Kontrol Layanan VPC dapat membantu organisasi Anda mengurangi risiko pemindahan data yang tidak sah dari layanan yang dikelola Google seperti Cloud Storage dan BigQuery. Halaman ini menunjukkan cara Katalog Data berinteraksi dengan resource di dalam perimeter layanan Kontrol Layanan VPC.
Contoh dalam dokumen ini menggunakan BigQuery untuk menunjukkan cara Data Catalog berinteraksi dengan perimeter. Namun, Data Catalog mematuhi perimeter di sekitar semua sistem penyimpanan Google dengan cara yang sama, termasuk Cloud Storage dan Pub/Sub.
Contoh
Untuk memahami cara Data Catalog berinteraksi dengan perimeter, pertimbangkan diagram berikut.
Dalam diagram, ada dua project Google Cloud:
Project A dan Project B. Perimeter layanan dibuat di sekitar
Project A, dan layanan BigQuery dilindungi oleh
perimeter. Pengguna belum diberi akses ke perimeter melalui IP dalam daftar yang diizinkan atau identitas pengguna.
Project B tidak berada di dalam perimeter.
Project B, tetapi tidak ke Project A.
Berikut adalah hasil konfigurasi ini:
- Data Catalog terus menyinkronkan metadata BigQuery dari kedua project.
- Pengguna dapat mengakses data dan metadata untuk
Project Bdari BigQuery, dan menelusuri atau memberi tag pada metadata-nya dengan Data Catalog. - Pengguna tidak dapat mengakses data
Project Adi BigQuery karena data tersebut diblokir oleh perimeter. Pengguna juga tidak dapat menelusuri atau memberi tag pada metadatanya dengan Data Catalog.
Aset terintegrasi kustom
Data Catalog dapat mengintegrasikan aset dari cloud lain dan sumber data on-premise. Aset ini disebut aset terintegrasi kustom. Jika Katalog Data tidak ditambahkan ke perimeter Kontrol Layanan VPC, pengguna tetap dapat mengakses aset terintegrasi kustom, bahkan untuk project di perimeter yang tidak ada dalam daftar yang diizinkan.
Dalam contoh berikut, aset terintegrasi kustom telah ditambahkan ke
Project A dan Project B dari contoh pertama. Pengguna dalam
contoh ini masih tidak memiliki akses perimeter.
Project B BigQuery dan metadata terintegrasi kustom di Projects A dan B.
Berikut adalah hasil konfigurasi ini:
- Pengguna dapat mengakses data dan metadata untuk
Project Bdari BigQuery, serta menelusuri atau memberi tag pada metadatanya dengan Data Catalog. - Pengguna tidak dapat mengakses data atau metadata
Project Adari BigQuery karena diblokir oleh perimeter. Mereka juga tidak dapat menelusuri atau memberi tag pada metadata-nya dengan Data Catalog. - Pengguna dapat menggunakan Data Catalog untuk menelusuri atau memberi tag pada metadata untuk
aset terintegrasi kustom di
Project AdanProject B.
Membatasi akses ke aset terintegrasi kustom
Anda dapat membatasi akses ke aset terintegrasi kustom menggunakan perimeter layanan untuk melindungi Data Catalog API. Contoh berikut memperluas
contoh kedua dengan menambahkan perimeter di sekitar
layanan Data Catalog untuk Project B:
Project B, dan
metadata terintegrasi kustom di Project A.
Berikut adalah hasil konfigurasi ini:
- Data Catalog tidak ditambahkan ke perimeter untuk
Project A, sehingga pengguna dapat menelusuri atau memberi tag pada metadata untuk aset terintegrasi kustom diProject A. - Data Catalog ditambahkan ke perimeter untuk
Project B, sehingga pengguna tidak dapat menelusuri atau memberi tag pada metadata untuk aset terintegrasi kustom diProject B. - Seperti pada contoh pertama, pengguna tidak dapat mengakses data atau metadata
Project Adari BigQuery karena diblokir oleh perimeter. Mereka juga tidak dapat menelusuri atau memberi tag pada metadata BigQuery dengan Data Catalog. - Meskipun perimeter layanan dibuat untuk
Project B, layanan BigQuery ditambahkan ke dalamnya. Artinya, pengguna dapat mengakses data atau metadataProject Bdari BigQuery, dan menelusuri atau memberi tag pada metadata BigQuery dengan Data Catalog.
Dukungan silsilah data
Data Lineage didukung oleh IP Virtual (VIP) yang dibatasi. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung oleh VIP yang dibatasi.