VPC Service Controls-Perimeter und Data Catalog

VPC Service Controls kann Ihrer Organisation dabei helfen, das Risiko der Daten-Exfiltrierung durch von Google verwaltete Dienste wie Cloud Storage und BigQuery zu verringern. Auf dieser Seite wird gezeigt, wie Data Catalog mit Ressourcen in einem VPC Service Controls-Dienstperimeter interagiert.

In den folgenden Beispielen wird mit BigQuery veranschaulicht, wie Data Catalog mit Perimetern interagiert. Data Catalog berücksichtigt jedoch Perimeter um alle Google-Speichersysteme, einschließlich Cloud Storage und Pub/Sub.

Beispiel

Das folgende Diagramm veranschaulicht, wie Data Catalog mit Perimetern interagiert. Im Diagramm werden zwei GCP-Projekte angezeigt: Projekt A und Projekt B. Um den BigQuery-Dienst {bigquery_name_short}} für Projekt A wurde ein Perimeter eingerichtet. Projekt B wurde nicht zum Perimeter hinzugefügt.

Im folgenden Diagramm gibt es zwei Google Cloud-Projekte: Projekt A und Projekt B. Um Projekt A wurde ein Dienstperimeter eingerichtet und der BigQuery-Dienst ist durch den Perimeter geschützt. Dem Nutzer wurde kein Zugang zum Perimeter über eine auf die weiße Liste gesetzte IP-Adresse oder eine Nutzeridentität gewährt. Projekt B befindet sich nicht im Perimeter.

Data Catalog mit einem Perimeter um BigQuery

Ergebnis dieser Konfiguration:

  • Data Catalog synchronisiert weiterhin BigQuery-Metadaten aus beiden Projekten.
  • Der Nutzer kann auf Daten und Metadaten für Projekt B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen/taggen.
  • Der Nutzer kann nicht auf Projekt A-Daten in BigQuery zugreifen, da sie vom Perimeter blockiert werden. Der Nutzer kann seine Metadaten auch nicht mit Data Catalog durchsuchen oder taggen.

Beachten Sie, dass der Data Catalog-Dienst nicht zum Perimeter hinzugefügt wurde. Data Catalog berücksichtigt vielmehr den vorhandenen Perimeter um Projekt A und BigQuery.

Benutzerdefinierte eingebundene Assets

Data Catalog kann Assets aus anderen Clouds und lokalen Datenquellen einbinden. Diese werden als benutzerdefinierte eingebundene Assets bezeichnet. Wenn Data Catalog nicht zum VPC Service Controls-Perimeter hinzugefügt wurde, können Nutzer weiterhin auf benutzerdefinierte eingebundene Assets zugreifen, auch für Projekte in Perimetern, in denen sie nicht auf der weißen Liste stehen.

Im folgenden Beispiel wurden benutzerdefinierte eingebundene Assets zu Projekt A und Projekt B aus dem ersten Beispiel hinzugefügt. Der Nutzer in diesem Beispiel hat immer noch keinen Perimeter-Zugriff.

Data Catalog mit benutzerdefinierten eingebundenen Assets

Ergebnis dieser Konfiguration:

  • Der Nutzer kann auf Daten und Metadaten für Projekt B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen oder taggen.
  • Der Nutzer kann nicht auf Daten oder Metadaten von Projekt A aus BigQuery zugreifen, da sie vom Perimeter blockiert werden. Außerdem können sie ihre Metadaten nicht durchsuchen oder mit Data Catalog taggen.
  • Der Nutzer kann Data Catalog verwenden, um Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt A und Projekt B zu suchen oder zu taggen.

Zugriff auf benutzerdefinierte eingebundene Assets einschränken

Sie können den Zugriff auf benutzerdefinierte eingebundene Assets einschränken, indem Sie einen Dienstperimeter verwenden, um die Data Catalog API zu schützen. Im folgenden Beispiel wird das zweite Beispiel erweitert, indem ein Perimeter um den Data Catalog-Dienst für Projekt B hinzugefügt wird:

Data Catalog mit benutzerdefinierten eingebundenen Assets und einem Perimeter

Ergebnis dieser Konfiguration:

  • Der Datenkatalog wurde nicht zum Perimeter für Projekt A hinzugefügt. Der Nutzer kann Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt A suchen/taggen.
  • Der Datenkatalog wurde dem Perimeter für Projekt B hinzugefügt, sodass der Nutzer keine Metadaten für die benutzerdefinierten eingebundenen Assets in Projekt B suchen/taggen kann.
  • Wie im ersten Beispiel kann der Nutzer nicht auf Daten/Metadaten von Projekt A aus BigQuery zugreifen, da er vom Perimeter blockiert wird. Sie können auch keine BigQuery-Metadaten mit Data Catalog durchsuchen/taggen.
  • Obwohl für Projekt B ein Dienstperimeter eingerichtet wurde, wurde ihm der BigQuery-Dienst nicht hinzugefügt. Das bedeutet, dass der Nutzer auf Daten/Metadaten von Projekt B aus BigQuery zugreifen und BigQuery-Metadaten mit Data Catalog durchsuchen/taggen kann.