VPC Service Controls 边界和 Data Catalog

VPC Service Controls 可以帮助您的组织降低 Google 托管服务(如 Cloud Storage 和 BigQuery)的数据渗漏风险。本页面介绍了 Data Catalog 如何与 VPC Service Controls 服务边界内的资源互动。

以下示例使用 BigQuery 来演示 Data Catalog 如何与边界交互。但是,Data Catalog 以同样的方式遵循所有 Google 存储系统(包括 Cloud Storage 和 Pub/Sub)的边界。

示例

要了解 Data Catalog 如何与边界交互,请参考下图。下图中有两个 Google Cloud 项目:项目 A 和项目 B。已为项目 A 建立服务边界,且 BigQuery 服务受到边界的保护。用户尚未通过加入许可名单的 IP 或用户身份获得边界的访问权限。项目 B 不在边界范围内。

由于项目 A 的 VPC 边界,用户仅通过 Data Catalog 访问项目 B 的元数据。
图 1. 用户拥有对 BiqQuery 项目 B 的 Data Catalog 访问权限,但对项目 A 没有访问权限。

此配置的结果如下:

  • Data Catalog 将继续同步这两个项目中的 BigQuery 元数据。
  • 用户可以通过 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索/标记其元数据。
  • 用户无法访问 BigQuery 中的项目 A 数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。

请注意,Data Catalog 服务尚未添加至边界。相反,Data Catalog 会遵循项目 A 和 BigQuery 的现有边界。

自定义集成资产

Data Catalog 能够集成来自其他云和本地数据源的资产。这些资产称为自定义集成资产。如果未将 Data Catalog 添加到 VPC Service Controls 边界,用户仍然可以访问自定义集成资源,即使对于未列入许可名单的边界内的项目也是如此。

在下例中,自定义集成资源已添加到第一个示例中的项目 A 和项目 B。此示例中的用户仍然没有边界访问权限。

由于项目 A 的 VPC 边界,用户只能访问项目 B 以及项目 A 和项目 B 中的自定义集成数据。
图 2. 该用户拥有对 BigQuery 项目 B 的 Data Catalog 访问权限,以及项目 A 和项目 B 中的自定义集成元数据。

此配置的结果如下:

  • 用户可以通过 BigQuery 访问项目 B 的数据和元数据,并使用 Data Catalog 搜索或标记其元数据。
  • 用户无法访问 BigQuery 中的项目 A 数据或元数据,因为它们已被边界屏蔽。用户也无法使用 Data Catalog 搜索或标记其元数据。
  • 用户可以使用 Data Catalog 来搜索或标记项目 A 和项目 B 中自定义集成资产的元数据。

限制对自定义集成资产的访问权限

您可以使用服务边界来保护 Data Catalog API,从而限制对自定义集成资产的访问权限。下例通过为项目 B 的 Data Catalog 服务添加边界,对第二个示例进行子扩展:

由于项目 A 的 VPC 边界和项目 B 中的自定义集成数据,因此用户只能访问项目 B 和项目 A 中的自定义数据。
图 3. 用户拥有对项目 B 的 Data Catalog 访问权限,以及项目 A 中的自定义集成元数据。

此配置的结果如下:

  • 未向项目 A 的边界添加 Data Catalog,因此用户可以搜索/标记项目 A 中自定义集成资产的元数据。
  • Data Catalog 添加到项目 B 的边界中,因此用户无法在项目 B 中搜索/标记自定义集成资产的元数据。
  • 第一个示例一样,用户无法访问 BigQuery 中的项目 A 数据/元数据,因为它们已被边界屏蔽。他们也无法使用 Data Catalog 搜索/标记 BigQuery 元数据。
  • 虽然已为项目 B 建立了服务边界,但 BigQuery 服务尚未添加至该边界。这意味着用户可以通过 BigQuery 访问项目 B 的数据/元数据,并使用 Data Catalog 搜索/标记 BigQuery 元数据。

数据沿袭支持

受限虚拟 IP (VIP) 支持数据沿袭。如需了解详情,请参阅受限 VIP 支持的服务