Kontrol Layanan VPC dapat membantu organisasi Anda mengurangi risiko pemindahan data yang tidak sah dari layanan yang dikelola Google seperti Cloud Storage dan BigQuery. Halaman ini menunjukkan cara Data Catalog berinteraksi dengan resource di dalam perimeter layanan Kontrol Layanan VPC.
Contoh di bawah ini menggunakan BigQuery untuk menunjukkan cara Data Catalog berinteraksi dengan perimeter. Namun, Data Catalog mengikuti perimeter di seluruh sistem penyimpanan Google dengan cara yang sama, termasuk Cloud Storage dan Pub/Sub.
Contoh
Untuk memahami cara Data Catalog berinteraksi dengan perimeter, perhatikan diagram di bawah ini. Dalam diagram, ada dua project Google Cloud: Project A dan Project B. Perimeter layanan telah ditetapkan di seputar Project A, dan layanan BigQuery dilindungi oleh perimeter tersebut. Pengguna belum diberi akses ke perimeter melalui IP yang diizinkan atau identitas pengguna. Project B tidak berada di dalam perimeter.
Hasil konfigurasi ini adalah:
- Data Catalog terus menyinkronkan metadata BigQuery dari kedua project.
- Pengguna dapat mengakses data dan metadata untuk Project B dari BigQuery, dan mencari/memberi tag metadatanya dengan Data Catalog.
- Pengguna tidak dapat mengakses data Project A di BigQuery, karena mereka diblokir oleh perimeter. Pengguna juga tidak dapat menelusuri atau memberi tag pada metadatanya dengan Data Catalog.
Perhatikan bahwa layanan Data Catalog belum ditambahkan ke perimeter. Sebaliknya, Data Catalog mengikuti perimeter yang ada di sekitar Project A dan BigQuery.
Aset kustom yang terintegrasi
Data Catalog mampu mengintegrasikan aset dari cloud lain dan sumber data lokal. Aset ini disebut aset terintegrasi kustom. Jika Data Catalog belum ditambahkan ke perimeter Kontrol Layanan VPC, pengguna masih dapat mengakses aset terintegrasi kustom, bahkan untuk project dalam perimeter yang belum diizinkan.
Pada contoh di bawah, aset terintegrasi kustom telah ditambahkan ke Project A dan Project B dari contoh pertama. Pengguna dalam contoh ini masih tidak memiliki akses perimeter.
Hasil konfigurasi ini adalah:
- Pengguna dapat mengakses data dan metadata untuk Proyek B dari BigQuery, dan menelusuri atau memberi tag metadatanya dengan Katalog Data.
- Pengguna tidak dapat mengakses metadata atau data Project A dari BigQuery, karena diblokir oleh perimeter. Mereka juga tidak dapat menelusuri atau memberi tag pada metadatanya dengan Data Catalog.
- Pengguna dapat menggunakan Data Catalog untuk menelusuri atau memberi tag metadata untuk aset terintegrasi kustom di Project A dan Project B.
Membatasi akses ke aset terintegrasi kustom
Anda dapat membatasi akses ke aset terintegrasi kustom dengan menggunakan perimeter layanan untuk melindungi Data Catalog API. Contoh di bawah ini memperluas contoh kedua dengan menambahkan perimeter di sekitar layanan Data Catalog untuk Project B:
Hasil konfigurasi ini adalah:
- Data Catalog belum ditambahkan ke perimeter untuk Project A, sehingga pengguna dapat menelusuri/memberi tag metadata untuk aset terintegrasi kustom di Project A.
- Katalog Data telah ditambahkan ke perimeter untuk Project B, sehingga pengguna tidak dapat menelusuri/memberi tag metadata untuk aset terintegrasi kustom di Project B.
- Seperti pada contoh pertama, pengguna tidak dapat mengakses data/metadata Project A dari BigQuery, karena diblokir oleh perimeter. Mereka juga tidak dapat menelusuri/memberi tag metadata BigQuery dengan Data Catalog.
- Meskipun perimeter layanan telah ditetapkan untuk Project B, layanan BigQuery belum ditambahkan ke dalamnya. Ini berarti pengguna dapat mengakses data/metadata Project B dari BigQuery, dan menelusuri/memberi tag metadata BigQuery dengan Data Catalog.
Dukungan silsilah data
Lineage Data didukung oleh IP Virtual (VIP) yang dibatasi. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung oleh VIP yang dibatasi.