Regole dei controlli di servizio VPC di Analytics Hub
Questo documento descrive le regole in entrata e in uscita necessarie per consentire a publisher e abbonati di accedere ai dati da progetti con perimetri Controlli di servizio VPC.
Questo documento presuppone la conoscenza di perimetri di Controlli di servizio VPC, set di dati condivisi, scambi di dati, schede e set di dati collegati. Un progetto chiamante è il progetto di rete o client che avvia la richiesta, ad esempio una query SQL o un comando di Google Cloud CLI.
Crea uno scambio di dati
Nel diagramma seguente, i progetti che contengono lo scambio di dati e il set di dati condiviso si trovano in perimetri di servizio diversi:
Figura 1. Regole dei Controlli di servizio VPC per creare uno scambio di dati.
Nella Figura 1, i seguenti componenti sono etichettati:
- Chiamante è un amministratore di Analytics Hub.
- Il progetto R è il progetto del chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
In qualità di amministratore di Analytics Hub, quando crei uno scambio di dati in un progetto diverso da quello del progetto del chiamante, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R | Regola in uscita per il progetto E |
| Progetto E (scambio di dati) | Regola in entrata per il progetto R |
Crea una scheda
Nel diagramma seguente, i progetti che contengono lo scambio di dati e il set di dati condiviso si trovano in perimetri di servizio diversi:
Figura 2. Regole dei Controlli di servizio VPC per creare una scheda.
Nella Figura 2, i seguenti componenti sono etichettati:
- Caller è un amministratore o un publisher di Analytics Hub.
- Il progetto R è il progetto del chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
- Il progetto S ospita il set di dati condiviso.
Quando crei una scheda in uno scambio di dati che si trova in un progetto diverso dal set di dati condiviso, devi aggiungere le seguenti regole in entrata e in uscita per consentire agli editori di creare una scheda:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto E Regola in uscita per il progetto S |
| Progetto E (scambio di dati) |
Regola in uscita per il progetto S Regola in entrata per il progetto R |
| Progetto S (set di dati condiviso) |
Regola in uscita per il progetto E Regola in entrata per il progetto R |
Iscriviti a una scheda
Nel diagramma seguente, i progetti che contengono l'elenco e il set di dati collegato per l'elenco si trovano in perimetri di servizio diversi:
Figura 3. Regole dei Controlli di servizio VPC per l'iscrizione a una scheda.
Nella Figura 3, i seguenti componenti sono etichettati:
- Caller ha un abbonamento ad Analytics Hub.
- Il progetto R è il progetto del chiamante.
- Il progetto E ospita lo scambio di dati e le schede di Analytics Hub.
- Il progetto L ospita il set di dati collegato.
In qualità di abbonato ad Analytics Hub, quando ti abboni a un elenco in un Data Exchange che si trova in un progetto diverso dal tuo progetto, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto E Regola in uscita per il progetto L |
| Progetto E (scheda) |
Regola in uscita per il progetto L Regola in entrata per il progetto R |
| Progetto L (set di dati collegato) |
Regola in uscita per il progetto E Regola in entrata per il progetto R |
Esegui query sulle tabelle in un set di dati collegato
Nel diagramma seguente, il progetto del chiamante e il progetto che contengono il set di dati collegato si trovano in perimetri di servizio diversi:
Figura 4. Regole dei Controlli di servizio VPC per eseguire query su un set di dati collegato.
Nella Figura 4, i seguenti componenti sono etichettati:
- Caller è un sottoscrittore di Analytics Hub o un qualsiasi utente job BigQuery del set di dati collegato.
- Il progetto R è il progetto del chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita il set di dati condiviso che contiene la tabella.
In qualità di abbonato ad Analytics Hub, quando esegui query su una tabella nel set di dati collegato, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R | Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) | Regola in entrata per il progetto R |
Visualizzazioni di query in un set di dati collegato
Scenario 1
Nel diagramma seguente, i progetti che contengono il set di dati collegato e le tabelle di base associate alla vista si trovano in perimetri di servizio diversi. La vista (Progetto S) e la tabella di base associata alla vista (Progetto V) si trovano in progetti diversi:
Figura 5. Regole dei Controlli di servizio VPC per eseguire query su una vista in un set di dati collegato.
Nella Figura 5, i seguenti componenti sono etichettati:
- Caller è un sottoscrittore di Analytics Hub o un qualsiasi utente job BigQuery del set di dati collegato.
- Il progetto R è il progetto del chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto S ospita il set di dati condiviso.
- Il progetto V ospita il set di dati contenente le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui query su una vista in un set di dati collegato, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L Regola in uscita per il progetto V |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R Regola in uscita per il progetto V |
| Progetto V |
Regola in uscita per il progetto L Regola in entrata per il progetto R |
Scenario 2
Nel diagramma seguente, la vista (progetto S) e la tabella di base associata alla vista (progetto V) si trovano nello stesso progetto:
Figura 6. Regole dei Controlli di servizio VPC per eseguire query su una vista in un set di dati collegato.
Nella Figura 6, i seguenti componenti sono etichettati:
- Caller è un sottoscrittore di Analytics Hub o un qualsiasi utente job BigQuery del set di dati collegato.
- Il progetto R è il progetto del chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita sia la vista sia le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui query su una vista in un set di dati collegato, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R |
Esegui query sulle viste autorizzate in un set di dati collegato
Nel diagramma seguente, la vista autorizzata e la tabella di base associate alla vista autorizzata (progetto V) si trovano nello stesso progetto:
Figura 8. Regole dei Controlli di servizio VPC per eseguire query su una vista in un set di dati collegato.
Nella Figura 8, i seguenti componenti sono etichettati:
- Caller è un sottoscrittore di Analytics Hub o un qualsiasi utente job BigQuery del set di dati collegato.
- Il progetto R è il progetto del chiamante.
- Il progetto L ospita il set di dati collegato.
- Il progetto V ospita sia la vista autorizzata sia le tabelle di base associate alla vista.
In qualità di abbonato ad Analytics Hub, quando esegui query su una vista in un set di dati collegato, devi aggiungere le seguenti regole in entrata e in uscita:
| Progetto | Rule (Regola) |
|---|---|
| Progetto R |
Regola in uscita per il progetto L |
| Progetto L (set di dati collegato) |
Regola in entrata per il progetto R |
Limitazioni
Analytics Hub non supporta le regole basate su metodi. Per consentire i metodi, devi consentire tutti i metodi. Ad esempio:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Passaggi successivi
- Scopri di più sulle regole in entrata e in uscita.
- Scopri di più sulla configurazione dei criteri per il traffico in entrata e in uscita.
- Scopri di più sulla creazione di uno scambio di dati.
- Scopri di più sulla creazione di una scheda.
- Scopri di più sull'iscrizione a una scheda.
- Scopri di più sull'audit logging di Analytics Hub.