Règles VPC Service Controls Analytics Hub
Ce document décrit les règles d'entrée et de sortie dont vous avez besoin pour permettre aux éditeurs et aux abonnés d'accéder aux données des projets comportant des périmètres VPC Service Controls. Il part du principe que vous maîtrisez les périmètres VPC Service Controls, les ensembles de données partagés, les échanges de données, les listes et les ensembles de données associés
Un projet appelant est le projet réseau ou client qui lance la requête, tel qu'une requête SQL ou une commande Google Cloud CLI.
Créer un échange de données
Dans le schéma suivant, les projets contenant l'échange de données et l'ensemble de données partagé se trouvent dans des périmètres de service différents :
Figure 1 : Règles VPC Service Controls permettant de créer un échange de données
Dans la figure 1, les composants suivants associés à des libellés :
- L'appelant est un administrateur Analytics Hub.
- Le projet R est le projet appelant.
- Le projet E héberge les listes de données et l'échange de données Analytics Hub.
En tant qu'administrateur Analytics Hub, lorsque vous créez un échange de données dans un projet différent du projet appelant, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R | Règle de sortie pour le projet E |
Projet E (échange de données) | Règle d'entrée pour le projet R |
Création d'une fiche
Dans le schéma suivant, les projets contenant l'échange de données et l'ensemble de données partagé se trouvent dans des périmètres de service différents :
Figure 2. Règles VPC Service Controls permettant de créer une liste
Dans la figure 2, les composants suivants sont associés à des libellés :
- L'appelant est un administrateur ou un éditeur Analytics Hub.
- Le projet R est le projet appelant.
- Le projet E héberge les listes de données et l'échange de données Analytics Hub.
- Le projet S héberge l'ensemble de données partagé.
Lorsque vous créez une liste dans un échange de données qui se trouve dans un projet différent de celui de l'ensemble de données partagé, vous devez ajouter les règles d'entrée et de sortie suivantes pour permettre aux éditeurs de créer une liste :
Projet | Règle |
---|---|
Projet R |
Règle de sortie pour le projet E Règle de sortie pour le projet S |
Projet E (échange de données) |
Règle de sortie pour le projet S Règle d'entrée pour le projet R |
Projet S (ensemble de données partagé) |
Règle de sortie pour le projet E Règle d'entrée pour le projet R |
S'abonner à une fiche
Dans le schéma suivant, les projets contenant la liste et l'ensemble de données associé pour cette liste se trouvent dans des périmètres de service différents :
Figure 3. Règles de VPC Service Controls pour s'abonner à une liste
Dans la figure 3, les composants suivants sont associés à des libellés :
- L'appelant est un abonné Analytics Hub.
- Le projet R est le projet appelant.
- Le projet E héberge les listes de données et l'échange de données Analytics Hub.
- Le projet L héberge l'ensemble de données associé.
En tant qu'abonné Analytics Hub, lorsque vous vous abonnez à une liste dans un échange de données se trouvant dans un projet différent de votre projet, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R |
Règle de sortie pour le projet E Règle de sortie pour le projet L |
Projet E (liste) |
Règle de sortie pour le projet L Règle d'entrée pour le projet R |
Projet L (ensemble de données associé) |
Règle de sortie pour le projet E Règle d'entrée pour le projet R |
Interroger les tables d'un ensemble de données associé
Dans le schéma suivant, le projet appelant et le projet contenant l'ensemble de données associé se trouvent dans des périmètres de service différents :
Figure 4. Règles de VPC Service Controls permettant d'interroger un ensemble de données associé
Dans la figure 4, les composants suivants sont associés à des libellés :
- L'appelant est un abonné à Analytics Hub ou tout utilisateur de tâche BigQuery de l'ensemble de données associé.
- Le projet R est le projet appelant.
- Le projet L héberge l'ensemble de données associé.
- Le projet V héberge l'ensemble de données partagé contenant la table.
En tant qu'abonné Analytics Hub, lorsque vous interrogez une table dans l'ensemble de données associé, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R | Règle de sortie pour le projet L |
Projet L (ensemble de données associé) | Règle d'entrée pour le projet R |
Interroger les vues dans un ensemble de données associé
Scénario 1
Dans le schéma suivant, les projets contenant l'ensemble de données associé et les tables de base associées à la vue se trouvent dans des périmètres de service différents. La vue (Projet S) et la table de base associée à la vue (Projet V) se trouvent dans différents projets :
Figure 5. Règles VPC Service Controls permettant d'interroger une vue dans un ensemble de données associé
Dans la figure 5, les composants suivants sont associés à des libellés :
- L'appelant est un abonné à Analytics Hub ou tout utilisateur de tâche BigQuery de l'ensemble de données associé.
- Le projet R est le projet appelant.
- Le projet L héberge l'ensemble de données associé.
- Le projet S héberge l'ensemble de données partagé.
- Le projet V héberge l'ensemble de données contenant les tables de base associées à la vue.
En tant qu'abonné Analytics Hub, lorsque vous interrogez une vue dans un ensemble de données associé, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R |
Règle de sortie pour le projet L Règle de sortie pour le projet V |
Projet L (ensemble de données associé) |
Règle d'entrée pour le projet R Règle de sortie pour le projet V |
Projet V |
Règle de sortie pour le projet L Règle d'entrée pour le projet R |
Scénario 2
Dans la figure suivante, la vue (Projet V) et la table de base associée à cette vue (Projet V) se trouvent dans le même projet :
Figure 6. Règles VPC Service Controls permettant d'interroger une vue dans un ensemble de données associé
Dans la figure 6, les composants suivants sont associés à des libellés :
- L'appelant est un abonné à Analytics Hub ou tout utilisateur de tâche BigQuery de l'ensemble de données associé.
- Le projet R est le projet appelant.
- Le projet L héberge l'ensemble de données associé.
- Le projet V héberge la vue et les tables de base associées à cette vue.
En tant qu'abonné Analytics Hub, lorsque vous interrogez une vue dans un ensemble de données associé, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R |
Règle de sortie pour le projet L |
Projet L (ensemble de données associé) |
Règle d'entrée pour le projet R |
Interroger les vues autorisées dans un ensemble de données associé
Dans le diagramme suivant, la vue autorisée et la table de base associée à la vue autorisée (projet V) se trouvent dans le même projet :
Figure 7. Règles VPC Service Controls permettant d'interroger une vue dans un ensemble de données associé
Dans la figure 7, les composants suivants sont associés à des libellés :
- L'appelant est un abonné à Analytics Hub ou tout utilisateur de tâche BigQuery de l'ensemble de données associé.
- Le projet R est le projet appelant.
- Le projet L héberge l'ensemble de données associé.
- Le projet V héberge la vue autorisée et les tables de base associées à la vue.
En tant qu'abonné Analytics Hub, lorsque vous interrogez une vue dans un ensemble de données associé, vous devez ajouter les règles d'entrée et de sortie suivantes :
Projet | Règle |
---|---|
Projet R |
Règle de sortie pour le projet L |
Projet L (ensemble de données associé) |
Règle d'entrée pour le projet R |
Limites
Analytics Hub n'est pas compatible avec les règles basées sur des méthodes. Pour autoriser des méthodes, vous devez autoriser toutes les méthodes. Exemple :
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Étapes suivantes
- Pour résoudre les problèmes liés à VPC Service Controls, consultez la section Résoudre les problèmes courants
- Apprenez-en plus sur les règles d'entrée et de sortie.
- Découvrez comment configurer les règles d'entrée et de sortie.
- Découvrez comment créer un échange de données.
- Découvrez comment créer une fiche.
- En savoir plus sur l'abonnement à une fiche
- Découvrez les journaux d'audit d'Analytics Hub.