Dataplex で使用する VPC Service Controls

Dataplex サービスのセキュリティをさらに強化するには、VPC Service Controls(VPC-SC)を使用してサービスを保護します。

VPC Service Controls により、Dataplex サービスの追加のセキュリティが提供され、データの引き出しリスクを軽減できます。VPC Service Controls の利用により、プロジェクトを、境界をまたぐリクエストからリソースとサービスを保護するサービス境界に追加できます。

VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

Dataplex リソースは dataplex.googleapis.com API で公開されており、サービスの作成や削除など、サービスレベルのオペレーションを実行できます。

Dataplex で VPC Service Controls を設定するには、接続をこの API サーフェスに制限します。

制限事項

Dataplex リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex では、次のリソースタイプがサポートされています。

  • レイク
  • データ プロファイルのスキャン
  • データ品質のスキャン

Virtual Private Cloud(VPC)ネットワークを構成する

サービス境界に対する限定公開の Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミス ネットワーク上のホストは、関連する境界のポリシーに準拠した方法で VPC Service Controls によりサポートされている Google API およびサービスに限り通信できます。

詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。

サービス境界を作成する

この手順では、VPC Service Controls サービス境界で保護する Dataplex プロジェクトを選択します。

サービス境界を作成するには、サービス境界の作成手順に従ってください。

サービス境界にプロジェクトを追加する

既存の Dataplex プロジェクトを境界に追加するには、サービス境界の更新の手順に従ってください。

サービス境界に Dataplex API を追加する

たとえば Dataplex API の使用で、Dataplex からデータが引き出されるリスクを軽減するには、Dataplex API を制限する必要があります。

Dataplex API を制限付きサービスとして追加するには、次のようにします。

コンソール

  1. Google Cloud コンソールで [VPC Service Controls] ページを開きます。

    Google Cloud コンソールの [VPC Service Controls] ページに移動します。

  2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。

  3. [境界を編集] をクリックします。

  4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。

  5. Dataplex API を追加します。

  6. [保存] をクリックします。

gcloud

  1. 次の gcloud access-context-manager perimeters update コマンドを使用します。

    gcloud access-context-manager perimeters update PERIMETER_ID \
        --policy=POLICY_ID \
        --add-restricted-services=dataplex.googleapis.com
    

    以下を置き換えます。

    • PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
    • POLICY_ID: アクセス ポリシーの ID。

アクセスレベルを作成する

境界内の保護されたリソースへの外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、境界外のデータおよびサービスにアクセスするための権限を、保護されたリソースに与えることはできません。

境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。

次のステップ