Controlli di servizio VPC con Dataplex

Per proteggere ulteriormente i servizi Dataplex, puoi proteggerli utilizzando Controlli di servizio VPC (VPC-SC).

I Controlli di servizio VPC forniscono una sicurezza aggiuntiva per i servizi Dataplex, aiutandoti a ridurre il rischio di esfiltrazione dei dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che proteggono risorse e servizi dalle richieste che attraversano il perimetro.

Per saperne di più sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.

Le risorse Dataplex sono esposte nell'API dataplex.googleapis.com, che ti consente di eseguire operazioni a livello di servizio, come la creazione e l'eliminazione di servizi.

Puoi configurare Controlli di servizio VPC con Dataplex limitando la connettività a questa piattaforma API.

Limitazioni

Prima di creare le risorse Dataplex, configura il perimetro di sicurezza dei Controlli di servizio VPC. In caso contrario, le tue risorse non avranno la protezione perimetrale. Dataplex supporta i seguenti tipi di risorse:

  • Lake
  • Scansione del profilo di dati
  • Analisi della qualità dei dati

Configura la rete Virtual Private Cloud (VPC)

Puoi configurare la rete VPC in modo da limitare l'accesso privato Google rispetto a un perimetro di servizio. In questo modo, gli host sulla rete VPC o on-premise possono comunicare solo con le API e i servizi Google supportati dai Controlli di servizio VPC in modo conforme ai criteri del perimetro associato.

Per saperne di più, consulta Configurare la connettività privata alle API e ai servizi Google.

Crea un perimetro di servizio

Durante la procedura, selezioni i progetti Dataplex che devono essere protetti dal perimetro di servizio Controlli di servizio VPC.

Per creare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio.

Aggiungi altri progetti al perimetro di servizio

Per aggiungere progetti Dataplex esistenti al perimetro, segui le istruzioni in Aggiornamento di un perimetro di servizio.

Aggiungi l'API Dataplex al perimetro di servizio

Per ridurre il rischio di esfiltrazione dei dati da Dataplex, ad esempio utilizzando le API Dataplex, devi limitare l'API Dataplex.

Per aggiungere l'API Dataplex come servizio limitato:

Console

  1. Nella console Google Cloud, apri la pagina Controlli di servizio VPC:

    Vai alla pagina Controlli di servizio VPC nella console Google Cloud

  2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio da modificare.

  3. Fai clic su Modifica perimetro.

  4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.

  5. Aggiungi l'API Dataplex.

  6. Fai clic su Salva.

gcloud

  1. Utilizza il seguente comando gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com

    Sostituisci quanto segue:

    • PERIMETER_ID: l'ID del perimetro o l'identificatore completamente qualificato per il perimetro.
    • POLICY_ID: l'ID del criterio di accesso.

Crea un livello di accesso

Facoltativamente, per consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.

Vedi Consentire l'accesso alle risorse protette dall'esterno di un perimetro.

Passaggi successivi