为进一步保护 Dataplex 服务,您可以使用 VPC Service Controls (VPC-SC) 对其进行保护。
VPC Service Controls 可为您的 Dataplex 服务提供额外的安全性,以帮助降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止资源和服务受到跨边界的请求的影响。
如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
Dataplex 资源在 dataplex.googleapis.com API 上公开,因此您可以执行服务级操作,例如创建和删除服务。
您可以通过将连接限制为此 API Surface,通过 Dataplex 设置 VPC Service Controls。
限制
在创建 Dataplex 资源之前,请设置 VPC Service Controls 安全边界。否则,您的资源不会受到边界保护。Dataplex 支持以下资源类型:
- 数据湖
- 数据分析扫描
- 数据质量扫描
配置虚拟私有云 (VPC) 网络
您可以配置 VPC 网络,以根据服务边界限制专用 Google 访问通道。这可确保 VPC 或本地网络上的主机只能以符合关联边界政策的方式与 VPC Service Controls 支持的 Google API 和服务进行通信。
如需了解详情,请参阅设置与 Google API 和服务的专用连接。
创建服务边界
在此过程中,您可以选择希望 VPC Service Controls 服务边界保护的 Dataplex 项目。
如需创建服务边界,请按照创建服务边界中的说明操作。
向服务边界添加更多项目
如需将现有 Dataplex 项目添加到边界,请按照更新服务边界中的说明操作。
将 Dataplex API 添加到服务边界
如需降低数据从 Dataplex 渗漏的风险(例如使用 Dataplex API),您必须限制 Dataplex API。
如需将 Dataplex API 添加为受限服务,请执行以下操作:
控制台
在 Google Cloud 控制台中,打开“VPC Service Controls”页面:
在 VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
点击修改边界。
在修改 VPC 服务边界页面上,点击添加服务。
添加了 Dataplex API。
点击保存。
gcloud
使用以下
gcloud access-context-manager perimeters update命令:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com替换以下内容:
PERIMETER_ID:边界的 ID 或边界的完全限定标识符。POLICY_ID:访问权限政策的 ID。
创建访问权限级别
(可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别向受保护的资源授予对边界外的数据和服务的访问权限。
请参阅允许从边界外访问受保护的资源。
后续步骤
- 详细了解 VPC Service Controls。
- 详细了解 Dataplex IAM 和访问权限控制。
- 详细了解 Dataplex 安全性。