VPC Service Controls mit Dataplex

Mit VPC Service Controls (VPC-SC) können Sie Ihre Dataplex-Dienste zusätzlich schützen.

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Dataplex-Dienste und verringert so das Risiko der Daten-Exfiltration. Mit VPC Service Controls können Sie Projekte zu Dienstperimetern hinzufügen, die Ressourcen und Dienste vor Anfragen schützen, die den Perimeter überschreiten.

Weitere Informationen zu VPC Service Controls finden Sie unter VPC Service Controls.

Dataplex-Ressourcen werden in der dataplex.googleapis.com API bereitgestellt, sodass Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Zum Einrichten von VPC Service Controls mit Dataplex schränken Sie die Verbindung zu dieser API-Oberfläche ein.

Beschränkungen

Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre Dataplex-Ressourcen erstellen. Andernfalls haben Ihre Ressourcen keinen Perimeterschutz. Dataplex unterstützt die folgenden Ressourcentypen:

  • Lake
  • Datenprofilscan
  • Datenqualitätsscan

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So können Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und Google-Diensten, die von VPC Service Controls unterstützt werden, gemäß der Richtlinie des zugehörigen Perimeters kommunizieren.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Bei diesem Verfahren wählen Sie die Dataplex-Projekte aus, die der VPC Service Controls-Dienstperimeter schützen soll.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Folgen Sie der Anleitung unter Dienstperimeter aktualisieren, um dem Perimeter vorhandene Dataplex-Projekte hinzuzufügen.

Dataplex API dem Dienstperimeter hinzufügen

Sie müssen die Dataplex API einschränken, um das Risiko zu minimieren, dass Ihre Daten aus Dataplex exfiltriert werden, z. B. mit Dataplex APIs.

So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:

    Zur Seite „VPC Service Controls“ in der Google Cloud Console

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.

  5. Fügen Sie die Dataplex API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

  1. Verwenden Sie den folgenden gcloud access-context-manager perimeters update-Befehl:

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com

    Ersetzen Sie Folgendes:

    • PERIMETER_ID: Die ID des Perimeters oder die vollständig qualifizierte Kennung für den Perimeter.
    • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebene erstellen

Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung für den Zugriff auf Daten und Dienste außerhalb des Perimeters zu gewähren.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte