Perímetros do VPC Service Controls e Data Catalog

O VPC Service Controls pode ajudar sua organização a reduzir os riscos de exfiltração de dados de serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Nesta página, mostramos como o Data Catalog interage com recursos dentro de um perímetro de serviço do VPC Service Controls.

Os exemplos neste documento usam o BigQuery para demonstrar como o Data Catalog interage com perímetros. No entanto, o Data Catalog respeita os perímetros de todos os sistemas de armazenamento do Google da mesma maneira, incluindo o Cloud Storage e o Pub/Sub.

Exemplo

Para entender como o Data Catalog interage com perímetros, considere o diagrama a seguir.

No diagrama, há dois projetos do Google Cloud: Project A e Project B. Um perímetro de serviço foi estabelecido em torno de Project A, e o serviço do BigQuery é protegido pelo perímetro. O usuário não recebeu acesso ao perímetro por meio de um IP em uma lista de permissões ou uma identidade de usuário. Project B não está dentro do perímetro.

Devido ao perímetro da VPC em torno do Projeto A, o usuário acessa apenas os metadados do Projeto B pelo Data Catalog.
Figura 1. O usuário tem acesso do Data Catalog ao BigQuery Project B, mas não a Project A.

Confira o resultado dessa configuração:

  • O Data Catalog continua a sincronizar os metadados do BigQuery dos dois projetos.
  • O usuário pode acessar dados e metadados de Project B no BigQuery e pesquisar ou marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados Project A no BigQuery, porque eles são bloqueados pelo perímetro. O usuário também não pode pesquisar ou marcar os metadados com o Data Catalog.

Recursos integrados personalizados

O Data Catalog é capaz de integrar recursos de outras nuvens e fontes de dados locais. Eles são chamados de recursos integrados personalizados. Se o Data Catalog não for adicionado ao perímetro do VPC Service Controls, os usuários ainda poderão acessar recursos integrados personalizados, mesmo para projetos em perímetros em que não estiverem na lista de permissões.

No exemplo abaixo, os recursos integrados personalizados foram adicionados a Project A e Project B do primeiro exemplo. O usuário neste exemplo ainda não tem acesso ao perímetro.

Devido ao perímetro do VPC em torno do Projeto A, o usuário acessa apenas o Projeto
  B e os dados integrados personalizados nos Projetos A e B.
Figura 2. O usuário tem acesso do Data Catalog ao BigQuery Project B e aos metadados integrados personalizados em Projects A e B.

Confira o resultado dessa configuração:

  • O usuário pode acessar dados e metadados de Project B no BigQuery e pesquisar ou marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados ou metadados do Project A no BigQuery, porque eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar os metadados com o Data Catalog.
  • O usuário pode usar o Data Catalog para pesquisar ou marcar metadados para os recursos integrados personalizados em Project A e Project B.

Como limitar o acesso a recursos integrados personalizados

É possível limitar o acesso a recursos integrados personalizados usando um perímetro de serviço para proteger a API Data Catalog. O exemplo a seguir se expande no segundo exemplo adicionando um perímetro em torno do serviço Data Catalog para Project B:

Devido ao perímetro do VPC em torno do Projeto A e dos dados integrados personalizados no
  Projeto B, o usuário acessa apenas o Projeto B e os dados personalizados no Projeto A.
Figura 3. O usuário tem acesso do Data Catalog a Project B e metadados integrados personalizados em Project A.

Confira o resultado dessa configuração:

  • O Data Catalog não foi adicionado ao perímetro de Project A. Portanto, o usuário pode pesquisar ou marcar metadados para os recursos integrados personalizados em Project A.
  • O Data Catalog foi adicionado ao perímetro de Project B, portanto, o usuário não pode pesquisar ou marcar metadados para os recursos integrados personalizados em Project B.
  • Como no primeiro exemplo, o usuário não pode acessar os dados ou metadados do Project A no BigQuery, porque eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar metadados do BigQuery com o Data Catalog.
  • Mesmo que um perímetro de serviço seja estabelecido para Project B, o serviço do BigQuery é adicionado a ele. Isso significa que o usuário pode acessar dados ou metadados Project B do BigQuery e pesquisar ou marcar metadados do BigQuery com o Data Catalog.

Suporte à linhagem de dados

O lineage de dados tem suporte a IP virtual (VIP) restrito. Para mais informações, consulte Serviços compatíveis com o VIP restrito.