Este documento descreve como proteger os serviços do catálogo universal do Dataplex através dos VPC Service Controls (VPC-SC).
O VPC Service Controls oferece segurança adicional para os serviços do Catálogo universal do Dataplex para ajudar a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que protegem recursos e serviços de pedidos que atravessam o perímetro. Para mais informações, consulte o artigo Vista geral dos VPC Service Controls.
Os recursos do Dataplex Universal Catalog são expostos na API
dataplex.googleapis.com, que lhe permite realizar operações ao nível do serviço, como a criação e a eliminação de serviços.
Configura os VPC Service Controls com o catálogo universal do Dataplex restringindo a conetividade a esta superfície da API.
Limitações
Antes de criar recursos do Dataplex Universal Catalog, configure o perímetro de segurança do VPC Service Controls. Caso contrário, os seus recursos não têm proteção de perímetro. O Dataplex Universal Catalog suporta os seguintes tipos de recursos:
- Lago
- Recursos
- Análise do perfil de dados
- Análise da qualidade de dados
Configure a rede da nuvem virtual privada (VPC)
Pode configurar a rede VPC para restringir o acesso privado à Google relativamente a um perímetro de serviço. Isto garante que os anfitriões na sua VPC ou rede nas instalações só podem comunicar com as APIs e os serviços Google suportados pelos VPC Service Controls de formas que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte o artigo Configurar a conetividade privada às APIs e aos serviços Google.
Crie um perímetro de serviço
Quando cria um perímetro de serviço, seleciona os projetos do Dataplex Universal Catalog que quer que o perímetro de serviço dos VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções no artigo Crie um perímetro de serviço.
Adicione mais projetos ao perímetro de serviço
Para adicionar projetos do catálogo universal do Dataplex existentes ao perímetro, siga as instruções em Atualize um perímetro de serviço.
Adicione a API Dataplex ao perímetro de serviço
Para mitigar o risco de os seus dados serem roubados do Dataplex Universal Catalog, por exemplo, através de métodos da API Dataplex, tem de restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito, siga estes passos:
Consola
Na Google Cloud consola, aceda à página VPC Service Controls.
Na página Controlos de serviço da VPC, na tabela, clique no nome do perímetro de serviço que quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço, clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Guardar.
gcloud
Use o comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua o seguinte:
PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetroPOLICY_ID: o ID da política de acesso
Opcional: crie um nível de acesso
Para permitir o acesso externo a recursos protegidos dentro de um perímetro, pode usar níveis de acesso. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos provenientes de fora do perímetro de serviço. Não pode usar níveis de acesso para conceder aos recursos protegidos autorização para aceder a dados e serviços fora do perímetro.
Para mais informações, consulte o artigo Permita o acesso a recursos protegidos a partir do exterior de um perímetro.
Suporte da linhagem de dados
A linhagem de dados é suportada pelo IP virtual (VIP) restrito. Para mais informações, consulte os serviços suportados pelo VIP restrito.
O que se segue?
- Saiba mais acerca dos VPC Service Controls.
- Saiba mais acerca do controlo de acesso do Dataplex Universal Catalog com a IAM.
- Saiba mais sobre a segurança do Dataplex Universal Catalog.