部署企業資料管理和分析平台

資源階層

這個架構會使用企業基礎架構藍圖中的資源階層。

網路

這個架構包含使用 Workload Identity Federation 和 Tink 程式庫的資料移轉服務範例。

角色和 IAM 權限

這項架構包含區隔資料生產者角色、資料使用者角色、資料治理角色和資料平台角色。

中繼資料

此架構會使用 Data Catalog 管理資料中繼資料。

集中式政策管理

為了管理政策，架構會使用 Google Cloud對 CDMC 架構的實作。

資料存取權管理

為控管資料存取權，架構中包含獨立程序，要求資料消費者向資料擁有者提出資料資產存取權要求。

資料品質

這個架構會使用 Cloud Data Quality Engine，在指定的資料表欄上定義並執行資料品質規則，根據正確性和完整性等指標評估資料品質。

資料安全性

這個架構會使用標記、加密、遮蓋、符記化和 IAM 控管機制，確保資料安全。

資料環境

此架構包含三個環境。兩個環境 (非正式環境和正式環境) 都是由管道驅動的作業環境。其中一個環境 (開發) 是互動式環境。

資料負責人

資料擁有者會擷取、處理、公開及授予資料資產的存取權。

資料使用者

資料使用者要求存取資料資產。

pipeline

這個架構會使用下列管道部署資源：

• 基礎管道
• 基礎架構管道
• 構件管道
• Service Catalog 管道

存放區

每個管道都會使用個別的存放區，以便分工。

處理流程

這項程序要求實際工作環境的變更必須包含提交者和核准者。

資料產品評量表

報表引擎會產生資料產品分數卡。

Cloud Logging

這個架構會使用企業基礎架構藍圖中的記錄基礎架構。

Cloud Monitoring

這個架構會使用企業基礎架構藍圖中的監控基礎架構。

data-mesh-ops@example.com

資料網格的整體管理員

roles/owner (資料平台)

gcp-dm-governance-admins@example.com

資料管理專案的管理員

資料治理專案的 roles/owner

gcp-dm-governance-developers@example.com

建構及維護資料治理元件的開發人員

資料治理專案中的多個角色，包括 roles/viewer、BigQuery 角色和資料目錄角色

gcp-dm-governance-data-readers@example.com

資料治理資訊讀者

roles/viewer

gcp-dm-governance-security-administrator@example.com

治理專案的安全性管理員

roles/orgpolicy.policyAdmin 和 roles/iam.securityReviewer

gcp-dm-governance-tag-template-users@example.com

具備使用標記範本權限的群組

roles/datacatalog.tagTemplateUser

gcp-dm-governance-tag-users@example.com

具備使用標記範本和新增標記權限的群組

roles/datacatalog.tagTemplateUser 和 roles/datacatalog.tagEditor

gcp-dm-governance-scc-notifications@example.com

Security Command Center 通知的服務帳戶群組

無，這是會員群組，我們會使用這個名稱建立服務帳戶，並賦予必要權限。

gcp-dm-{data_domain_name}-admins@example.com

特定資料網域的管理員

資料領域專案的 roles/owner

gcp-dm-{data_domain_name}-developers@example.com

在資料領域中建構及維護資料產品的開發人員

資料網域專案中的多個角色，包括 roles/viewer、BigQuery 角色和 Cloud Storage 角色

gcp-dm-{data_domain_name}-data-readers@example.com

資料網域資訊的讀者

roles/viewer

gcp-dm-{data_domain_name}-metadata-editors@{var.domain}

Data Catalog 項目編輯者

可編輯 Data Catalog 項目的角色

gcp-dm-{data_domain_name}-data-stewards@example.com

資料領域的資料管理員

管理中繼資料和資料管理方面的角色

gcp-dm-consumer-{project_name}-admins@example.com

特定消費者專案的管理員

消費者專案的 roles/owner

gcp-dm-consumer-{project_name}-developers@example.com

在消費者專案中工作的開發人員

消費者專案中的多個角色，包括 roles/viewer 和 BigQuery 角色

gcp-dm-consumer-{project_name}-data-readers@example.com

讀取用戶專案資訊的使用者

roles/viewer

common

prj-c-artifact-pipeline

包含用於建構架構程式碼構件 (artifact) 的部署管道。

prj-c-service-catalog

包含 Service Catalog 用於在互動式環境中部署資源的基礎架構。

prj-c-datagovernance

包含 Google Cloud實作 CDMC 架構時所用的所有資源。

development

fldr-d-dataplatform

包含資料平台的專案和資源，可用於在互動模式下開發用途。

non-production

fldr-n-dataplatform

包含資料平台的專案和資源，用於測試您要在作業環境中部署的用途。

production

fldr-p-dataplatform

包含資料平台的專案和資源，可部署至正式環境。

製作人

包含資料網域。

使用者

包含用戶專案。

資料領域

包含與特定網域相關聯的專案。

擷取

擷取專案會將資料擷取至資料領域。架構中提供的範例說明如何將資料串流至 BigQuery、Cloud Storage 和 Pub/Sub。擷取專案也包含 Dataflow 和 Cloud Composer 範例，可用於自動化調度管理擷取資料的轉換和移動作業。

非機密

非機密專案包含已去識別化處理的資料。您可以遮蓋、容器化、加密、符記化或模糊處理資料。使用政策標記來控制資料的呈現方式。

機密

機密專案包含明文資料。您可以透過身分與存取權管理權限控管存取權。

金鑰管理

Cloud KMS

這項服務可安全管理用於保護機密資料的加密金鑰。

記錄管理員

Cloud Run

應用程式會維護完整的記錄和資料處理活動記錄，確保機構能夠追蹤及稽核資料使用情形。

封存政策

BigQuery

包含資料儲存政策的 BigQuery 資料表。

授權

BigQuery

儲存可存取機密資料的使用者資訊的 BigQuery 資料表。這個表格可確保只有獲得授權的使用者才能根據其角色和權限存取特定資料。

資料遺失

Sensitive Data Protection

用於檢查資產是否含有機密資料的服務。

資料遺失防護發現項目

BigQuery

用於在資料平台中分類資料分類的 BigQuery 資料表。

政策

BigQuery

包含一致資料治理做法的 BigQuery 資料表 (例如資料存取類型)。

匯出帳單

BigQuery

這個資料表會儲存從 Cloud Billing 匯出的費用資訊，以便分析與資料資產相關聯的費用指標。

Cloud Data Quality Engine

Cloud Run

為資料表和資料欄執行資料品質檢查的應用程式。

資料品質發現項目

BigQuery

記錄已識別的資料資產實際品質與定義的資料品質規則之間差異的 BigQuery 資料表。

排程器

Cloud Scheduler

這項服務可控制 Cloud Data Quality Engine 的執行時間，以及機密資料保護檢查作業的執行時間。

報表引擎

Cloud Run

產生報表的應用程式，可協助追蹤及評估是否遵循 CDMC 架構的控制項。

發現事項和資產

BigQuery 和 Pub/Sub

BigQuery 報告指出資料管理控管機制出現差異或不一致的情況，例如缺少標記、分類不正確或儲存位置不符合規定。

代碼匯出

BigQuery

包含 Data Catalog 中擷取的標記資訊的 BigQuery 資料表。

政策管理

機構政策服務

這項服務會定義並強制執行資料的地理儲存位置限制。

以屬性為基礎的存取權政策

Access Context Manager

這項服務會定義並強制執行精細的屬性存取權政策，以便只有來自許可位置和裝置的授權使用者，才能存取機密資訊。

中繼資料

Data Catalog

這項服務會儲存資料結構中所用資料表的中繼資料資訊。

代碼引擎

Cloud Run

可將標記新增至 BigQuery 資料表資料的應用程式。

CDMC 報表

Looker Studio

資訊主頁可讓分析師查看由 CDMC 架構引擎產生的報表。

資料控制法規遵循

報表引擎會偵測不符規定的資料資產，並將結果發布至 Pub/Sub 主題。這些發現也會載入至 BigQuery，以便使用 Looker Studio 製作報表。

為遷移資料和雲端產生的資料建立資料擁有權

資料目錄會自動擷取 BigQuery 中的技術中繼資料。標記引擎會套用來自參考表格的商家中繼資料標記，例如業主名稱和機密程度，以確保所有機密資料都標有業主資訊，符合法規要求。這個自動標記程序會使用適當的擁有者資訊，識別並標記機密資料，有助於提供資料治理和法規遵循。

資料來源和使用方式受到自動化功能的管理和支援

如果資料資產是權威來源，Data Catalog 會標記 is_authoritative 標記來分類資料資產。Data Catalog 會自動將這項資訊與技術中繼資料儲存在資料註冊中。報表引擎和代碼引擎可以使用 Pub/Sub 驗證及回報可靠來源的資料註冊。

管理資料主權和跨境資料移轉

機構政策服務會定義資料資產的許可儲存區域，而存取情境管理工具會根據使用者位置限制存取權。Data Catalog 會將核准的儲存位置儲存為中繼資料標記。報表引擎會將這些標記與 BigQuery 中資料資產的實際位置進行比較，並使用 Pub/Sub 將任何差異發布為發現項目。如果資料儲存在或存取於定義的政策之外，Security Command Center 會產生安全漏洞發現項目，提供額外的監控層級。

資料目錄已實作、使用且可互通

資料目錄會儲存及更新所有 BigQuery 資料資產的技術中繼資料，有效建立持續同步的資料目錄。Data Catalog 會確保任何新建或修改的資料表和檢視畫面立即加入目錄，維持最新的資料資產目錄。

定義及使用資料分類

Sensitive Data Protection 會檢查 BigQuery 資料，並識別機密資訊類型。系統會根據分類參考資料表為這些結果進行排名，並在資料目錄的資料欄和資料表層級，將最高敏感度等級指派為標記。每當新增資料資產或修改現有資料資產時，標記引擎就會更新 Data Catalog 中的敏感度標記，藉此管理這項程序。這個程序可確保資料類別會根據敏感度持續更新，您可以使用 Pub/Sub 和整合式報表工具監控及回報資料。

管理、強制執行及追蹤資料授權

BigQuery 政策標記可控管資料欄層級的機密資料存取權，確保只有獲授權的使用者才能根據指派的政策標記存取特定資料。IAM 會管理資料倉儲的整體存取權，而 Data Catalog 則會儲存敏感度分類。系統會定期執行檢查，確保所有機密資料都設有對應的政策標記，並使用 Pub/Sub 回報任何差異，以便進行修正。

管理資料的存取、使用和結果，並確保符合道德規範

提供者和使用者之間的資料共用協議會儲存在專屬的 BigQuery 資料倉儲中，以控管使用目的。Data Catalog 會使用供應商協議資訊標記資料資產，而消費者協議則會連結至 IAM 繫結，以便進行存取權控制。查詢標籤會強制執行使用目的，要求使用者在查詢機密資料時指定有效目的，並根據他們在 BigQuery 中的授權進行驗證。BigQuery 中的稽核記錄會追蹤所有資料存取情形，確保遵守資料共用協議。

資料安全無虞，且有控管措施的證明

Google 的預設靜態資料加密功能可保護儲存在磁碟上的資料。Cloud KMS 支援客戶管理的加密金鑰 (CMEK)，可強化金鑰管理功能。BigQuery 會實作資料欄層級的動態資料遮罩功能，以便去識別，並在擷取資料時支援應用程式層級的去識別功能。Data Catalog 會為資料資產所採用的加密和去識別化技巧儲存中繼資料標記。自動檢查可確保加密和去識別方法符合預先定義的安全性政策，並將任何差異以 Pub/Sub 回報為發現事項。

定義並實施資料隱私權架構

Data Catalog 會為私密資料資產加上相關影響評估資訊，例如主體位置和評估報告連結。標記引擎會根據資料敏感度和 BigQuery 中的政策表，套用這些標記。政策表會根據資料和主體居住地定義評估要求。這個自動標記程序可讓您持續監控並回報是否符合影響評估規定，確保在必要時執行資料保護影響評估 (DPIA) 或保護影響評估 (PIA)。

規劃及管理資料生命週期

資料目錄會根據保留政策標記資料資產，指定保留期間和到期動作 (例如封存或清除)。記錄管理工具會根據定義的標記，清除或封存 BigQuery 資料表，自動執行這些政策。這項強制執行機制可確保遵守資料生命週期政策，並遵循資料保留規定，並使用 Pub/Sub 偵測及回報任何差異。

資料品質受到管理

Cloud Data Quality Engine 會在指定的資料表欄上定義及執行資料品質規則，並根據正確性和完整性等指標評估資料品質。這些檢查的結果 (包括成功百分比和門檻) 會儲存在 Data Catalog 中，做為標記。儲存這些結果可讓您持續監控及回報資料品質，並使用 Pub/Sub 將任何問題或偏離可接受門檻的情況發布為發現項目。

建立並套用成本管理原則

資料目錄會儲存資料資產的費用相關指標，例如查詢費用、儲存費用和資料傳出費用，這些指標會使用從 Cloud Billing 匯出至 BigQuery 的帳單資訊來計算。儲存費用相關指標可讓您全面追蹤及分析費用，確保遵守費用政策並有效運用資源，並使用 Pub/Sub 回報任何異常情況。

瞭解資料來源和資料歷程

Data Catalog 內建的資料歷程功能可追蹤資料資產的來源和歷程，以視覺化方式呈現資料流程。此外，資料擷取指令碼會在 Data Catalog 中識別資料的原始來源並加上標記，提升資料追溯來源的可追溯性。

基礎管道

啟動

• 資料平台資料夾和子資料夾
• 常見專案
• 基礎架構管道服務帳戶
• 基礎架構管道專用的 Cloud Build 觸發條件
• 共用虛擬私有雲
• VPC Service Control 範圍

基礎架構管道

基礎管道

• 消費者專案
• Service Catalog 服務帳戶
• Service Catalog 管道的 Cloud Build 觸發條件
• 構件管道服務帳戶
• 構件管道的 Cloud Build 觸發條件

Service Catalog 管道

基礎架構管道

• 部署在 Service Catalog 值區中的資源

構件管道

基礎架構管道

構件管道會產生資料匯集所使用的程式碼庫的各種容器和其他元件。

CDMC 架構

Google Cloud CDMC 實作

提供管理架構，協助您保護、管理及控管資料資產。詳情請參閱 CDMC 重要控制項架構。

部署作業

基礎架構管道

提供一系列管道，用於部署基礎架構、建構容器，以及建立資料管道。使用管道可確保可稽核、可追溯和可重複性。

構件管道

部署基礎架構管道未部署的各種元件。

Terraform 範本

建構系統基礎架構。

Open Policy Agent

有助於確保平台符合所選政策。

網路

Private Service Connect

在 API 層和 IP 層提供架構資源的資料竊取防護機制。讓您使用私人 IP 位址與 Google Cloud API 通訊，避免將流量暴露於網際網路。

含有私人 IP 位址的虛擬私有雲網路

有助於避免遭受面向網際網路的威脅。

VPC Service Controls

協助保護機密資源，避免資料外洩。

防火牆

有助於保護虛擬私有雲網路，避免遭到未經授權的存取行為。

存取權管理

Access Context Manager

控管哪些使用者可以存取哪些資源，並協助防止未經授權使用您的資源。

Workload Identity 聯盟

無須使用外部憑證，即可將資料從內部部署環境轉移至平台。

Data Catalog

提供使用者可用的資產索引。

IAM

提供精細的存取權。

加密

Cloud KMS

可讓您管理加密金鑰和機密金鑰，並透過靜態加密和傳輸加密來保護資料。

Secrets Manager

為由 IAM 控管的管道提供密鑰儲存庫。

靜態資料加密

根據預設， Google Cloud 會加密靜態資料。

傳輸中資料加密

根據預設， Google Cloud 會加密傳輸中的資料。

偵測性

Security Command Center

協助您偵測組織中的設定錯誤和惡意活動。 Google Cloud

持續性架構

持續檢查 Google Cloud 貴機構是否符合您定義的一系列 OPA 政策。

IAM 建議工具

分析使用者權限，並提供減少權限的建議，協助您落實最低權限原則。

防火牆深入分析

分析防火牆規則、找出過度寬鬆的防火牆規則，並建議使用更嚴格的防火牆，以強化整體安全防護機制。

Cloud Logging

提供系統活動的瀏覽權限，有助於偵測異常狀況和惡意活動。

Cloud Monitoring

追蹤可協助識別可疑活動的重要信號和事件。

預防性

機構政策

讓您控管並限制貴機構內的 Google Cloud 動作。