このドキュメントでは、VPC Service Controls(VPC-SC)を使用して Dataplex サービスを保護する方法について説明します。
VPC Service Controls により、Dataplex サービスの追加のセキュリティが提供され、データの引き出しリスクを軽減できます。VPC Service Controls を使用すると、境界を越えるリクエストからリソースとサービスを保護するサービス境界にプロジェクトを追加できます。詳細については、VPC Service Controls の概要をご覧ください。
Dataplex リソースは dataplex.googleapis.com
API で公開されており、サービスの作成や削除など、サービスレベルのオペレーションを実行できます。
Dataplex で VPC Service Controls を設定するには、接続をこの API サーフェスに制限します。
制限事項
Dataplex リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex では、次のリソースタイプがサポートされています。
- 湖
- データ プロファイルのスキャン
- データ品質のスキャン
Virtual Private Cloud(VPC)ネットワークを構成する
サービス境界に対する限定公開の Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミス ネットワーク上のホストは、関連する境界のポリシーに準拠した方法で VPC Service Controls によりサポートされている Google API およびサービスに限り通信できます。
詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。
サービス境界を作成する
サービス境界を作成するときに、VPC Service Controls サービス境界で保護する Dataplex プロジェクトを選択します。
サービス境界を作成するには、サービス境界を作成するの手順に沿って操作します。
サービス境界にプロジェクトを追加する
既存の Dataplex プロジェクトを境界に追加するには、サービス境界を更新するの手順に沿って操作します。
サービス境界に Dataplex API を追加する
たとえば Dataplex API の使用で、Dataplex からデータが引き出されるリスクを軽減するには、Dataplex API を制限する必要があります。
Dataplex API を制限付きサービスとして追加する手順は次のとおりです。
Console
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
[VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
[境界を編集] をクリックします。
[VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
Dataplex API を追加します。
[保存] をクリックします。
gcloud
gcloud access-context-manager perimeters update
コマンドを使用します。gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
次のように置き換えます。
PERIMETER_ID
: 境界の ID または境界の完全修飾識別子POLICY_ID
: アクセス ポリシーの ID
省略可: アクセスレベルを作成する
境界内の保護されたリソースへの外部アクセスを許可するには、アクセスレベルを使用します。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、境界外のデータおよびサービスにアクセスするための権限を、保護されたリソースに与えることはできません。
詳細については、保護されたリソースへの境界外部からのアクセスを許可するをご覧ください。
次のステップ
- VPC Service Controls の詳細を確認する。
- IAM を使用した Dataplex アクセス制御の詳細を確認する。
- Dataplex のセキュリティの詳細を確認する。