레이크 보호

Dataplex 보안 모델을 사용하면 다음 태스크를 수행할 수 있는 액세스 권한을 가진 사용자를 관리할 수 있습니다.

  • 레이크 관리(애셋, 영역, 추가 레이크 만들기 및 연결)
  • 매핑 애셋을 통해 레이크에 연결된 데이터에 액세스(Cloud Storage 버킷 및 BigQuery 데이터 세트와 같은 Google Cloud 리소스)
  • 레이크에 연결된 데이터의 메타데이터에 액세스

레이크 관리자는 다음과 같은 기본 및 사전 정의된 역할을 부여하여 Dataplex 리소스(레이크, 영역, 애셋)에 대한 액세스를 제어합니다.

기본 역할

역할 설명
Dataplex 뷰어
(roles/dataplex.viewer)		 레이크와 구성된 영역 및 애셋을 볼 수 있지만 수정할 수는 없습니다.
Dataplex 편집자
(roles/dataplex.editor)		 레이크를 수정할 수 있습니다. 레이크, 영역, 애셋, 태스크를 만들고 구성할 수 있습니다.
Dataplex 관리자
(roles/dataplex.administrator)		 레이크를 완전히 관리할 수 있습니다.
Dataplex 개발자
(roles/dataplex.developer)		 레이크에서 데이터 분석 워크로드를 실행할 수 있습니다. *
* BigQuery 테이블을 쿼리하려면 BigQuery 작업을 실행할 권한이 필요합니다. 작업의 컴퓨팅 지출에 대해 기여 분석하거나 비용을 청구하려는 프로젝트에서 이 권한을 설정합니다. 자세한 내용은 BigQuery 사전 정의된 역할 및 권한을 참조하세요.
Spark 작업을 실행하려면 Dataproc 클러스터를 만들고 컴퓨팅에 대해 기여 분석할 프로젝트에서 Dataproc 작업을 제출합니다.

사전 정의된 역할

Google Cloud는 Dataplex에 대한 세분화된 액세스 권한을 제공하는 다음 역할을 관리합니다.

메타데이터 역할

메타데이터 역할에는 테이블 스키마와 같은 메타데이터를 볼 수 있는 기능이 있습니다.

역할 설명
Dataplex 메타데이터 작성자
(roles/dataplex.metadataWriter)		 특정 리소스의 메타데이터를 업데이트할 수 있습니다.
Dataplex 메타데이터 리더
(roles/dataplex.metadataReader)		 메타데이터를 읽을 수 있습니다(예: 테이블 쿼리).

데이터 역할

주 구성원에게 데이터 역할을 부여하면 레이크의 애셋이 가리키는 기본 리소스의 데이터를 읽거나 쓸 수 있습니다.

Dataplex는 각 기본 스토리지 리소스(Cloud Storage, BigQuery)의 데이터 역할에 역할을 매핑합니다.

Dataplex는 Dataplex 데이터 역할을 기본 스토리지 리소스로 변환하고 전파하여 각 스토리지 리소스에 대한 올바른 역할을 설정합니다. 레이크 계층(예: 레이크)에서 단일 Dataplex 데이터 역할을 부여할 수 있고 해당 레이크에 연결된 모든 리소스의 데이터에 지정된 액세스 권한을 유지할 수 있다는 이점이 있습니다. 예를 들어 Cloud Storage 버킷과 BigQuery 데이터 세트는 기본 영역에 있는 애셋에서 참조됩니다.

예를 들어 주 구성원에게 레이크에 대한 dataplex.dataWriter 역할을 부여하면 레이크 내의 모든 데이터, 기본 영역, 애셋에 대한 쓰기 액세스 권한을 주 구성원에게 제공하게 됩니다. 하위 수준(영역)에서 부여된 데이터 액세스 역할은 레이크 계층 구조에서 기본 애셋에 상속됩니다.

역할 설명
Dataplex 데이터 리더
(roles/dataplex.dataReader)		 스토리지 버킷 및 BigQuery 데이터 세트(및 해당 콘텐츠)를 포함하여 애셋에 연결된 스토리지에서 데이터를 읽을 수 있습니다. *
Dataplex 데이터 작성자
(roles/dataplex.dataWriter)		 애셋이 가리키는 기본 리소스에 쓸 수 있습니다. *
Dataplex 데이터 소유자
(roles/dataplex.dataOwner)		 하위 리소스 관리 권한을 포함하여 기본 리소스에 대한 소유자 역할을 부여합니다. 예를 들어 BigQuery 데이터 세트의 데이터 소유자는 기본 테이블을 관리할 수 있습니다.

레이크 보호

레이크 및 여기에 연결된 데이터에 대한 액세스를 보호하고 관리할 수 있습니다. Google Cloud 콘솔에서 다음 뷰 중 하나를 사용합니다.

  • 권한 탭 아래의 Dataplex 관리 뷰 또는
  • Dataplex 보안

관리 뷰 사용

권한 탭을 사용하면 레이크 리소스의 모든 권한을 관리할 수 있으며, 상속된 권한을 포함하여 모든 권한의 필터링되지 않은 뷰가 표시됩니다.

레이크를 보호하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Dataplex로 이동합니다.

    Dataplex로 이동

  2. 관리 뷰로 이동합니다.

  3. 만든 레이크의 이름을 클릭합니다.

  4. 권한 탭을 클릭합니다.

  5. 역할별 보기 탭을 클릭합니다.

  6. 추가를 클릭하여 새로운 역할을 추가합니다. Dataplex 데이터 리더, 데이터 작성자, 데이터 소유자 역할을 추가합니다.

  7. Dataplex 데이터 리더, 데이터 작성자, 데이터 소유자 역할이 표시되는지 확인합니다.

보안 뷰 사용

Google Cloud 콘솔의 Dataplex 보안 뷰는 다음을 제공합니다.

  • 특정 리소스 중심의 Dataplex 역할만 필터링할 수 있는 간단한 뷰입니다.
  • 데이터 역할을 레이크 리소스 역할에서 분리합니다.
상위 레이크 리소스에서 상속되지 않는 데이터 권한의 예시
그림 1: 레이크의 이 예시에는 두 주 구성원 모두에 . Cloud Storage 데이터(GCS 데이터)라는 애셋에 대한 데이터 권한이 있습니다. 이러한 권한은 상위 레이크 리소스에서 상속되지 않습니다.


상위 레이크 리소스에서 상속되지 않는 권한의 예시
그림 2: 이 예시에서는 다음을 보여줍니다.
  1. 프로젝트에서 Dataplex 관리자 역할을 상속하는 서비스 계정입니다.
  2. 프로젝트에서 Dataplex 편집자 및 뷰어 역할을 상속하는 주 구성원(이메일 주소) 모든 리소스에 적용되는 역할입니다.
  3. 프로젝트에서 Dataplex 관리자 역할을 상속하는 주 구성원(이메일 주소)입니다.

정책 관리

보안 정책을 지정하면 Dataplex가 관리형 리소스의 IAM 정책에 권한을 전파합니다.

레이크 수준에서 구성된 보안 정책은 해당 레이크 내에서 관리되는 모든 리소스에 전파됩니다. Dataplex는 Dataplex 관리 > 권한 탭에서 전파 상태 및 대규모 전파에 대한 가시성을 제공합니다. Dataplex 외부에서 IAM 정책이 변경되면 관리형 리소스를 지속적으로 모니터링합니다.

이미 리소스에 대한 권한이 있는 사용자는 리소스가 Dataplex 레이크에 연결된 후에도 계속 권한을 갖습니다. 마찬가지로 Dataplex에 리소스를 연결한 후 생성되거나 업데이트된 Dataplex 이외의 역할 바인딩도 동일하게 유지됩니다.

열 수준, 행 수준, 테이블 수준 정책 설정

Cloud Storage 버킷 애셋에는 연결된 BigQuery 외부 테이블이 연결되어 있습니다.

Cloud Storage 버킷 애셋을 업그레이드할 수 있습니다. 즉, Dataplex가 연결된 외부 테이블을 삭제하고 대신 BigLake 테이블을 연결합니다.

외부 테이블 대신 BigLake 테이블을 사용하여 행 수준 제어, 열 수준 제어, 열 데이터 마스킹을 포함한 세분화된 액세스 제어를 할 수 있습니다.

메타데이터 보안

메타데이터는 주로 레이크에서 관리되는 리소스에 존재하는 사용자 데이터와 연결된 스키마 정보를 의미합니다.

Dataplex 검색은 관리형 리소스의 데이터를 검사하고 테이블 형식 스키마 정보를 추출합니다. 이러한 테이블은 BigQuery, Dataproc Metastore, Data Catalog 시스템에 게시됩니다.

BigQuery

검색된 각 테이블에는 BigQuery에 등록된 관련 테이블이 있습니다. 각 영역에는 연결된 BigQuery 데이터 세트가 있으며, 이 데이터 세트에서 검색된 테이블과 연결된 모든 외부 테이블이 등록됩니다.

검색된 Cloud Storage 호스팅 테이블은 해당 영역에 생성된 데이터 세트 아래에 등록됩니다.

Dataproc Metastore

데이터베이스 및 테이블은 Dataplex 레이크 인스턴스와 연결된 Dataproc Metastore에서 사용할 수 있습니다. 각 데이터 영역에는 연결된 데이터베이스가 있으며 각 애셋에는 연결된 테이블이 하나 이상 있을 수 있습니다.

Dataproc Metastore 서비스의 데이터는 VPC-SC 네트워크를 구성하여 보호됩니다. Dataproc Metastore 인스턴스는 레이크를 만드는 동안 Dataplex에 제공되므로 이미 사용자 관리형 리소스입니다.

Data Catalog

검색된 각 테이블에는 검색 및 탐색을 사용 설정하기 위해 Data Catalog에 연결된 항목이 있습니다.

Data Catalog는 항목을 만드는 동안 IAM 정책 이름이 필요하므로 Dataplex는 항목을 연결해야 하는 Dataplex 애셋 리소스의 IAM 정책 이름을 제공합니다. 따라서 Dataplex 항목의 권한은 애셋 리소스에 대한 권한에 따라 결정됩니다. 애셋 리소스에 Dataplex 메타데이터 리더 역할(roles/dataplex.metadataReader) 및 Dataplex 메타데이터 작성자 역할(roles/dataplex.metadataWriter)을 부여합니다.

다음 단계