VPC Service Controls-Perimeter und Data Catalog

VPC Service Controls kann Ihrer Organisation dabei helfen, das Risiko der Daten-Exfiltrierung durch von Google verwaltete Dienste wie Cloud Storage und BigQuery zu verringern. Auf dieser Seite wird gezeigt, wie Data Catalog mit Ressourcen in einem VPC Service Controls-Dienstperimeter interagiert.

In den folgenden Beispielen wird mit BigQuery veranschaulicht, wie Data Catalog mit Perimetern interagiert. Data Catalog berücksichtigt jedoch Perimeter um alle Google-Speichersysteme, einschließlich Cloud Storage und Pub/Sub.

Beispiel

Das folgende Diagramm veranschaulicht, wie Data Catalog mit Perimetern interagiert. Im folgenden Diagramm gibt es zwei Google Cloud-Projekte: Projekt A und Projekt B. Um Projekt A wurde ein Dienstperimeter eingerichtet und der BigQuery-Dienst ist durch den Perimeter geschützt. Der Nutzer hat keinen Zugang zum Perimeter über eine IP-Adresse auf der Zulassungsliste oder eine Nutzeridentität erhalten. Projekt B befindet sich nicht im Perimeter.

Aufgrund des VPC-Perimeters um Projekt A greift der Nutzer über Data Catalog nur auf Metadaten von Projekt B zu.
Abbildung 1. Der Nutzer hat Zugriff auf Data Catalog auf BigQuery-Projekt B, aber nicht auf Projekt A.

Ergebnis dieser Konfiguration:

  • Data Catalog synchronisiert weiterhin BigQuery-Metadaten aus beiden Projekten.
  • Der Nutzer kann auf Daten und Metadaten für Projekt B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen/taggen.
  • Der Nutzer kann nicht auf Projekt A-Daten in BigQuery zugreifen, da sie vom Perimeter blockiert werden. Der Nutzer kann seine Metadaten auch nicht mit Data Catalog durchsuchen oder taggen.

Beachten Sie, dass der Data Catalog-Dienst nicht zum Perimeter hinzugefügt wurde. Data Catalog berücksichtigt vielmehr den vorhandenen Perimeter um Projekt A und BigQuery.

Benutzerdefinierte eingebundene Assets

Data Catalog kann Assets aus anderen Clouds und lokalen Datenquellen einbinden. Diese werden als benutzerdefinierte eingebundene Assets bezeichnet. Wenn Data Catalog nicht zum VPC Service Controls-Perimeter hinzugefügt wurde, können Nutzer weiterhin auf benutzerdefinierte integrierte Assets zugreifen, auch für Projekte in Perimetern, für die sie nicht zugelassen wurden.

Im folgenden Beispiel wurden benutzerdefinierte eingebundene Assets zu Projekt A und Projekt B aus dem ersten Beispiel hinzugefügt. Der Nutzer in diesem Beispiel hat immer noch keinen Perimeter-Zugriff.

Aufgrund des VPC-Perimeters um Projekt A greift der Nutzer nur auf Projekt B und auf benutzerdefinierte integrierte Daten in den Projekten A und B zu.
Abbildung 2. Der Nutzer hat Zugriff auf Data Catalog auf BigQuery-Projekt B und benutzerdefinierte integrierte Metadaten in den Projekten A und B.

Ergebnis dieser Konfiguration:

  • Der Nutzer kann auf Daten und Metadaten für Projekt B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen oder taggen.
  • Der Nutzer kann nicht auf Daten oder Metadaten von Projekt A aus BigQuery zugreifen, da sie vom Perimeter blockiert werden. Außerdem können sie ihre Metadaten nicht durchsuchen oder mit Data Catalog taggen.
  • Der Nutzer kann Data Catalog verwenden, um Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt A und Projekt B zu suchen oder zu taggen.

Zugriff auf benutzerdefinierte eingebundene Assets einschränken

Sie können den Zugriff auf benutzerdefinierte eingebundene Assets einschränken, indem Sie einen Dienstperimeter verwenden, um die Data Catalog API zu schützen. Im folgenden Beispiel wird das zweite Beispiel erweitert, indem ein Perimeter um den Data Catalog-Dienst für Projekt B hinzugefügt wird:

Aufgrund des VPC-Perimeters um Projekt A und benutzerdefinierter integrierter Daten in Projekt B greift der Nutzer nur auf Projekt B und benutzerdefinierte Daten in Projekt A zu.
Abbildung 3: Der Nutzer hat Zugriff auf Data Catalog auf Projekt B und benutzerdefinierte integrierte Metadaten in Projekt A.

Ergebnis dieser Konfiguration:

  • Der Datenkatalog wurde nicht zum Perimeter für Projekt A hinzugefügt. Der Nutzer kann Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt A suchen/taggen.
  • Der Datenkatalog wurde dem Perimeter für Projekt B hinzugefügt, sodass der Nutzer keine Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt B suchen/taggen kann.
  • Wie im ersten Beispiel kann der Nutzer nicht auf Daten/Metadaten von Projekt A aus BigQuery zugreifen, da er vom Perimeter blockiert wird. Sie können auch keine BigQuery-Metadaten mit Data Catalog durchsuchen/taggen.
  • Obwohl für Projekt B ein Dienstperimeter eingerichtet wurde, wurde ihm der BigQuery-Dienst nicht hinzugefügt. Das bedeutet, dass der Nutzer auf Daten/Metadaten von Projekt B aus BigQuery zugreifen und BigQuery-Metadaten mit Data Catalog durchsuchen/taggen kann.

Unterstützung für Data Lineage

Data Lineage wird von einer eingeschränkten virtuellen IP-Adresse (VIP) unterstützt. Weitere Informationen finden Sie unter Von der eingeschränkten VIP unterstützte Dienste.