Perímetros do VPC Service Controls e Data Catalog

O VPC Service Controls pode ajudar sua organização a reduzir os riscos de exfiltração de dados de serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Nesta página, mostramos como o Data Catalog interage com recursos dentro de um perímetro de serviço do VPC Service Controls.

Os exemplos abaixo usam o BigQuery para demonstrar como o Data Catalog interage com perímetros. No entanto, o Data Catalog respeita os perímetros de todos os sistemas de armazenamento do Google da mesma maneira, incluindo o Cloud Storage e o Pub/Sub.

Exemplo

Para entender como o Data Catalog interage com perímetros, considere o diagrama abaixo. No diagrama, há dois projetos do Google Cloud: Projeto A e Projeto B. Um perímetro de serviço foi estabelecido em torno do Projeto A, e o serviço BigQuery é protegido pelo perímetro. O usuário não recebeu acesso ao perímetro por meio de um IP permitido ou uma identidade do usuário. O Projeto B não está dentro do perímetro.

Devido ao perímetro da VPC em torno do Projeto A, o usuário acessa apenas os metadados do Projeto B pelo Data Catalog.
Figura 1. O usuário tem acesso ao Projeto B do BigQuery no Data Catalog, mas não ao Projeto A.

O resultado dessa configuração é que:

  • O Data Catalog continua a sincronizar os metadados do BigQuery dos dois projetos.
  • O usuário pode acessar dados e metadados do Projeto B no BigQuery e pesquisar/marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados do Projeto A no BigQuery, pois eles são bloqueados pelo perímetro. O usuário também não pode pesquisar ou marcar seus metadados com o Data Catalog.

O serviço Data Catalog não foi adicionado ao perímetro. Em vez disso, o Data Catalog respeita o perímetro existente em torno do Projeto A e do BigQuery.

Recursos integrados personalizados

O Data Catalog é capaz de integrar recursos de outras nuvens e fontes de dados locais. Eles são chamados de recursos integrados personalizados. Se o Data Catalog não tiver sido adicionado ao perímetro do VPC Service Controls, os usuários ainda poderão acessar ativos integrados personalizados, mesmo para projetos nos perímetros em que não estiverem na lista de permissões.

No exemplo abaixo, os recursos integrados personalizados foram adicionados ao Projeto A e ao Projeto B a partir do primeiro exemplo. O usuário neste exemplo ainda não tem acesso ao perímetro.

Devido ao perímetro da VPC em torno do Projeto A, o usuário acessa apenas o Projeto B e os dados integrados personalizados nos projetos A e B.
Figura 2. O usuário tem acesso ao Data Catalog ao projeto B do BigQuery e aos metadados personalizados integrados nos projetos A e B.

O resultado dessa configuração é que:

  • O usuário pode acessar dados e metadados do Projeto B no BigQuery e pesquisar ou marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados ou metadados do Projeto A do BigQuery, pois eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar seus metadados com o Data Catalog.
  • O usuário pode usar o Data Catalog para pesquisar ou marcar metadados para os recursos integrados personalizados no Projeto A e no Projeto B.

Como limitar o acesso a recursos integrados personalizados

É possível limitar o acesso a recursos integrados personalizados usando um perímetro de serviço para proteger a API Data Catalog. O exemplo abaixo se expande no segundo exemplo adicionando um perímetro em torno do serviço Data Catalog para o Projeto B:

Devido ao perímetro da VPC em torno do Projeto A e dos dados personalizados integrados no Projeto B, o usuário acessa apenas o Projeto B e os dados personalizados no Projeto A.
Figura 3. O usuário tem acesso ao Data Catalog ao Projeto B e aos metadados integrados personalizados no Projeto A.

O resultado dessa configuração é que:

  • O Data Catalog não foi adicionado ao perímetro do Projeto A, portanto, o usuário pode pesquisar/marcar metadados para os recursos integrados personalizados no Projeto A.
  • O Data Catalog foi adicionado ao perímetro do Projeto B, portanto, o usuário não pode pesquisar/marcar metadados para os recursos integrados personalizados no Projeto B.
  • Como no primeiro exemplo, o usuário não pode acessar os dados/metadados do Projeto A no BigQuery, pois eles são bloqueados pelo perímetro. Eles também não podem pesquisar/marcar metadados do BigQuery com o Data Catalog.
  • Mesmo que um perímetro de serviço tenha sido estabelecido para o Projeto B, o serviço do BigQuery não foi adicionado a ele. Isso significa que o usuário pode acessar os dados/metadados do Projeto B no BigQuery e pesquisar/marcar metadados do BigQuery com o Data Catalog.

Suporte à linhagem de dados

A linhagem de dados tem suporte de IP virtual (VIP) restrito. Para mais informações, consulte Serviços compatíveis com o VIP restrito.