VPC Service Controls の境界と Data Catalog

VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google マネージド サービスからデータが引き出されるリスクを軽減できます。このページでは、Data Catalog が VPC Service Controls サービス境界内でリソースとどのようにやり取りするかについて説明します。

以下の例では、BigQuery を使用して、Data Catalog が境界とやり取りする方法を示します。ただし、Data Catalog では、Cloud Storage と Pub/Sub を含むすべての Google ストレージ システムの周囲の境界が同じ方法で考慮されます。

Data Catalog が境界とやり取りする方法をわかりやすくするため、下の図を考えます。この図には、プロジェクト A とプロジェクト B の 2 つの Google Cloud プロジェクトがあります。プロジェクト A の周囲にはサービス境界が確立されていて、BigQuery サービスは境界によって保護されます。許可リストに登録された IP またはユーザー ID を使用した境界へのアクセスは許可されていません。プロジェクト B は境界の内側にはありません。

プロジェクト A の VPC 境界により、ユーザーは Data Catalog を介してプロジェクト B のメタデータのみにアクセスします。
図 1: ユーザーは BiqQuery プロジェクト B に対して Data Catalog のアクセス権がありますが、プロジェクト A に対してはありません。

このように構成すると、結果として次のようになります。

  • Data Catalog は引き続き、両方のプロジェクトから BigQuery のメタデータを同期します。
  • ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータにアクセスできません。また、ユーザーはそのメタデータを Data Catalog で検索 / タグ付けすることもできません。

Data Catalog サービスは境界に追加されていません。Data Catalog では、プロジェクト A と BigQuery の周囲にある既存の境界を考慮します。

カスタム統合アセット

Data Catalog は、他のクラウドやオンプレミスのデータソースからアセットを統合できます。これらはカスタム統合アセットと呼ばれます。Data Catalog が VPC Service Controls の境界に追加されていない場合、許可リストに登録されていない境界内のプロジェクトであっても、カスタム統合アセットにアクセスできます。

以下の例では、最初の例のプロジェクト A とプロジェクト B の両方に、カスタム統合アセットが追加されています。この例のユーザーは、依然として境界にアクセスできません。

プロジェクト A の VPC 境界により、ユーザーはプロジェクト B とプロジェクト A と B のカスタム統合データにのみアクセスできます。
図 2.ユーザーは BigQuery B とプロジェクト A と B のカスタム統合メタデータに対して Data Catalog のアクセス権があります。

このように構成すると、結果として次のようになります。

  • ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータまたはメタデータにアクセスできません。また、Data Catalog でメタデータを検索 / タグ付けすることもできません。
  • ユーザーは、Data Catalog を使用して、プロジェクト A とプロジェクト B の両方のカスタム統合アセットのメタデータを検索 / タグ付けすることができます。

カスタム統合アセットへのアクセスを制限する

サービス境界を使用して Data Catalog API を保護することで、カスタム統合アセットへのアクセスを制限できます。次の例では、プロジェクト B の Data Catalog サービスの周囲に境界を追加して、2 番目の例を拡張しています。

プロジェクト A の VPC 境界とプロジェクト B のカスタム統合データでにより、ユーザーはプロジェクト B とプロジェクト A のカスタムデータのみにアクセスできます。
図 3. ユーザーにはプロジェクト B とプロジェクト A のカスタム統合メタデータに対する Data Catalog のアクセス権があります。

このように構成すると、結果として次のようになります。

  • Data Catalog がプロジェクト A の境界に追加されていないため、ユーザーはプロジェクト A のカスタム統合アセットのメタデータを検索 / タグ付けすることができます
  • Data Catalog がプロジェクト B の境界に追加されたため、ユーザーはプロジェクト B のカスタム統合アセットのメタデータを検索 / タグ付けすることができません
  • 最初の例で説明したように、ユーザーは境界でブロックされているため、BigQuery からプロジェクト A のデータ / メタデータにアクセスすることはできません。また、BigQuery のメタデータを Data Catalog で検索 / タグ付けすることもできません。
  • プロジェクト B にはサービス境界が確立されていますが、BigQuery サービスは追加されていません。つまり、ユーザーは BigQuery からプロジェクト B のデータ / メタデータにアクセスし、Data Catalog で BigQuery のメタデータを検索 / タグ付けすることができます

データリネージのサポート

データリネージは、制限付きの仮想 IP(VIP)でサポートされています。詳細については、制限付き VIP によってサポートされるサービスをご覧ください。