Reglas de los Controles del servicio de VPC de Analytics Hub
En este documento, se describen las reglas de entrada y salida que necesitas para permitir que los publicadores y suscriptores accedan a los datos de los proyectos que tienen perímetros de Controles del servicio de VPC.
En este documento, se da por hecho que tienes conocimientos sobre los perímetros de Controles del servicio de VPC, los conjuntos de datos compartidos, los intercambios de datos, listas y conjuntos de datos vinculados. Un proyecto de emisor es el proyecto de red o cliente que inicia la solicitud, como una consulta de SQL o un comando de Google Cloud CLI.
Crea un intercambio de datos
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido se encuentran en diferentes perímetros de servicio:
Figura 1. Reglas de los Controles del servicio de VPC para crear un intercambio de datos.
En la figura 1, se etiquetan los siguientes componentes:
- emisor es un administrador de Analytics Hub.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto E aloja las listas y el intercambio de datos de Analytics Hub.
Como administrador de Analytics Hub, cuando creas un intercambio de datos en un proyecto diferente al proyecto emisor, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R | Regla de salida del proyecto E |
| Proyecto E (intercambio de datos) | Regla de entrada del proyecto R |
Crea una ficha
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido se encuentran en diferentes perímetros de servicio:
Figura 2. Reglas de los Controles del servicio de VPC para crear una lista.
En la figura 2, se etiquetan los siguientes componentes:
- emisor es un administrador o publicador de Analytics Hub.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto E aloja las listas y el intercambio de datos de Analytics Hub.
- El proyecto S aloja el conjunto de datos compartido.
Cuando creas una lista en un intercambio de datos que se encuentra en un proyecto diferente al del conjunto de datos compartido, debes agregar las siguientes reglas de entrada y salida para permitir que los publicadores creen una lista:
| Proyecto | Regla |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto S |
| Proyecto E (intercambio de datos) |
Regla de salida del proyecto S Regla de entrada del proyecto R |
| Proyecto S (conjunto de datos compartidos) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Suscríbete a una ficha
En el siguiente diagrama, los proyectos que contienen la lista y el conjunto de datos vinculados para esa lista se encuentran en diferentes perímetros de servicio:
Figura 3. Reglas de los Controles del servicio de VPC para transcribir una lista.
En la figura 3, se etiquetan los siguientes componentes:
- Emisor es un suscriptor de Analytics Hub.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto E aloja las listas y el intercambio de datos de Analytics Hub.
- El proyecto L aloja el conjunto de datos vinculado.
Como suscriptor de Analytics Hub, cuando te suscribes a una lista en un intercambio de datos que se encuentra en un proyecto diferente al de tu proyecto, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto L |
| Proyecto E (lista) |
Regla de salida del proyecto L Regla de entrada del proyecto R |
| Proyecto L (conjunto de datos vinculados) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Consulta tablas en un conjunto de datos vinculado
En el siguiente diagrama, el proyecto que realiza la llamada y el proyecto que contiene el conjunto de datos vinculado se encuentran en diferentes perímetros de servicio:
Figura 4. Reglas de los Controles del servicio de VPC para consultar un conjunto de datos vinculado.
En la figura 4, se etiquetan los siguientes componentes:
- Emisor es un suscriptor de Analytics Hub o cualquier usuario de trabajo de BigQuery del conjunto de datos vinculado.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto V aloja el conjunto de datos compartidos que contiene la tabla.
Como suscriptor de Analytics Hub, cuando consultas una tabla en el conjunto de datos vinculados, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R | Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculados) | Regla de entrada del proyecto R |
Visualiza consultas en un conjunto de datos vinculado
Situación 1
En el siguiente diagrama, los proyectos que contienen el conjunto de datos vinculado y las tablas base asociadas con la vista se encuentran en diferentes perímetros de servicio. La vista (Proyecto S) y la tabla base asociada con la vista (Proyecto V) se encuentran en proyectos diferentes:
Figura 5. Reglas de los Controles del servicio de VPC para consultar una vista de un conjunto de datos vinculado.
En la figura 5, se etiquetan los siguientes componentes:
- Emisor es un suscriptor de Analytics Hub o cualquier usuario de trabajo de BigQuery del conjunto de datos vinculado.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto S aloja el conjunto de datos compartido.
- El proyecto V aloja el conjunto de datos que contiene las tablas base asociadas con la vista.
Como suscriptor de Analytics Hub, cuando consultas una vista en un conjunto de datos vinculados, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R |
Regla de salida del proyecto L Regla de salida del proyecto V |
| Proyecto L (conjunto de datos vinculados) |
Regla de entrada del proyecto R Regla de salida del proyecto V |
| Proyecto V |
Regla de salida del proyecto L Regla de entrada del proyecto R |
Situación 2
En el siguiente diagrama, la vista (Proyecto S) y la tabla base asociada con la vista (Proyecto V) están en el mismo proyecto:
Figura 6. Reglas de los Controles del servicio de VPC para consultar una vista de un conjunto de datos vinculado.
En la figura 6, se etiquetan los siguientes componentes:
- Emisor es un suscriptor de Analytics Hub o cualquier usuario de trabajo de BigQuery del conjunto de datos vinculado.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto V aloja la vista y las tablas base asociadas con la vista.
Como suscriptor de Analytics Hub, cuando consultas una vista en un conjunto de datos vinculados, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculados) |
Regla de entrada del proyecto R |
Consulta vistas autorizadas en un conjunto de datos vinculado
En el siguiente diagrama, la vista autorizada y la tabla base asociada con la vista autorizada (proyecto V) están en el mismo proyecto:
Figura 8. Reglas de los Controles del servicio de VPC para consultar una vista de un conjunto de datos vinculado.
En la figura 8, se etiquetan los siguientes componentes:
- Emisor es un suscriptor de Analytics Hub o cualquier usuario de trabajo de BigQuery del conjunto de datos vinculado.
- El proyecto R es el proyecto que realiza la llamada.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto V aloja la vista autorizada y las tablas base asociadas con la vista.
Como suscriptor de Analytics Hub, cuando consultas una vista en un conjunto de datos vinculados, debes agregar las siguientes reglas de entrada y salida:
| Proyecto | Regla |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculados) |
Regla de entrada del proyecto R |
Limitaciones
Analytics Hub no admite reglas basadas en métodos. Para permitir métodos, debes permitir todos los métodos. Por ejemplo:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
¿Qué sigue?
- Obtén información sobre las reglas de entrada y salida.
- Obtén información sobre la configuración de las políticas de entrada y salida.
- Obtén información sobre cómo crear un intercambio de datos.
- Obtén información sobre cómo crear una ficha.
- Obtén información sobre cómo suscribirse a una ficha.
- Obtén más información sobre el registro de auditoría de Analytics Hub.