部署企业数据管理和分析平台

资源层次结构

该架构使用企业基础蓝图中的资源层次结构。

网络

该架构包含一个使用工作负载身份联合和 Tink 库的数据传输服务示例。

角色和 IAM 权限

该架构包括细分的“数据生产者”角色、“数据使用方”角色、“数据治理”角色和“数据平台”角色。

元数据

该架构使用 Data Catalog 来管理数据元数据。

集中式政策管理

如需管理政策，该架构使用 Google Cloud对 CDMC 框架的实现。

数据访问权限管理

为了控制对数据的访问权限，该架构包含一个独立流程，要求数据使用方向数据所有者请求对数据资产的访问权限。

数据质量

该架构使用 Cloud Data Quality Engine 在指定的表列上定义和运行数据质量规则，并根据正确性和完整性等指标衡量数据质量。

数据安全

该架构使用标记、加密、遮盖、标记化和 IAM 控制措施来确保数据安全。

数据环境

该架构包含三个环境。两个环境（非生产环境和生产环境）是受流水线驱动的运营环境。其中一个环境（开发环境）是交互式环境。

数据所有者

数据所有者注入、处理、公开和授予对数据资产的访问权限。

数据使用方

数据使用方请求访问数据资产。

流水线

该架构使用以下流水线来部署资源：

• 基础流水线
• 基础架构流水线
• 工件流水线
• Service Catalog 渠道

代码库

每个流水线使用单独的代码库，以便分离职责。

过程流

该流程要求对生产环境进行的更改必须包含提交者和审批人。

数据产品统计信息摘要图表

报告引擎会生成数据产品统计信息摘要。

Cloud Logging

该架构使用企业基础蓝图中的日志记录基础架构。

Cloud Monitoring

该架构使用企业基础蓝图中的监控基础架构。

data-mesh-ops@example.com

数据网格的总体管理员

roles/owner（数据平台）

gcp-dm-governance-admins@example.com

数据治理项目的管理员

数据治理项目的 roles/owner

gcp-dm-governance-developers@example.com

构建和维护数据治理组件的开发者

数据治理项目中的多个角色，包括 roles/viewer、BigQuery 角色和 Data Catalog 角色

gcp-dm-governance-data-readers@example.com

数据治理信息的读者

roles/viewer

gcp-dm-governance-security-administrator@example.com

治理项目的安全管理员

roles/orgpolicy.policyAdmin 和 roles/iam.securityReviewer

gcp-dm-governance-tag-template-users@example.com

有权使用标记模板的群组

roles/datacatalog.tagTemplateUser

gcp-dm-governance-tag-users@example.com

有权使用代码模板和添加代码的群组

roles/datacatalog.tagTemplateUser 和 roles/datacatalog.tagEditor

gcp-dm-governance-scc-notifications@example.com

Security Command Center 通知的服务账号群组

无。这是成员群组，系统会使用此名称创建一个具有必要权限的服务账号。

gcp-dm-{data_domain_name}-admins@example.com

特定数据领域的管理员

针对数据网域项目的 roles/owner

gcp-dm-{data_domain_name}-developers@example.com

负责在数据领域内构建和维护数据产品的开发者

数据网域项目中的多个角色，包括 roles/viewer、BigQuery 角色和 Cloud Storage 角色

gcp-dm-{data_domain_name}-data-readers@example.com

数据网域信息的读者

roles/viewer

gcp-dm-{data_domain_name}-metadata-editors@{var.domain}

Data Catalog 条目的编辑者

用于修改 Data Catalog 条目的角色

gcp-dm-{data_domain_name}-data-stewards@example.com

数据域的数据管理员

用于管理元数据和数据治理方面的角色

gcp-dm-consumer-{project_name}-admins@example.com

特定使用方项目的管理员

使用方项目的 roles/owner

gcp-dm-consumer-{project_name}-developers@example.com

在使用方项目中工作的开发者

使用方项目中的多个角色，包括 roles/viewer 和 BigQuery 角色

gcp-dm-consumer-{project_name}-data-readers@example.com

使用方项目信息的读取者

roles/viewer

common

prj-c-artifact-pipeline

包含用于构建架构的代码工件部署流水线。

prj-c-service-catalog

包含 Service Catalog 用于在交互式环境中部署资源的基础设施。

prj-c-datagovernance

包含 Google Cloud实现 CDMC 框架所使用的所有资源。

development

fldr-d-dataplatform

包含数据平台的项目和资源，用于在交互模式下开发使用情形。

non-production

fldr-n-dataplatform

包含数据平台的项目和资源，用于测试您要在运营环境中部署的用例。

production

fldr-p-dataplatform

包含要部署到生产环境的数据平台的项目和资源。

制作者

包含数据网域。

使用者

包含使用方项目。

数据域

包含与特定网域关联的项目。

提取

提取项目会将数据提取到数据网域。该架构提供了一些示例，说明如何将数据流式传输到 BigQuery、Cloud Storage 和 Pub/Sub。提取项目还包含 Dataflow 和 Cloud Composer 示例，您可以使用这些示例来编排提取数据的转换和移动。

非机密

非机密项目包含已去标识化的数据。您可以对数据进行掩蔽、容器化、加密、令牌化或混淆处理。使用政策标记控制数据的呈现方式。

机密

机密项目包含明文数据。您可以通过 IAM 权限控制访问权限。

密钥管理

Cloud KMS

这项服务可安全地管理用于保护敏感数据的加密密钥。

记录管理器

Cloud Run

一种应用，用于维护数据处理活动的全面日志和记录，确保组织能够跟踪和审核数据使用情况。

归档政策

BigQuery

包含数据存储政策的 BigQuery 表。

使用权

BigQuery

一个 BigQuery 表，用于存储有关哪些人可以访问敏感数据的信息。此表可确保只有获得授权的用户才能根据其角色和权限访问特定数据。

数据丢失

敏感数据保护

用于检查资源是否包含敏感数据的服务。

DLP 发现结果

BigQuery

用于在数据平台中编目数据分类的 BigQuery 表。

政策

BigQuery

包含一致数据治理做法（例如数据访问类型）的 BigQuery 表。

账单导出

BigQuery

用于存储从 Cloud Billing 导出的费用信息的表，以便分析与数据资产关联的费用指标。

Cloud Data Quality Engine

Cloud Run

用于针对表和列运行数据质量检查的应用。

数据质量发现结果

BigQuery

一个 BigQuery 表，用于记录在定义的数据质量规则与数据资产的实际质量之间发现的差异。

调度器

Cloud Scheduler

用于控制 Cloud Data Quality Engine 的运行时间和敏感数据保护检查时间的服务。

报告引擎

Cloud Run

用于生成报告的应用，可帮助跟踪和衡量对 CDMC 框架控制措施的遵从情况。

发现结果和资产

BigQuery 和 Pub/Sub

一份 BigQuery 报告，其中列出了数据管理控制方面的差异或不一致之处，例如缺少标记、分类不正确或存储位置不合规。

代码导出

BigQuery

一个 BigQuery 表，其中包含从 Data Catalog 中提取的标记信息。

政策管理

组织政策服务

一种服务，用于定义和强制执行数据可在哪些地理位置存储的限制。

基于属性的访问权限政策

Access Context Manager

这项服务可定义和强制执行基于属性的精细访问权限政策，以便只有位于允许的位置和设备且已获授权的用户才能访问敏感信息。

元数据

Data Catalog

用于存储数据网格中正在使用的表的元数据信息的服务。

Tag Engine

Cloud Run

用于向 BigQuery 表中的数据添加标记的应用。

CDMC 报告

Looker Studio

信息中心，可让分析师查看由 CDMC 架构引擎生成的报告。

数据控制合规性

报告引擎会检测不合规的数据资产，并将发现结果发布到 Pub/Sub 主题。这些发现也会加载到 BigQuery 中，以便使用 Looker Studio 生成报告。

为迁移的数据和云生成的数据确立数据所有权

Data Catalog 会自动从 BigQuery 中提取技术元数据。Tag Engine 会应用参考表中的业务元数据标记（例如所有者名称和敏感性级别），以确保所有敏感数据都带有所有者信息标记，从而确保合规。此自动标记流程可识别敏感数据并为其添加适当的所有者信息，从而帮助实现数据治理和合规性。

数据获取和使用受自动化治理和支持

如果数据资产是权威来源，Data Catalog 会为其添加 is_authoritative 标记，以便对其进行分类。Data Catalog 会自动将这些信息以及技术元数据存储在数据寄存器中。Report Engine 和 Tag Engine 可以使用 Pub/Sub 验证和报告权威来源的数据注册表。

数据主权和跨边界数据移动得到管理

组织政策服务定义了数据资产的允许存储区域，而 Access Context Manager 会根据用户位置限制访问权限。Data Catalog 将已获批准的存储位置存储为元数据标记。报告引擎会将这些代码与 BigQuery 中数据资产的实际位置进行比较，并使用 Pub/Sub 将任何差异发布为发现结果。如果数据存储或访问的位置不在定义的政策范围内，Security Command Center 会生成漏洞发现结果，从而提供额外的监控层。

数据目录已实现、使用和互操作

Data Catalog 会存储和更新所有 BigQuery 数据资产的技术元数据，从而有效创建一个持续同步的 Data Catalog。Data Catalog 可确保将所有新表或修改后的表和视图立即添加到目录中，从而维护最新的数据资产清单。

数据分类得到定义和使用

敏感数据保护功能可检查 BigQuery 数据并识别敏感信息类型。然后，系统会根据分类参考表对这些发现进行排名，并在 Data Catalog 中将最高敏感度级别分配为列级和表级标记。每当添加新数据资产或修改现有数据资产时，Tag Engine 都会使用敏感性标签更新 Data Catalog，以便管理此流程。此流程可确保根据敏感性不断更新数据分类，您可以使用 Pub/Sub 和集成的报告工具监控和生成报告。

数据权限得到管理、实施和跟踪

BigQuery 政策标记可在列级控制对敏感数据的访问权限，确保只有获授权的用户可以根据其分配的政策标记访问特定数据。IAM 管理对数据仓库的整体访问权限，而 Data Catalog 存储敏感性分类。系统会定期进行检查，以确保所有敏感数据都具有相应的政策标记，并使用 Pub/Sub 报告任何差异以进行补救。

数据的道德访问、使用情况和结果得到管理

提供方和使用方的所有数据共享协议都存储在专用 BigQuery 数据仓库中，以控制使用目的。Data Catalog 会使用提供方协议信息为数据资产添加标签，而使用方协议会与 IAM 绑定相关联，以便进行访问权限控制。查询标签会强制执行使用目的，要求使用方在查询敏感数据时指定有效的使用目的，系统会根据其在 BigQuery 中的权限对此进行验证。BigQuery 中的审核跟踪记录会跟踪所有数据访问，并确保遵守数据共享协议。

数据受到保护，控制措施得到证明

Google 的默认静态加密功能有助于保护存储在磁盘上的数据。Cloud KMS 支持客户管理的加密密钥 (CMEK)，以实现增强型密钥管理。BigQuery 会实现列级动态数据脱敏，以实现去标识化，并支持在数据注入期间进行应用级脱敏。Data Catalog 会存储用于对数据资产应用的加密和去标识化技术的元数据标记。自动化检查可确保加密和去标识方法符合预定义的安全政策，并将任何差异报告为使用 Pub/Sub 的发现。

数据隐私框架得到定义和运作

Data Catalog 会为敏感数据资产添加影响评估的相关信息标记，例如主题位置和评估报告链接。Tag Engine 会根据数据敏感性和 BigQuery 中的政策表（该表会根据数据和主题的所在地定义评估要求）应用这些标记。通过此自动标记流程，您可以持续监控和报告是否符合影响评估要求，确保在必要时进行数据保护影响评估 (DPIA) 或保护影响评估 (PIA)。

数据生命周期得到规划和管理

Data Catalog 会使用保留政策为数据资产添加标签，指定保留期限和到期操作（例如归档或清除）。Record Manager 会根据定义的标记自动清除或归档 BigQuery 表，从而强制执行这些政策。这种强制执行可确保遵守数据生命周期政策并保持符合数据保留要求，系统会使用 Pub/Sub 检测并报告任何差异。

数据质量得到管理

Cloud Data Quality Engine 会针对指定的表列定义并运行数据质量规则，并根据准确性和完整性等指标衡量数据质量。这些检查的结果（包括成功百分比和阈值）会作为标记存储在 Data Catalog 中。通过存储这些结果，您可以持续监控和报告数据质量，并使用 Pub/Sub 将任何问题或偏离可接受阈值的情况发布为发现结果。

费用管理原则得到确立和应用

Data Catalog 会存储数据资产的费用相关指标，例如查询费用、存储费用和数据出站流量费用，这些指标是使用从 Cloud Billing 导出到 BigQuery 的结算信息计算得出的。通过存储与费用相关的指标，您可以全面跟踪和分析费用，确保遵守费用政策并高效利用资源，并使用 Pub/Sub 报告任何异常情况。

数据来源和沿袭得到了解

Data Catalog 的内置数据沿袭功能可跟踪数据资产的来源和沿袭，以直观的方式呈现数据流。此外，数据注入脚本会在 Data Catalog 中识别并标记数据的原始来源，从而增强数据可追溯到其来源的可追溯性。

基础流水线

引导

• 数据平台文件夹和子文件夹
• 常见项目
• 基础架构流水线服务账号
• 基础架构流水线的 Cloud Build 触发器
• 共享 VPC
• VPC Service Control 边界

基础架构流水线

基础流水线

• 使用方项目
• Service Catalog 服务账号
• Service Catalog 流水线的 Cloud Build 触发器
• 工件流水线服务账号
• 工件流水线的 Cloud Build 触发器

Service Catalog 渠道

基础架构流水线

• 在 Service Catalog 存储桶中部署的资源

工件流水线

基础架构流水线

工件流水线会生成数据网格使用的代码库的各种容器和其他组件。

CDMC 框架

Google Cloud CDMC 实现

提供一个治理框架，帮助您保护、管理和控制数据资产。如需了解详情，请参阅 CDMC 主要控制措施框架。

部署

基础架构流水线

提供一系列用于部署基础架构、构建容器和创建数据流水线的流水线。使用流水线可以实现可审核性、可追溯性和可重复性。

工件流水线

部署基础架构流水线未部署的各种组件。

Terraform 模板

构建系统基础架构。

Open Policy Agent

有助于确保平台符合所选政策。

网络

Private Service Connect

在 API 层和 IP 层为架构资源提供数据渗漏防护。可让您使用专用 IP 地址与 Google Cloud API 通信，这样您可以避免将流量公开给互联网。

具有专用 IP 地址的 VPC 网络

有助于防范面向互联网的威胁。

VPC Service Controls

帮助保护敏感资源免遭数据渗漏。

防火墙

帮助保护 VPC 网络免遭未经授权的访问。

访问权限管理

Access Context Manager

控制哪些人可以访问哪些资源，并帮助防止未经授权使用您的资源。

工作负载身份联合

无需外部凭据即可将数据从本地环境传输到平台。

Data Catalog

提供可供用户使用的资源索引。

IAM

提供精细访问权限。

加密

Cloud KMS

可让您管理加密密钥和密文，并通过静态加密和传输加密帮助保护您的数据。

Secrets Manager

为由 IAM 控制的流水线提供 Secret 存储区。

静态加密

默认情况下， Google Cloud 会对静态数据进行加密。

传输加密

默认情况下， Google Cloud 会对传输中的数据进行加密。

检测性

Security Command Center

帮助您检测组织中的错误配置和恶意活动。 Google Cloud

持续架构

根据您定义的一系列 OPA 政策，持续检查您的组织。 Google Cloud

IAM Recommender

分析用户权限，并提供有关减少权限的建议，以帮助实施最小权限原则。

防火墙数据分析

分析防火墙规则，识别过于宽松的防火墙规则，并建议限制性更强的防火墙，以帮助强化整体安全状况。

Cloud Logging

可让您了解系统活动，并有助于检测异常和恶意活动。

Cloud Monitoring

跟踪有助于识别可疑活动的关键信号和事件。

预防

组织政策

可让您控制和限制 Google Cloud组织中的操作。