VPC Service Controls 可以帮助您的组织降低 Google 托管服务(如 Cloud Storage 和 BigQuery)的数据渗漏风险。本页面介绍了 Data Catalog 如何与 VPC Service Controls 服务边界内的资源互动。
以下示例使用 BigQuery 来演示 Data Catalog 如何与边界交互。但是,Data Catalog 以同样的方式遵循所有 Google 存储系统(包括 Cloud Storage 和 Pub/Sub)的边界。
示例
要了解 Data Catalog 如何与边界交互,请参考下图。下图中有两个 Google Cloud 项目:项目 A 和项目 B。已为项目 A 建立服务边界,且 BigQuery 服务受到边界的保护。用户尚未通过加入许可名单的 IP 或用户身份获得边界的访问权限。项目 B 不在边界范围内。
此配置的结果如下:
- Data Catalog 将继续同步这两个项目中的 BigQuery 元数据。
- 用户可以通过 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索/标记其元数据。
- 用户无法访问 BigQuery 中的项目 A 数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。
请注意,Data Catalog 服务尚未添加至边界。相反,Data Catalog 会遵循项目 A 和 BigQuery 的现有边界。
自定义集成资产
Data Catalog 能够集成来自其他云和本地数据源的资产。这些资产称为自定义集成资产。如果未将 Data Catalog 添加到 VPC Service Controls 边界,用户仍然可以访问自定义集成资源,即使对于未列入许可名单的边界内的项目也是如此。
在下例中,自定义集成资源已添加到第一个示例中的项目 A 和项目 B。此示例中的用户仍然没有边界访问权限。
此配置的结果如下:
- 用户可以通过 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索或标记其元数据。
- 用户无法访问 BigQuery 中的项目 A 数据或元数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。
- 用户可以使用 Data Catalog 来搜索或标记项目 A 和项目 B 中自定义集成资产的元数据。
限制对自定义集成资产的访问权限
您可以使用服务边界来保护 Data Catalog API,从而限制对自定义集成资产的访问权限。下例通过为项目 B 的 Data Catalog 服务添加边界,对第二个示例进行子扩展:
此配置的结果如下:
- 未向项目 A 的边界添加 Data Catalog,因此用户可以搜索/标记项目 A 中自定义集成资产的元数据。
- Data Catalog 已添加到项目 B 的边界中,因此用户无法在项目 B 中搜索/标记自定义集成资产的元数据。
- 与第一个示例一样,用户无法访问 BigQuery 中的项目 A 数据/元数据,因为它们已被边界屏蔽。他们也无法使用 Data Catalog 搜索/标记 BigQuery 元数据。
- 虽然已为项目 B 建立了服务边界,但 BigQuery 服务尚未添加至该边界。这意味着用户可以通过 BigQuery 访问项目 B 的数据/元数据,并使用 Data Catalog 搜索/标记 BigQuery 元数据。
数据沿袭支持
受限虚拟 IP (VIP) 支持数据沿袭。如需了解详情,请参阅受限 VIP 支持的服务。