VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google マネージド サービスからデータが引き出されるリスクを軽減できます。このページでは、Data Catalog が VPC Service Controls サービス境界内でリソースとどのようにやり取りするかについて説明します。
以下の例では、BigQuery を使用して、Data Catalog が境界とやり取りする方法を示します。ただし、Data Catalog では、Cloud Storage と Pub/Sub を含むすべての Google ストレージ システムの周囲の境界が同じ方法で考慮されます。
例
Data Catalog が境界とやり取りする方法をわかりやすくするため、下の図を考えます。この図には、プロジェクト A とプロジェクト B の 2 つの Google Cloud プロジェクトがあります。プロジェクト A の周囲にはサービス境界が確立されていて、BigQuery サービスは境界によって保護されます。許可リストに登録された IP またはユーザー ID を使用した境界へのアクセスは許可されていません。プロジェクト B は境界の内側にはありません。
このように構成すると、結果として次のようになります。
- Data Catalog は引き続き、両方のプロジェクトから BigQuery のメタデータを同期します。
- ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
- ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータにアクセスできません。また、ユーザーはそのメタデータを Data Catalog で検索 / タグ付けすることもできません。
Data Catalog サービスは境界に追加されていません。Data Catalog では、プロジェクト A と BigQuery の周囲にある既存の境界を考慮します。
カスタム統合アセット
Data Catalog は、他のクラウドやオンプレミスのデータソースからアセットを統合できます。これらはカスタム統合アセットと呼ばれます。Data Catalog が VPC Service Controls の境界に追加されていない場合、許可リストに登録されていない境界内のプロジェクトであっても、カスタム統合アセットにアクセスできます。
以下の例では、最初の例のプロジェクト A とプロジェクト B の両方に、カスタム統合アセットが追加されています。この例のユーザーは、依然として境界にアクセスできません。
このように構成すると、結果として次のようになります。
- ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
- ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータまたはメタデータにアクセスできません。また、Data Catalog でメタデータを検索 / タグ付けすることもできません。
- ユーザーは、Data Catalog を使用して、プロジェクト A とプロジェクト B の両方のカスタム統合アセットのメタデータを検索 / タグ付けすることができます。
カスタム統合アセットへのアクセスを制限する
サービス境界を使用して Data Catalog API を保護することで、カスタム統合アセットへのアクセスを制限できます。次の例では、プロジェクト B の Data Catalog サービスの周囲に境界を追加して、2 番目の例を拡張しています。
このように構成すると、結果として次のようになります。
- Data Catalog がプロジェクト A の境界に追加されていないため、ユーザーはプロジェクト A のカスタム統合アセットのメタデータを検索 / タグ付けすることができます。
- Data Catalog がプロジェクト B の境界に追加されたため、ユーザーはプロジェクト B のカスタム統合アセットのメタデータを検索 / タグ付けすることができません。
- 最初の例で説明したように、ユーザーは境界でブロックされているため、BigQuery からプロジェクト A のデータ / メタデータにアクセスすることはできません。また、BigQuery のメタデータを Data Catalog で検索 / タグ付けすることもできません。
- プロジェクト B にはサービス境界が確立されていますが、BigQuery サービスは追加されていません。つまり、ユーザーは BigQuery からプロジェクト B のデータ / メタデータにアクセスし、Data Catalog で BigQuery のメタデータを検索 / タグ付けすることができます。
データリネージのサポート
データリネージは、制限付きの仮想 IP(VIP)でサポートされています。詳細については、制限付き VIP によってサポートされるサービスをご覧ください。