VPC Service Controls-Regeln für Analytics Hub

In diesem Dokument werden die Regeln für eingehenden und ausgehenden Traffic beschrieben, die Sie benötigen, damit Publisher und Abonnenten auf Daten von Projekten mit VPC Service Controls-Perimetern zugreifen können. Es wird davon ausgegangen, dass Sie mit VPC Service Controls-Perimetern, freigegebenen Datasets, Datenpools, Listen und verknüpfte Datasets vertraut sind.

Ein Aufruferprojekt ist das Netzwerk- oder Clientprojekt, das die Anfrage initiiert, z. B. eine SQL-Abfrage oder ein Google Cloud-Befehlszeilenbefehl.

Datenaustausch erstellen

Im folgenden Diagramm befinden sich die Projekte, die den Datenaustausch und das freigegbene Dataset enthalten, in verschiedenen Dienstperimetern:

VPC Service Controls-Regel beim Erstellen eines Datenpools.

Abbildung 1. VPC Service Controls-Regeln zum Erstellen eines Datenpools.

In Abbildung 1 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Administrator.
  • Project R ist das Aufruferprojekt.
  • Projekt E hostet den Datenpool und die Einträge von Analytics Hub.

Wenn Sie als Analytics Hub-Administrator einen Datenpool in einem anderen Projekt als dem Aufruferprojekt erstellen, müssen Sie die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R Regel für ausgehenden Traffic für Projekt E
Projekt E (Datenpool) Regel für eingehenden Traffic für Projekt R

Eintrag erstellen

Im folgenden Diagramm befinden sich die Projekte, die den Datenaustausch und das freigegbene Dataset enthalten, in verschiedenen Dienstperimetern:

VPC Service Controls-Regel beim Erstellen eines Eintrags.

Abbildung 2. VPC Service Controls-Regeln zum Erstellen eines Eintrags.

In Abbildung 2 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Administrator oder Publisher.
  • Project R ist das Aufruferprojekt.
  • Projekt E hostet den Datenpool und die Einträge von Analytics Hub.
  • Projekt S hostet das freigegebene Dataset.

Wenn Sie einen Eintrag in einem Datenpool erstellen, der sich in einem anderen Projekt als dem freigebenen Dataset befindet, müssen Sie die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen, damit Publisher eine Liste erstellen können:

Projekt Regel
Projekt R

Regel für ausgehenden Traffic für Projekt E

Regel für ausgehenden Traffic für Projekt S

Projekt E (Datenpool)

Regel für ausgehenden Traffic für Projekt S

Regel für eingehenden Traffic für Projekt R

Projekt S (freigegebenes Dataset)

Regel für ausgehenden Traffic für Projekt E

Regel für eingehenden Traffic für Projekt R

Eintrag abonnieren

Im folgenden Diagramm befinden sich die Projekte, die den Eintrag enthalten, und das verknüpfte Dataset für diese Auflistung in verschiedenen Dienstperimetern:

VPC Service Controls-Regel beim Abonnieren eines Eintrags.

Abbildung 3. VPC Service Controls-Regeln zum Abonnieren eines Eintrags.

In Abbildung 3 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Abonnent.
  • Project R ist das Aufruferprojekt.
  • Projekt E hostet den Datenpool und die Einträge von Analytics Hub.
  • Projekt L hostet das verknüpfte Dataset.

Wenn Sie als Analytics Hub-Abonnent einen Eintrag in einem Datenpool abonnieren, der sich in einem anderen Projekt als Ihrem Projekt befindet, müssen Sie die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R

Regel für ausgehenden Traffic für Projekt E

Regel für ausgehenden Traffic für Projekt L

Projekt E (Eintrag)

Regel für ausgehenden Traffic für Projekt L

Regel für eingehenden Traffic für Projekt R

Projekt L (verknüpftes Dataset)

Regel für ausgehenden Traffic für Projekt E

Regel für eingehenden Traffic für Projekt R

Tabellen in einem verknüpften Dataset abfragen

Im folgenden Diagramm befinden sich das Aufruferprojekt und das Projekt, das das verknüpfte Dataset enthält, in unterschiedlichen Dienstperimetern:

VPC Service Controls-Regel beim Abfragen einer Tabelle im verknüpften Dataset.

Abbildung 4. VPC Service Controls-Regeln für die Abfrage eines verknüpften Datasets.

In Abbildung 4 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Abonnent oder ein BigQuery-Jobnutzer des verknüpften Datasets.
  • Project R ist das Aufruferprojekt.
  • Projekt L hostet das verknüpfte Dataset.
  • In Projekt V wird das freigegebene Dataset gehostet, das die Tabelle enthält.

Wenn Sie eine Tabelle im verknüpften Dataset abfragen, müssen Sie als Analytics Hub-Abonnent die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R Regel für ausgehenden Traffic für Projekt L
Projekt L (verknüpftes Dataset) Regel für eingehenden Traffic für Projekt R

Ansichten in einem verknüpften Dataset abfragen

Szenario 1

Im folgenden Diagramm befinden sich Projekte, die das verknüpfte Dataset und die mit der Ansicht verknüpften Basistabellen enthalten, in verschiedenen Dienstperimetern. Die Ansicht (Projekt S) und die mit der Ansicht verknüpfte Basistabelle (Projekt V) befinden sich in verschiedenen Projekten:

Ansicht und Basistabellen befinden sich in verschiedenen Projekten.

Abbildung 5. VPC Service Controls-Regeln zum Abfragen einer Ansicht in einem verknüpften Dataset.

In Abbildung 5 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Abonnent oder ein BigQuery-Jobnutzer des verknüpften Datasets.
  • Project R ist das Aufruferprojekt.
  • Projekt L hostet das verknüpfte Dataset.
  • Projekt S hostet das freigegebene Dataset.
  • In Projekt V wird das Dataset gehostet, das die Basistabellen enthält, die mit die Ansicht verknüpft ist.

Wenn Sie eine Ansicht im verknüpften Dataset abfragen, müssen Sie als Analytics Hub-Abonnent die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R

Regel für ausgehenden Traffic für Projekt L

Regel für ausgehenden Traffic für Projekt V

Projekt L (verknüpftes Dataset)

Regel für eingehenden Traffic für Projekt R

Regel für ausgehenden Traffic für Projekt V

Projekt V

Regel für ausgehenden Traffic für Projekt L

Regel für eingehenden Traffic für Projekt R

Szenario 2

Im folgenden Diagramm befinden sich die Ansicht (Projekt V) und die mit der Ansicht verknüpfte Basistabelle (Projekt V) im selben Projekt:

Ansicht und Basistabellen befinden sich im selben Projekt.

Abbildung 6. VPC Service Controls-Regeln zum Abfragen einer Ansicht in einem verknüpften Dataset.

In Abbildung 6 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Abonnent oder ein BigQuery-Jobnutzer des verknüpften Datasets.
  • Project R ist das Aufruferprojekt.
  • Projekt L hostet das verknüpfte Dataset.
  • Projekt V hostet sowohl die Ansicht als auch die mit der Ansicht verknüpften Basistabellen.

Wenn Sie eine Ansicht im verknüpften Dataset abfragen, müssen Sie als Analytics Hub-Abonnent die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R

Regel für ausgehenden Traffic für Projekt L

Projekt L (verknüpftes Dataset)

Regel für eingehenden Traffic für Projekt R

Autorisierte Ansichten in einem verknüpften Dataset abfragen

Im folgenden Diagramm befinden sich die autorisierte Ansicht und die Basistabelle, die mit der autorisierten Ansicht (Projekt V) verknüpft ist, im selben Projekt:

autorisierte Ansicht und Basistabellen befinden sich im selben Projekt.

Abbildung 7. VPC Service Controls-Regeln zum Abfragen einer Ansicht in einem verknüpften Dataset.

In Abbildung 7 sind die folgenden Komponenten beschriftet:

  • Aufrufer ist ein Analytics Hub-Abonnent oder ein BigQuery-Jobnutzer des verknüpften Datasets.
  • Project R ist das Aufruferprojekt.
  • Projekt L hostet das verknüpfte Dataset.
  • Projekt V hostet sowohl die autorisierte Ansicht als auch die mit der Ansicht verknüpften Basistabellen.

Wenn Sie eine Ansicht im verknüpften Dataset abfragen, müssen Sie als Analytics Hub-Abonnent die folgenden Regeln für eingehenden und ausgehenden Traffic hinzufügen:

Projekt Regel
Projekt R

Regel für ausgehenden Traffic für Projekt L

Projekt L (verknüpftes Dataset)

Regel für eingehenden Traffic für Projekt R

Beschränkungen

Analytics Hub unterstützt keine methodenbasierten Regeln. Sie müssen alle Methoden zulassen, um Methoden zuzulassen. Beispiel:

          ingressTo:
            operations:
            - methodSelectors:
              - method: '*'
              serviceName: analyticshub.googleapis.com
            resources:
            - projects/PROJECT_ID

Nächste Schritte