Regras do VPC Service Controls do Analytics Hub

Neste documento, descrevemos as regras de entrada e saída necessárias para permitir que editores e assinantes acessem dados de projetos com perímetros do VPC Service Controls. Neste documento, pressupomos familiaridade com os perímetros do VPC Service Controls, os conjuntos de dados compartilhados, as trocas de dados, fichas e conjuntos de dados vinculados.

Um projeto do autor da chamada é a rede ou o cliente que inicia a solicitação, como uma consulta SQL ou um comando da Google Cloud CLI.

Criar uma troca de dados

No diagrama a seguir, os projetos que contêm a troca de dados e o conjunto de dados de origem estão em perímetros de serviço diferentes:

Regra do VPC Service Controls ao criar uma troca de dados.

Figura 1. Regras do VPC Service Controls para criar uma troca de dados.

Na Figura 1, os componentes a seguir são rotulados:

  • O autor da chamada é um administrador do Analytics Hub.
  • Projeto R é o projeto do autor da chamada.
  • O projeto E hospeda a troca de dados e as listagens do Analytics Hub.

Como administrador do Analytics Hub, ao criar uma troca de dados em um projeto diferente do projeto do autor da chamada, é necessário adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R Regra de saída para o projeto E
Projeto E (troca de dados) Regra de entrada para o projeto R

Criar uma listagem

No diagrama a seguir, os projetos que contêm a troca de dados e o conjunto de dados de origem estão em perímetros de serviço diferentes:

Regra do VPC Service Controls ao criar uma listagem.

Figura 2. Regras do VPC Service Controls para criar uma listagem.

Na Figura 2, os componentes a seguir são rotulados:

  • O autor da chamada é um administrador ou editor do Analytics Hub.
  • Projeto R é o projeto do autor da chamada.
  • O projeto E hospeda a troca de dados e as listagens do Analytics Hub.
  • O projeto S hospeda o conjunto de dados compartilhado.

Ao criar uma listagem em uma troca de dados que está em um projeto diferente do conjunto de dados compartilhado, adicione as seguintes regras de entrada e saída para permitir que os editores criem uma ficha:

Projeto Regra
Projeto R

Regra de saída para o projeto E

Regra de saída para o projeto S

Projeto E (troca de dados)

Regra de saída para o projeto S

Regra de entrada para o projeto R

Projeto S (conjunto de dados compartilhado)

Regra de saída para o projeto E

Regra de entrada para o projeto R

Assinar uma listagem

No diagrama a seguir, os projetos que contêm a listagem e o conjunto de dados vinculado a ela estão em perímetros de serviço diferentes:

Regra do VPC Service Controls ao assinar uma listagem.

Figura 3. Regras do VPC Service Controls para se inscrever em uma listagem.

Na Figura 3, os componentes a seguir são rotulados:

  • O autor da chamada é um assinante do Analytics Hub.
  • Projeto R é o projeto do autor da chamada.
  • O projeto E hospeda a troca de dados e as listagens do Analytics Hub.
  • O projeto L hospeda o conjunto de dados vinculado.

Como assinante do Analytics Hub, ao assinar uma listagem em uma troca de dados que está em um projeto diferente do seu, você precisa adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R

Regra de saída para o projeto E

Regra de saída para o projeto L

Projeto E (listagem)

Regra de saída para o projeto L

Regra de entrada para o projeto R

Projeto L (conjunto de dados vinculado)

Regra de saída para o projeto E

Regra de entrada para o projeto R

Consultar tabelas em um conjunto de dados vinculado

No diagrama a seguir, o projeto do autor da chamada e o projeto que contêm o conjunto de dados vinculado estão em perímetros de serviço diferentes:

Regra do VPC Service Controls ao consultar uma tabela no conjunto de dados vinculado.

Figura 4 Regras do VPC Service Controls para consultar um conjunto de dados vinculado.

Na Figura 4, os componentes a seguir são rotulados:

  • O autor da chamada é um assinante do Analytics Hub ou qualquer usuário de job do BigQuery do conjunto de dados vinculado.
  • Projeto R é o projeto do autor da chamada.
  • O projeto L hospeda o conjunto de dados vinculado.
  • O projeto V hospeda o conjunto de dados compartilhado que contém a tabela.

Como assinante do Analytics Hub, ao consultar uma tabela no conjunto de dados vinculado, você precisa adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R Regra de saída para o projeto L
Projeto L (conjunto de dados vinculado) Regra de entrada para o projeto R

Consultar visualizações em um conjunto de dados vinculado

Cenário 1

No diagrama a seguir, os projetos que contêm o conjunto de dados vinculado e as tabelas básicas associadas à visualização estão em perímetros de serviço diferentes. A visualização (Projeto S) e a tabela base associada à visualização (Projeto V) estão em projetos diferentes:

visualização e tabelas base estão em projetos diferentes.

Figura 5. Regras do VPC Service Controls para consultar uma visualização em um conjunto de dados vinculado.

Na Figura 5, os componentes a seguir são rotulados:

  • O autor da chamada é um assinante do Analytics Hub ou qualquer usuário de job do BigQuery do conjunto de dados vinculado.
  • Projeto R é o projeto do autor da chamada.
  • O projeto L hospeda o conjunto de dados vinculado.
  • O projeto S hospeda o conjunto de dados compartilhado.
  • O projeto V hospeda o conjunto de dados que contém as tabelas base associadas à visualização.

Como assinante do Analytics Hub, quando você consulta uma visualização autorizada em um conjunto de dados vinculado, precisa adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R

Regra de saída para o projeto L

Regra de saída para o projeto V

Projeto L (conjunto de dados vinculado)

Regra de entrada para o projeto R

Regra de saída para o projeto V

Projeto V

Regra de saída para o projeto L

Regra de entrada para o projeto R

Cenário 2

No diagrama a seguir, a visualização (projeto V) e a tabela base associada à visualização (projeto V) estão no mesmo projeto:

visualização e tabelas base no mesmo projeto.

Figura 6. Regras do VPC Service Controls para consultar uma visualização em um conjunto de dados vinculado.

Na Figura 6, os componentes a seguir são rotulados:

  • O autor da chamada é um assinante do Analytics Hub ou qualquer usuário de job do BigQuery do conjunto de dados vinculado.
  • Projeto R é o projeto do autor da chamada.
  • O projeto L hospeda o conjunto de dados vinculado.
  • O projeto V hospeda a visualização e as tabelas base associadas a ela.

Como assinante do Analytics Hub, quando você consulta uma visualização autorizada em um conjunto de dados vinculado, precisa adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R

Regra de saída para o projeto L

Projeto L (conjunto de dados vinculado)

Regra de entrada para o projeto R

Consultar visualizações autorizadas em um conjunto de dados vinculado

No diagrama a seguir, a visualização autorizada e a tabela base associada à visualização autorizada (Projeto V) estão no mesmo projeto:

as tabelas de visualização e de base autorizadas estão no mesmo projeto.

Figura 7. Regras do VPC Service Controls para consultar uma visualização em um conjunto de dados vinculado.

Na Figura 6, os componentes a seguir são rotulados:

  • O autor da chamada é um assinante do Analytics Hub ou qualquer usuário de job do BigQuery do conjunto de dados vinculado.
  • Projeto R é o projeto do autor da chamada.
  • O projeto L hospeda o conjunto de dados vinculado.
  • O projeto V hospeda a visualização autorizada e as tabelas base associadas a ela.

Como assinante do Analytics Hub, quando você consulta uma visualização autorizada em um conjunto de dados vinculado, precisa adicionar as seguintes regras de entrada e saída:

Projeto Regra
Projeto R

Regra de saída para o projeto L

Projeto L (conjunto de dados vinculado)

Regra de entrada para o projeto R

Limitações

O Analytics Hub não aceita regras com base em métodos. Para permitir métodos, você precisa permitir todos eles. Por exemplo:

          ingressTo:
            operations:
            - methodSelectors:
              - method: '*'
              serviceName: analyticshub.googleapis.com
            resources:
            - projects/PROJECT_ID

A seguir