Sie können Ihre Dataplex-Dienste mit VPC Service Controls (VPC-SC) zusätzlich schützen.
VPC Service Controls bietet zusätzliche Sicherheit für Ihre Dataplex-Dienste zur Minderung des Datenrisikos Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen. Solche Dienstperimeter schützen Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten.
Weitere Informationen zu VPC Service Controls finden Sie unter VPC Service Controls.
Dataplex-Ressourcen werden über die dataplex.googleapis.com
API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.
So richten Sie VPC Service Controls mit Dataplex ein, die Konnektivität zu dieser API-Oberfläche einschränken.
Beschränkungen
Bevor Sie Dataplex-Ressourcen erstellen, richten Sie den VPC Service Controls-Sicherheitsperimeter. Andernfalls werden Ihre Ressourcen nicht haben einen Perimeterschutz. Dataplex unterstützt die folgende Ressource Typen:
- Lake
- Datenprofilscan
- Datenqualitätsscan
VPC-Netzwerk (Virtual Private Cloud) konfigurieren
Sie können das VPC-Netzwerk so konfigurieren, dass der private Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. Dadurch wird sichergestellt, Hosts in Ihrem VPC- oder lokalen Netzwerk können nur miteinander kommunizieren, mit Google APIs und Google-Diensten, die von VPC Service Controls unterstützt werden die der Richtlinie des zugehörigen Perimeters entsprechen.
Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.
Dienstperimeter erstellen
Dabei wählen Sie die Dataplex-Projekte aus, die durch den VPC-Dienstperimeter geschützt werden sollen.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Dem Dienstperimeter weitere Projekte hinzufügen
Wenn Sie dem Perimeter vorhandene Dataplex-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Dataplex API zum Dienstperimeter hinzufügen
Um das Risiko zu verringern, dass Ihre Daten aus Dataplex exfiltriert werden, Mit Dataplex APIs können Sie beispielsweise muss die Dataplex API einschränken.
So fügen Sie die Dataplex API als eingeschränkter Dienst:
Console
Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:
Rufen Sie in der Google Cloud Console die Seite „VPC Service Controls“ auf.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Gehen Sie auf der Seite VPC-Dienstperimeter bearbeiten vor: Klicken Sie auf Dienste hinzufügen.
Fügen Sie die Dataplex API hinzu.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den folgenden
gcloud access-context-manager perimeters update
-Befehl:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Dabei gilt:
PERIMETER_ID
: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.POLICY_ID
: Die ID der Zugriffsrichtlinie.
Zugriffsebene erstellen
Optional können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters gewähren: können Sie Zugriffsebenen verwenden. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können mithilfe von Zugriffsebenen nicht geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters erteilen.
Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
Nächste Schritte
- VPC Service Controls
- Weitere Informationen zu Dataplex-IAM und -Zugriffssteuerung
- Weitere Informationen zur Dataplex-Sicherheit