Per proteggere ulteriormente i tuoi servizi Dataplex, puoi proteggere mediante Controlli di servizio VPC (VPC-SC).
I Controlli di servizio VPC offrono una maggiore sicurezza per i tuoi servizi Dataplex per contribuire a mitigare il rischio di esfiltrazione di dati. Con i Controlli di servizio VPC, puoi aggiungere progetti al servizio che proteggono risorse e servizi dalle richieste che attraversano perimetrale.
Per saperne di più sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.
Le risorse Dataplex sono esposte nell'API dataplex.googleapis.com
, che consente di eseguire operazioni a livello di servizio, come la creazione e l'eliminazione di servizi.
Configura i Controlli di servizio VPC con Dataplex limitandone la connettività a questa API.
Limitazioni
Prima di creare le risorse Dataplex, configura il perimetro di sicurezza dei Controlli di servizio VPC. In caso contrario, le risorse non hanno protezione perimetrale. Dataplex supporta le seguenti risorse tipi:
- Lake
- Scansione del profilo di dati
- Analisi della qualità dei dati
Configura la rete Virtual Private Cloud (VPC)
Puoi configurare la rete VPC per limitare Accesso privato Google rispetto a un perimetro di servizio. In questo modo, gli host sulla tua rete VPC o on-premise possono comunicare solo con le API e i servizi Google supportati dai Controlli di servizio VPC in modi conformi alle norme del perimetro associato.
Per ulteriori informazioni, consulta Configurazione della connettività privata alle API e ai servizi Google.
Creare un perimetro di servizio
Durante questa procedura, seleziona i progetti Dataplex che vuoi proteggere con il perimetro di servizio VPC Service Controls.
Per creare un perimetro di servizio, segui le istruzioni riportate in Creazione di un perimetro di servizio.
Aggiungere altri progetti al perimetro di servizio
Per aggiungere i progetti Dataplex esistenti al perimetro, segui le istruzioni riportate in Aggiornare un perimetro di servizio.
Aggiungi l'API Dataplex al perimetro di servizio
Per ridurre il rischio che i tuoi dati vengano esfiltrati da Dataplex, Ad esempio, utilizzando le API Dataplex, Deve limitare l'API Dataplex.
per aggiungere l'API Dataplex come servizio limitato:
Console
Nella console Google Cloud, apri la pagina VPC Service Controls:
Vai alla pagina Controlli di servizio VPC nella Console Google Cloud
Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
Fai clic su Modifica perimetro.
Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
Aggiungi l'API Dataplex.
Fai clic su Salva.
gcloud
Utilizza il seguente comando
gcloud access-context-manager perimeters update
:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Sostituisci quanto segue:
PERIMETER_ID
: l'ID del perimetro o della qualificato per il perimetro.POLICY_ID
: l'ID del criterio di accesso.
Crea un livello di accesso
Se vuoi, puoi utilizzare i livelli di accesso per consentire l'accesso esterno alle risorse protette all'interno di un perimetro. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.
Vedi Consentire l'accesso alle risorse protette dall'esterno di un perimetro.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC.
- Scopri di più su IAM e controllo dell'accesso in Dataplex.
- Scopri di più sulla sicurezza di Dataplex.