VPC Service Controls 边界和 Data Catalog

VPC Service Controls 可以帮助您的组织降低 Google 托管服务(如 Cloud Storage 和 BigQuery)的数据渗漏风险。本页面介绍了 Data Catalog 如何与 VPC Service Controls 服务边界内的资源互动。

以下示例使用 BigQuery 演示了 Data Catalog 如何与边界互动。但是,Data Catalog 会以相同的方式尊重所有 Google 存储系统(包括 Cloud Storage 和 Pub/Sub)的边界。

示例

如需了解 Data Catalog 如何与边界互动,请注意下图。图中显示了两个 GCP 项目:项目 A 和项目 B。在项目 A 的 BigQuery {bigquery_name_short}} 服务周围建立了一个边界。项目 B 尚未添加到该边界。

在下图中,有两个 Google Cloud 项目:项目 A 和项目 B。围绕项目 A 建立了服务边界,BigQuery 服务受到该边界的保护。用户尚未通过列入白名单的 IP 或用户身份获得对该边界的访问权限。项目 B 不在该边界内。

包含 BigQuery 的边界的 Data Catalog

此配置的结果是:

  • Data Catalog 会继续同步两个项目中的 BigQuery 元数据。
  • 用户可以从 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索/标记其元数据。
  • 用户无法访问 BigQuery 中的项目 A 数据,因为它们被边界阻止。用户也无法使用 Data Catalog 搜索或标记其元数据。

请注意,尚未将 Data Catalog 服务添加到边界。相反,Data Catalog 尊重项目 A 和 BigQuery 的现有边界。

自定义集成资产

Data Catalog 能够集成来自其他云和本地数据源的资产。这些资产称为自定义集成资产。如果未将 Data Catalog 添加到 VPC Service Controls 边界,用户仍然可以访问自定义集成资产,即使对于未列入白名单的边界内的项目也是如此。

在下面的示例中,从第一个示例向项目 A 和项目 B 添加了自定义集成资产。此示例中的用户仍然没有边界访问权限。

包含自定义集成资产的 Data Catalog

此配置的结果是:

  • 用户可以从 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索或标记其元数据。
  • 用户无法访问 BigQuery 中的项目 A 数据或元数据,因为它们被边界阻止。他们也无法使用 Data Catalog 搜索或标记其元数据。
  • 用户可以使用 Data Catalog 来搜索或标记项目 A 和项目 B 中自定义集成资产的元数据。

限制对自定义集成资产的访问权限

使用服务边界来保护 Data Catalog API,您可以限制对自定义集成资产的访问权限。以下示例扩展了第二个示例,为项目 B 添加了一个围绕 Data Catalog 服务的边界:

包含自定义集成资产和边界的 Data Catalog

此配置的结果是:

  • 未向项目 A 的边界添加 Data Catalog,因此用户可以搜索/标记项目 A 中自定义集成资产的元数据。
  • Data Catalog 添加到项目 B 的边界中,因此用户无法在项目 B 中搜索/标记自定义集成资产的元数据。
  • 第一个示例所示,用户无法访问 BigQuery 中的项目 A 数据/元数据,因为它们被边界阻止。用户也无法使用 Data Catalog 搜索/标记 BigQuery 元数据。
  • 即使已为项目 B 建立了服务边界,也未向其中添加 BigQuery 服务。也就是说,用户可以访问 BigQuery 中的项目 B 数据/元数据,并使用 Data Catalog 搜索/标记 BigQuery 元数据。