Perímetros de Controles del servicio de VPC y Data Catalog

Los Controles del servicio de VPC pueden ayudar a tu organización a mitigar los riesgos de robo de datos de los servicios administrados por Google, como Cloud Storage y BigQuery. En esta página, se muestra cómo interactúa Data Catalog con recursos dentro de un perímetro de servicio de Controles del servicio de VPC.

Los siguientes ejemplos usan BigQuery para demostrar cómo Data Catalog interactúa con los perímetros. Sin embargo, Data Catalog respeta los perímetros alrededor de todos los sistemas de Google Store de la misma manera, incluidos Cloud Storage y Pub/Sub.

Ejemplo

Para comprender cómo interactúa Data Catalog con perímetros, considera el siguiente diagrama. En el diagrama, hay dos proyectos de Google Cloud: el Proyecto A y el Proyecto B. Se estableció un perímetro de servicio alrededor del Proyecto A, y el perímetro cuenta con el servicio de BigQuery. El usuario no tiene acceso al perímetro a través de una IP permitida o de una identidad del usuario. El Proyecto B no está dentro del perímetro.

Debido al perímetro de VPC alrededor del Proyecto A, el usuario solo accede a los metadatos del Proyecto B a través de Data Catalog.
Figure 1. El usuario tiene acceso a Data Catalog de BigQuery en el proyecto B, pero no en el proyecto A.

El resultado de esta configuración es el siguiente:

  • Data Catalog continúa sincronizando metadatos de BigQuery de ambos proyectos.
  • El usuario puede acceder a los datos y metadatos del Proyecto B desde BigQuery y buscar o etiquetar sus metadatos con Data Catalog.
  • El usuario no puede acceder a los datos del Proyecto A en BigQuery, ya que el perímetro los bloquea. Además, el usuario no puede buscar ni etiquetar sus metadatos con Data Catalog.

Ten en cuenta que el servicio de Data Catalog no se agregó al perímetro. En cambio, Data Catalog respeta el perímetro existente en torno al Proyecto A y BigQuery.

Recursos integrados personalizados

Data Catalog es capaz de integrar recursos de otras nubes y fuentes de datos locales. Estos se denominan recursos integrados personalizados. Si Data Catalog no se agregó al perímetro de los Controles del servicio de VPC, los usuarios aún pueden acceder a los recursos integrados personalizados, incluso en los proyectos de perímetros en los que no se permitían permisos.

En el siguiente ejemplo, los recursos integrados personalizados se agregaron al Proyecto A y al Proyecto B del primer ejemplo. El usuario de este ejemplo aún no tiene acceso perimetral.

Debido al perímetro de la VPC alrededor del Proyecto A, el usuario solo accede al Proyecto B y a los datos integrados personalizados en los Proyectos A y B.
Figure 2. El usuario tiene acceso a Data Catalog del proyecto B de BigQuery y metadatos integrados personalizados en los proyectos A y B.

El resultado de esta configuración es el siguiente:

  • El usuario puede acceder a los datos y metadatos del Proyecto B desde BigQuery y buscar o etiquetar sus metadatos con Data Catalog.
  • El usuario no puede acceder a los datos o metadatos del Proyecto A desde BigQuery, ya que el perímetro los bloquea. Tampoco pueden buscar ni etiquetar sus metadatos con Data Catalog.
  • El usuario puede usar Data Catalog a fin de buscar o etiquetar metadatos para los elementos integrados personalizados en los Proyectos A y B.

Limita el acceso a los recursos integrados personalizados

Para limitar el acceso a los recursos integrados personalizados, puedes usar un perímetro de servicio a fin de proteger la API de Data Catalog. En el siguiente ejemplo, se expande en el segundo ejemplo, mediante la adición de un perímetro alrededor del servicio de Data Catalog para el Proyecto B:

Debido al perímetro de la VPC alrededor del Proyecto A y a los datos integrados personalizados en el Proyecto B, el usuario solo accede al Proyecto B y a los datos personalizados en el Proyecto A.
Figura 3: El usuario tiene acceso de Data Catalog al proyecto B y metadatos integrados personalizados en el proyecto A.

El resultado de esta configuración es el siguiente:

  • Data Catalog no se agregó al perímetro del Proyecto A, por lo que el usuario puede buscar ni etiquetar metadatos para los recursos integrados personalizados en el Proyecto A.
  • Data Catalog agregó al perímetro del Proyecto B, por lo que el usuario no puede buscar ni etiquetar metadatos para los recursos integrados personalizados en el Proyecto B.
  • Como en el primer ejemplo, el usuario no puede acceder a los datos o metadatos del Proyecto A desde BigQuery, ya que el perímetro los bloquea. Tampoco pueden buscar ni etiquetar los metadatos de BigQuery con Data Catalog.
  • A pesar de que se estableció un perímetro de servicio para el Proyecto B, el servicio de BigQuery no se agregó a él. Esto significa que el usuario puede acceder a los datos o metadatos del Proyecto B desde BigQuery y buscar o etiquetar metadatos con Data Catalog.

Compatibilidad con linaje de datos

El linaje de datos es compatible con la IP virtual (VIP) restringida. Para obtener más información, consulta Servicios compatibles con la VIP restringida.