VPC Service Controls の境界と Data Catalog

VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google マネージド サービスからデータが引き出されるリスクを軽減できます。このページでは、Data Catalog が VPC Service Controls サービス境界内でリソースとどのようにやり取りするかについて説明します。

以下の例では、BigQuery を使用して、Data Catalog が境界とやり取りする方法を示します。ただし、Data Catalog では、Cloud Storage と Pub/Sub を含むすべての Google ストレージ システムの周囲の境界が同じ方法で考慮されます。

Data Catalog が境界とやり取りする方法をわかりやすくするため、下の図を考えます。この図には、プロジェクト A とプロジェクト B の 2 つの GCP プロジェクトが示されています。プロジェクト A の BigQuery {bigquery_name_short}} サービスの周囲には境界が確立されています。プロジェクト B は境界に追加されていません。

下の図には、プロジェクト A とプロジェクト B の 2 つの Google Cloud プロジェクトがあります。プロジェクト A の周囲にはサービス境界が確立されていて、BigQuery サービスは境界によって保護されます。ユーザーは、ホワイトリストに登録された IP やユーザー ID を介しては、境界へのアクセス権が付与されていません。プロジェクト B は境界の内側にはありません。

BigQuery の周囲に境界が存在する Data Catalog

このように構成すると、結果として次のようになります。

  • Data Catalog は引き続き、両方のプロジェクトから BigQuery のメタデータを同期します。
  • ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータにアクセスできません。また、ユーザーはそのメタデータを Data Catalog で検索 / タグ付けすることもできません。

Data Catalog サービスは境界に追加されていません。Data Catalog では、プロジェクト A と BigQuery の周囲にある既存の境界を考慮します。

カスタム統合アセット

Data Catalog は、他のクラウドやオンプレミスのデータソースからアセットを統合できます。これらはカスタム統合アセットと呼ばれます。Data Catalog が VPC Service Controls の境界に追加されていない場合でも、ユーザーはカスタム統合アセットにアクセスできます。これは、ユーザーがホワイトリストに登録されていない境界のプロジェクトでも同様です。

以下の例では、最初の例のプロジェクト A とプロジェクト B の両方に、カスタム統合アセットが追加されています。この例のユーザーは、依然として境界にアクセスできません。

カスタム統合アセットが含まれる Data Catalog

このように構成すると、結果として次のようになります。

  • ユーザーは BigQuery からプロジェクト B のデータとメタデータにアクセスし、そのメタデータを Data Catalog で検索 / タグ付けすることができます。
  • ユーザーは境界でブロックされているため、BigQuery のプロジェクト A のデータまたはメタデータにアクセスできません。また、Data Catalog でメタデータを検索 / タグ付けすることもできません。
  • ユーザーは、Data Catalog を使用して、プロジェクト A とプロジェクト B の両方のカスタム統合アセットのメタデータを検索 / タグ付けすることができます。

カスタム統合アセットへのアクセスを制限する

サービス境界を使用して Data Catalog API を保護することで、カスタム統合アセットへのアクセスを制限できます。次の例では、プロジェクト B の Data Catalog サービスの周囲に境界を追加して、2 番目の例を拡張しています。

カスタム統合アセットと境界が含まれる Data Catalog

このように構成すると、結果として次のようになります。

  • Data Catalog がプロジェクト A の境界に追加されていないため、ユーザーはプロジェクト A のカスタム統合アセットのメタデータを検索 / タグ付けすることができます
  • Data Catalog がプロジェクト B の境界に追加されたため、ユーザーはプロジェクト B のカスタム統合アセットのメタデータを検索 / タグ付けすることができません
  • 最初の例で説明したように、ユーザーは境界でブロックされているため、BigQuery からプロジェクト A のデータ / メタデータにアクセスすることはできません。また、BigQuery のメタデータを Data Catalog で検索 / タグ付けすることもできません。
  • プロジェクト B にはサービス境界が確立されていますが、BigQuery サービスは追加されていません。つまり、ユーザーは BigQuery からプロジェクト B のデータ / メタデータにアクセスし、Data Catalog で BigQuery のメタデータを検索 / タグ付けすることができます