Compartir reglas de Controles de Servicio de VPC
En este documento se describen las reglas de entrada y salida que deben permitir que los editores y suscriptores accedan a los datos de los proyectos que tienen perímetros de Controles de Servicio de VPC. Se presupone que conoces los perímetros de los Controles de Servicio de VPC, los conjuntos de datos compartidos, los intercambios de datos>, las fichas y los conjuntos de datos vinculados.
Un proyecto de llamada es el proyecto de red o de cliente que inicia la solicitud, como una consulta SQL o un comando de la CLI de Google Cloud.
Crear un intercambio de datos
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido están en perímetros de servicio diferentes:
Imagen 1. Reglas de Controles de Servicio de VPC para crear un intercambio de datos.
En la figura 1, se han etiquetado los siguientes componentes:
- El llamante es administrador de Analytics Hub.
- Project R es el proyecto que llama.
- El proyecto E aloja el intercambio de datos y las fichas de BigQuery Sharing (antes Analytics Hub).
Como administrador de Analytics Hub, si crea un intercambio de datos en un proyecto distinto del proyecto de la llamada, debe añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R | Regla de salida del proyecto E |
| Proyecto E (intercambio de datos) | Regla de entrada del proyecto R |
Crear una ficha
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido están en perímetros de servicio diferentes:
Imagen 2. Reglas de Controles de Servicio de VPC para crear una ficha.
En la figura 2, se han etiquetado los siguientes componentes:
- El llamante es administrador o editor de Analytics Hub.
- Project R es el proyecto que llama.
- El proyecto E aloja el intercambio de datos y las fichas de Sharing.
- El proyecto S aloja el conjunto de datos compartido.
Cuando creas una ficha en un intercambio de datos que está en un proyecto diferente al del conjunto de datos compartido, debes añadir las siguientes reglas de entrada y salida para permitir que los editores creen una ficha:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto S |
| Proyecto E (intercambio de datos) |
Regla de salida del proyecto S Regla de entrada del proyecto R |
| Proyecto S (conjunto de datos compartido) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Suscribirse a una ficha
En el siguiente diagrama, los proyectos que contienen la ficha y el conjunto de datos vinculado de esa ficha están en perímetros de servicio diferentes:
Imagen 3. Reglas de Controles de Servicio de VPC para suscribirse a una ficha.
En la figura 3, se han etiquetado los siguientes componentes:
- Llamante es suscriptor de Analytics Hub.
- Project R es el proyecto que llama.
- El proyecto E aloja el intercambio de datos y las fichas de Sharing.
- El proyecto L aloja el conjunto de datos vinculado.
Si tiene una suscripción a Analytics Hub, cuando se suscriba a una ficha de un intercambio de datos que esté en un proyecto diferente al suyo, deberá añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto L |
| Proyecto E (ficha) |
Regla de salida del proyecto L Regla de entrada del proyecto R |
| Proyecto L (conjunto de datos vinculado) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Consultar tablas de un conjunto de datos vinculado
En el siguiente diagrama, el proyecto de llamada y el proyecto que contiene el conjunto de datos vinculado están en perímetros de servicio diferentes:
Imagen 4. Reglas de Controles de Servicio de VPC para consultar un conjunto de datos vinculado.
En la figura 4, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de Analytics Hub o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V aloja el conjunto de datos compartido que contiene la tabla.
Como suscriptor de Analytics Hub, cuando consulte una tabla del conjunto de datos vinculado, debe añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R | Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) | Regla de entrada del proyecto R |
Consultar vistas de un conjunto de datos vinculado
Situación 1
En el siguiente diagrama, los proyectos que contienen el conjunto de datos vinculado y las tablas base asociadas a la vista están en perímetros de servicio diferentes. La vista (Project S) y la tabla base asociada a la vista (Project V) están en proyectos diferentes:
Imagen 5. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 5, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de Analytics Hub o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto S aloja el conjunto de datos compartido.
- El proyecto V aloja el conjunto de datos que contiene las tablas base asociadas a la vista.
Si tiene una suscripción a Analytics Hub, cuando consulte una vista de un conjunto de datos vinculado, debe añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L Regla de salida del proyecto V |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R Regla de salida del proyecto V |
| Proyecto V |
Regla de salida del proyecto L Regla de entrada del proyecto R |
Situación 2
En el siguiente diagrama, la vista (Proyecto V) y la tabla base asociada a la vista (Proyecto V) están en el mismo proyecto:
Imagen 6. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 6, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de Analytics Hub o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V contiene tanto la vista como las tablas base asociadas a la vista.
Si tiene una suscripción a Analytics Hub, cuando consulte una vista de un conjunto de datos vinculado, debe añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R |
Consultar vistas autorizadas en un conjunto de datos vinculado
En el siguiente diagrama, la vista autorizada y la tabla base asociada a la vista autorizada (Proyecto V) están en el mismo proyecto:
Imagen 7. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 7, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de Analytics Hub o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V contiene tanto la vista autorizada como las tablas base asociadas a la vista.
Si tiene una suscripción a Analytics Hub, cuando consulte una vista de un conjunto de datos vinculado, debe añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R |
Limitaciones
La función de compartir de BigQuery (antes Analytics Hub) no admite reglas basadas en métodos. Para permitir métodos, debes permitir todos los métodos. Por ejemplo:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Si los recursos de BigQuery también están protegidos por perímetros de servicio, también se deben permitir las reglas de entrada y salida para el servicio de BigQuery. No es necesario al crear un intercambio de datos. Las reglas de entrada y salida de BigQuery serán similares a las del uso compartido de BigQuery. Por ejemplo:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
Siguientes pasos
- Para solucionar problemas de Controles de Servicio de VPC, consulta Solucionar problemas habituales.
- Consulta información sobre las reglas de entrada y salida.
- Consulta información sobre cómo configurar políticas de entrada y salida.
- Consulta cómo crear una ficha.
- Consulta cómo suscribirte a una ficha.
- Consulta información sobre el registro de auditoría de uso compartido.