的 Google API 和服務通訊。
詳情請參閱「設定連至 Google API 與服務的私人連線」。
建立服務範圍
建立服務範圍時,請選取要由 VPC Service Controls 服務範圍保護的 Dataplex Universal Catalog 專案。
如要建立服務範圍,請按照「建立服務範圍」一文中的操作說明進行。
將更多專案新增至服務範圍
如要將現有的 Dataplex Universal Catalog 專案新增至範圍,請按照「更新服務範圍」一節的說明操作。
將 Dataplex Universal Catalog API 新增至服務周邊
為降低資料從 Dataplex Universal Catalog 外洩的風險 (例如使用 Dataplex Universal Catalog API),您必須限制 Dataplex Universal Catalog API。
如要將 Dataplex Universal Catalog API 新增為受限制的服務,請按照下列步驟操作:
控制台
在 Google Cloud 控制台中,前往 VPC Service Controls 頁面。
在「VPC Service Controls」頁面的資料表中,按一下您要修改的服務範圍名稱。
按一下「編輯範圍」。
在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Add Services」(新增服務)。
新增 Dataplex Universal Catalog API。
按一下 [儲存]。
gcloud
使用
gcloud access-context-manager perimeters update指令:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
更改下列內容:
PERIMETER_ID:perimeter 的 ID 或 perimeter 的完整 IDPOLICY_ID:存取權政策的 ID
選用步驟:建立存取層級
如要允許外部存取範圍內的受保護資源,可以使用存取層級。存取層級僅適用於來自服務範圍外的受保護資源存取要求。您無法使用存取層級,授予受保護資源存取範圍外資料和服務的權限。
詳情請參閱「允許服務範圍外的受保護資源存取要求」。
支援資料歷程
受限虛擬 IP (VIP) 支援資料沿襲。 詳情請參閱「受限制的 VIP 支援的服務」。
後續步驟
- 進一步瞭解 VPC Service Controls。
- 進一步瞭解如何使用 IAM 控管 Dataplex Universal Catalog 存取權。
- 進一步瞭解 Dataplex Universal Catalog 安全性。