Perímetros de Controles del servicio de VPC y Data Catalog

Los Controles del servicio de VPC pueden ayudar a tu organización a mitigar los riesgos de robo de datos de los servicios administrados por Google, como Cloud Storage y BigQuery. En esta página, se muestra cómo interactúa Data Catalog con recursos dentro de un perímetro de servicio de Controles del servicio de VPC.

En los ejemplos de este documento, se usa BigQuery para demostrar cómo Data Catalog interactúa con los perímetros. Sin embargo, Data Catalog respeta los perímetros alrededor de todos los sistemas de Google Store de la misma manera, incluidos Cloud Storage y Pub/Sub.

Ejemplo

Para comprender cómo interactúa Data Catalog con perímetros, considera el siguiente diagrama.

En el diagrama, hay dos proyectos de Google Cloud: Project A y Project B. Se establece un perímetro de servicio alrededor de Project A, y el perímetro protege el servicio de BigQuery. El usuario no tiene acceso al perímetro a través de una IP en una lista de entidades permitidas o una identidad de usuario. Project B no está dentro del perímetro.

Debido al perímetro de la VPC alrededor del Proyecto A, el usuario solo accede a los metadatos del Proyecto B a través de Data Catalog.
Figure 1. El usuario tiene acceso de Data Catalog a BigQuery Project B, pero no a Project A.

El siguiente es el resultado de esta configuración:

  • Data Catalog continúa sincronizando metadatos de BigQuery de ambos proyectos.
  • El usuario puede acceder a los datos y metadatos de Project B desde BigQuery y buscar o etiquetar sus metadatos con Data Catalog.
  • El usuario no puede acceder a los datos de Project A en BigQuery, ya que el perímetro los bloquea. Además, el usuario no puede buscar ni etiquetar sus metadatos con Data Catalog.

Recursos integrados personalizados

Data Catalog es capaz de integrar recursos de otras nubes y fuentes de datos locales. Se denominan recursos integrados personalizados. Si Data Catalog no se agrega al perímetro de los Controles del servicio de VPC, los usuarios aún pueden acceder a los recursos integrados personalizados, incluso en los proyectos de perímetros en los que no se permitían permisos.

En el siguiente ejemplo, los recursos integrados personalizados se agregaron a Project A y Project B del primer ejemplo. El usuario de este ejemplo aún no tiene acceso perimetral.

Debido al perímetro de la VPC alrededor del Proyecto A, el usuario solo accede al Proyecto B y a los datos integrados personalizados en los Proyectos A y B.
Figure 2. El usuario tiene acceso de Data Catalog a BigQuery Project B y metadatos integrados personalizados en Projects A y B.

El siguiente es el resultado de esta configuración:

  • El usuario puede acceder a los datos y metadatos de Project B desde BigQuery y buscar o etiquetar sus metadatos con Data Catalog.
  • El usuario no puede acceder a los datos o metadatos de Project A desde BigQuery porque el perímetro los bloquea. Tampoco pueden buscar ni etiquetar sus metadatos con Data Catalog.
  • El usuario puede usar Data Catalog para buscar o etiquetar metadatos para los elementos integrados personalizados en Project A y Project B.

Limita el acceso a los recursos integrados personalizados

Para limitar el acceso a los recursos integrados personalizados, puedes usar un perímetro de servicio para proteger la API de Data Catalog. En el siguiente ejemplo, se expande en el segundo ejemplo, mediante la adición de un perímetro alrededor del servicio de Data Catalog para Project B:

Debido al perímetro de la VPC alrededor del Proyecto A y los datos integrados personalizados en el Proyecto B, el usuario solo accede al Proyecto B y a los datos personalizados en el Proyecto A.
Figura 3: El usuario tiene acceso a Project B en Data Catalog y metadatos integrados personalizados en Project A.

El siguiente es el resultado de esta configuración:

  • Data Catalog no se agregó al perímetro de Project A, por lo que el usuario puede buscar o etiquetar metadatos para los recursos integrados personalizados en Project A.
  • Data Catalog se agrega al perímetro de Project B, por lo que el usuario no puede buscar ni etiquetar metadatos para los recursos integrados personalizados en Project B.
  • Como en el primer ejemplo, el usuario no puede acceder a los datos ni metadatos de Project A desde BigQuery, ya que el perímetro los bloquea. Tampoco pueden buscar ni etiquetar los metadatos de BigQuery con Data Catalog.
  • A pesar de que se establece un perímetro de servicio para Project B, se agrega el servicio de BigQuery a él. Esto significa que el usuario puede acceder a los datos o metadatos de Project B desde BigQuery y buscar o etiquetar metadatos con Data Catalog.

Compatibilidad con el linaje de datos

El linaje de datos es compatible con la IP virtual (VIP) restringida. Para obtener más información, consulta Servicios compatibles con la VIP restringida.