VPC 서비스 제어 경계 및 Data Catalog

VPC 서비스 제어를 사용하면 조직에서 Cloud Storage 및 BigQuery와 같은 Google 관리형 서비스의 데이터 무단 반출 위험을 줄일 수 있습니다. 이 페이지에서는 Data Catalog가 VPC 서비스 제어 서비스 경계 내의 리소스와 상호작용하는 방법을 보여줍니다.

아래 예시에서는 BigQuery를 사용하여 Data Catalog가 경계와 상호작용하는 방법을 보여줍니다. 하지만 Data Catalog는 Cloud Storage 및 Pub/Sub를 포함하여 동일한 방식으로 모든 Google 저장소 시스템의 경계를 따릅니다.

예시

Data Catalog가 경계와 상호 작용하는 방식을 이해하려면 아래 다이어그램을 참조하세요. 다이어그램에는 프로젝트 A와 프로젝트 B의 두 가지 Google Cloud 프로젝트가 있습니다. 프로젝트 A를 중심으로 서비스 경계가 설정되었으며 BigQuery 서비스는 경계에 의해 보호됩니다. 사용자에게 허용된 IP 또는 사용자 ID를 통한 경계 액세스 권한이 부여되지 않았습니다. 프로젝트 B가 경계 내에 존재하지 않습니다.

프로젝트 A 주변의 VPC 경계로 인해 사용자는 Data Catalog를 통해 프로젝트 B 메타데이터에만 액세스합니다.
그림 1. 사용자에게 BiqQuery 프로젝트 B에 대한 Data Catalog 액세스 권한이 있지만 프로젝트 A에는 액세스할 수 없습니다.

이 구성의 결과는 다음과 같습니다.

  • Data Catalog는 두 프로젝트의 BigQuery 메타데이터를 계속 동기화합니다.
  • 사용자는 BigQuery에서 프로젝트 B의 데이터와 메타데이터에 액세스하고 Data Catalog로 메타데이터를 검색 및 태그할 수 있습니다.
  • 사용자가 경계에 의해 차단되었기 때문에 BigQuery에서 프로젝트 A 데이터에 액세스할 수 없습니다. 또한 사용자는 Data Catalog로 메타데이터를 검색하거나 태그를 지정할 수 없습니다.

Data Catalog 서비스가 경계에 추가되지 않았습니다. 대신 Data Catalog는 프로젝트 A와 BigQuery 주변의 기존 경계를 따릅니다.

커스텀 통합 애셋

Data Catalog는 다른 클라우드 및 온프레미스 데이터 소스의 애셋을 통합할 수 있습니다. 이를 커스텀 통합 애셋이라고 합니다. Data Catalog가 VPC 서비스 제어 경계에 추가되지 않은 경우 사용자는 허용 목록에 포함되지 않은 경계 내부의 프로젝트에서도 커스텀 통합 애셋에 계속 액세스할 수 있습니다.

아래 예시에서는 첫 번째 예시의 프로젝트 A와 프로젝트 B에 모두 커스텀 통합 애셋이 추가되었습니다. 이 예시의 사용자는 여전히 경계 액세스 권한이 없습니다.

프로젝트 A의 VPC 경계로 인해 사용자는 프로젝트 B와 프로젝트 A와 B의 커스텀 통합 데이터에만 액세스합니다.
그림 2. 사용자가 BigQuery 프로젝트 B에 대한 Data Catalog 액세스 권한과 프로젝트 A와 B의 커스텀 통합 메타데이터를 사용할 수 있습니다.

이 구성의 결과는 다음과 같습니다.

  • 사용자는 BigQuery에서 프로젝트 B의 데이터와 메타데이터에 액세스하고 Data Catalog로 메타데이터를 검색 또는 태그할 수 있습니다.
  • 사용자가 경계에 의해 차단되었기 때문에 BigQuery에서 프로젝트 A 데이터 또는 메타데이터에 액세스할 수 없습니다. 또한 Data Catalog로 메타데이터를 검색하거나 태그를 지정할 수 없습니다.
  • 사용자는 Data Catalog를 사용하여 프로젝트 A와 프로젝트 B에서 커스텀 통합 애셋의 메타데이터를 검색하거나 태그할 수 있습니다.

커스텀 통합 애셋에 대한 액세스 제한

서비스 경계를 사용해 Data Catalog API를 보호하여 커스텀 통합 애셋에 대한 액세스를 제한할 수 있습니다. 아래 예시에서는 프로젝트 B의 Data Catalog 서비스 주위에 경계를 추가하여 두 번째 예시를 확장합니다.

프로젝트 A의 VPC 경계와 프로젝트 B의 커스텀 통합 데이터로 인해 사용자는 프로젝트 B와 프로젝트 A의 커스텀 데이터에만 액세스합니다.
그림 3. 사용자가 프로젝트 B에 대한 데이터 카탈로그 액세스 권한과 프로젝트 A의 커스텀 통합 메타데이터를 사용할 수 있습니다.

이 구성의 결과는 다음과 같습니다.

  • Data Catalog가 프로젝트 A의 경계에 추가되지 않았으므로 사용자는 프로젝트 A의 커스텀 통합 애셋에 대한 메타데이터를 검색 및 태그할 수 있습니다.
  • Data Catalog가 프로젝트 B의 경계에 추가되었으므로 사용자는 프로젝트 B의 커스텀 통합 애셋에 대한 검색 및 태그 메타데이터를 사용할 수 없습니다.
  • 첫 번째 예시에서와 같이 사용자는 경계에 의해 차단되므로 BigQuery에서 프로젝트 A의 데이터 및 메타데이터에 액세스할 수 없습니다. 또한 Data Catalog로 BigQuery 메타데이터를 검색 및 태그할 수 없습니다.
  • 프로젝트 B에 대한 서비스 경계가 설정되었으나 BigQuery 서비스는 추가되지 않았습니다. 즉 사용자는 BigQuery에서 프로젝트 B 데이터 및 메타데이터에 액세스할 수 있으며 Data Catalog로 BigQuery 메타데이터를 검색 및 태그할 수 있습니다.

데이터 계보 지원

데이터 계보는 제한된 가상 IP(VIP)에서 지원됩니다. 자세한 내용은 제한된 VIP에서 지원하는 서비스를 참조하세요.