Périmètres VPC Service Controls et Data Catalog

VPC Service Controls peut aider votre organisation à limiter les risques d'exfiltration de données provenant de services gérés par Google, tels que Cloud Storage et BigQuery. Cette page montre comment Data Catalog interagit avec les ressources d'un périmètre de service VPC Service Controls.

Les exemples ci-dessous utilisent BigQuery pour montrer comment Data Catalog interagit avec les périmètres. Toutefois, Data Catalog respecte les périmètres de tous les systèmes de stockage Google de la même manière, y compris Cloud Storage et Pub/Sub.

Exemple

Pour comprendre comment Data Catalog interagit avec les périmètres, examinez le schéma ci-dessous. Le schéma présente deux projets Google Cloud : le projet A et le projet B. Un périmètre de service a été établi autour du projet A, et le service BigQuery est protégé par le périmètre. L'utilisateur n'a pas obtenu l'accès au périmètre via une adresse IP autorisée ou une identité d'utilisateur. Le projet B ne se trouve pas dans le périmètre.

En raison du périmètre VPC autour du projet A, l'utilisateur n'accède qu'aux métadonnées du projet B via Data Catalog.
Figure 1. L'utilisateur a accès à Data Catalog au projet BigQuery B, mais pas au projet A.

Le résultat de cette configuration est le suivant :

  • Data Catalog continue de synchroniser les métadonnées BigQuery à partir des deux projets.
  • L'utilisateur peut accéder aux données et aux métadonnées du projet B à partir de BigQuery, et rechercher/taguer ses métadonnées avec Data Catalog.
  • L'utilisateur ne peut pas accéder aux données du projet A dans BigQuery, car elles sont bloquées par le périmètre. L'utilisateur ne peut pas non plus effectuer de recherches ni taguer ses métadonnées avec Data Catalog.

Notez que le service Data Catalog n'a pas été ajouté au périmètre. Au lieu de cela, Data Catalog respecte le périmètre existant autour du projet A et de BigQuery.

Éléments intégrés personnalisés

Data Catalog est capable d'intégrer des éléments provenant d'autres clouds et de sources de données sur site. Ces éléments sont appelés éléments intégrés personnalisés. Si Data Catalog n'a pas été ajouté au périmètre VPC Service Controls, les utilisateurs peuvent toujours accéder aux éléments personnalisés intégrés, même pour les projets situés dans des périmètres pour lesquels ils n'ont pas été autorisés.

Dans l'exemple ci-dessous, des éléments intégrés personnalisés ont été ajoutés au projet A et au projet B à partir du premier exemple. Dans cet exemple, l'utilisateur n'a toujours pas accès au périmètre.

En raison du périmètre VPC autour du projet A, l'utilisateur n'accède qu'aux données intégrées du projet B et aux données intégrées personnalisées des projets A et B.
Figure 2. L'utilisateur dispose d'un accès Data Catalog au projet BigQuery B et de métadonnées intégrées personnalisées dans les projets A et B.

Le résultat de cette configuration est le suivant :

  • L'utilisateur peut accéder aux données et aux métadonnées du projet B à partir de BigQuery, et rechercher ou taguer ses métadonnées avec Data Catalog.
  • L'utilisateur ne peut pas accéder aux données ni aux métadonnées du projet A depuis BigQuery, car elles sont bloquées par le périmètre. Il ne peut pas non plus effectuer de recherches ni taguer ses métadonnées avec Data Catalog.
  • L'utilisateur peut utiliser Data Catalog pour rechercher ou taguer des métadonnées pour les éléments intégrés personnalisés des projets A et B.

Limiter l'accès aux éléments intégrés personnalisés

Vous pouvez limiter l'accès aux éléments intégrés personnalisés en utilisant un périmètre de service pour protéger l'API Data Catalog. L'exemple ci-dessous développe le deuxième exemple en ajoutant un périmètre autour du service Data Catalog pour le projet B :

En raison du périmètre VPC autour du projet A et des données intégrées personnalisées du projet B, l'utilisateur n'accède qu'au projet B et aux données personnalisées du projet A.
Figure 3 : L'utilisateur dispose d'un accès Data Catalog au projet B et de métadonnées intégrées personnalisées dans le projet A.

Le résultat de cette configuration est le suivant :

  • Data Catalog n'a pas été ajouté au périmètre du projet A. L'utilisateur peut doncrechercher/taguer les métadonnées des éléments intégrés personnalisés du projet A.
  • Data Catalog a été ajouté au périmètre du projet B. Par conséquent, l'utilisateur ne peut pas rechercher/taguer les métadonnées des éléments intégrés personnalisés du projet B.
  • Comme dans le premier exemple, l'utilisateur ne peut pas accéder aux données/métadonnées du projet A depuis BigQuery, car elles sont bloquées par le périmètre. Il ne peut pas non plus rechercher/taguer des métadonnées BigQuery avec Data Catalog.
  • Même si un périmètre de service a été établi pour le projet B, le service BigQuery n'y a pas été ajouté. Cela signifie que l'utilisateur peut accéder aux données/métadonnées du projet B à partir de BigQuery et rechercher/taguer les métadonnées BigQuery avec Data Catalog.

Compatibilité avec la traçabilité des données

La traçabilité des données est compatible avec les adresses IP virtuelles restreintes. Pour en savoir plus, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte.