O VPC Service Controls pode ajudar sua organização a reduzir os riscos de exfiltração de dados de serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Nesta página, mostramos como o Data Catalog interage com recursos dentro de um perímetro de serviço do VPC Service Controls.
Os exemplos neste documento usam o BigQuery para demonstrar como o Data Catalog interage com perímetros. No entanto, o Data Catalog respeita os perímetros de todos os sistemas de armazenamento do Google da mesma maneira, incluindo o Cloud Storage e o Pub/Sub.
Exemplo
Para entender como o Data Catalog interage com perímetros, considere o diagrama a seguir.
No diagrama, há dois projetos do Google Cloud:
Project A
e Project B
. Um perímetro de serviço foi estabelecido em torno de
Project A
, e o serviço do BigQuery é protegido pelo
perímetro. O usuário não recebeu acesso ao perímetro por meio de um
IP em uma lista de permissões ou uma
identidade de usuário.
Project B
não está dentro do perímetro.
Confira o resultado dessa configuração:
- O Data Catalog continua a sincronizar os metadados do BigQuery dos dois projetos.
- O usuário pode acessar dados e metadados de
Project B
no BigQuery e pesquisar ou marcar os metadados com o Data Catalog. - O usuário não pode acessar os dados
Project A
no BigQuery, porque eles são bloqueados pelo perímetro. O usuário também não pode pesquisar ou marcar os metadados com o Data Catalog.
Recursos integrados personalizados
O Data Catalog é capaz de integrar recursos de outras nuvens e fontes de dados locais. Eles são chamados de recursos integrados personalizados. Se o Data Catalog não for adicionado ao perímetro do VPC Service Controls, os usuários ainda poderão acessar recursos integrados personalizados, mesmo para projetos em perímetros em que não estiverem na lista de permissões.
No exemplo abaixo, os recursos integrados personalizados foram adicionados a
Project A
e Project B
do primeiro exemplo. O usuário neste
exemplo ainda não tem acesso ao perímetro.
Confira o resultado dessa configuração:
- O usuário pode acessar dados e metadados de
Project B
no BigQuery e pesquisar ou marcar os metadados com o Data Catalog. - O usuário não pode acessar os dados ou metadados do
Project A
no BigQuery, porque eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar os metadados com o Data Catalog. - O usuário pode usar o Data Catalog para pesquisar ou marcar metadados para os
recursos integrados personalizados em
Project A
eProject B
.
Como limitar o acesso a recursos integrados personalizados
É possível limitar o acesso a recursos integrados personalizados usando um perímetro de serviço
para proteger a API Data Catalog. O exemplo a seguir se expande no segundo exemplo adicionando um perímetro em torno do serviço Data Catalog para Project B
:
Confira o resultado dessa configuração:
- O Data Catalog não foi adicionado ao perímetro de
Project A
. Portanto, o usuário pode pesquisar ou marcar metadados para os recursos integrados personalizados emProject A
. - O Data Catalog foi adicionado ao perímetro de
Project B
, portanto, o usuário não pode pesquisar ou marcar metadados para os recursos integrados personalizados emProject B
. - Como no primeiro exemplo, o usuário não pode acessar os dados ou
metadados do
Project A
no BigQuery, porque eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar metadados do BigQuery com o Data Catalog. - Mesmo que um perímetro de serviço seja estabelecido para
Project B
, o serviço do BigQuery é adicionado a ele. Isso significa que o usuário pode acessar dados ou metadadosProject B
do BigQuery e pesquisar ou marcar metadados do BigQuery com o Data Catalog.
Suporte à linhagem de dados
O lineage de dados tem suporte a IP virtual (VIP) restrito. Para mais informações, consulte Serviços compatíveis com o VIP restrito.