Para proteger aún más tus servicios de Dataplex, puedes usar los Controles del servicio de VPC (VPC-SC).
Los Controles del servicio de VPC brindan seguridad adicional para tus servicios de Dataplex a fin de mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que protejan los recursos y servicios de las solicitudes que cruzan el perímetro.
Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.
Los recursos de Dataplex se exponen
API de dataplex.googleapis.com
, que te permite realizar tareas
operaciones, como la creación y eliminación de servicios.
Configura los Controles del servicio de VPC con Dataplex de la siguiente manera: restringiendo la conectividad a esta plataforma de APIs.
Limitaciones
Antes de crear tus recursos de Dataplex, configura Perímetro de seguridad de los Controles del servicio de VPC. De lo contrario, tus recursos no tienen protección del perímetro. Dataplex admite los siguientes tipos de recursos:
- Lake
- Análisis del perfil de datos
- Análisis de la calidad de los datos
Configura la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el Acceso privado a Google con respecto a un perímetro de servicio. Esto garantiza que los hosts en tu VPC o red local solo pueden comunicarse con las APIs y los servicios de Google compatibles con los Controles del servicio de VPC de maneras que cumplan con la política del perímetro asociado.
Para obtener más información, consulta Cómo configurar una conectividad privada en los servicios y las API de Google.
Crea un perímetro de servicio
Durante este procedimiento, seleccionas los proyectos de Dataplex que quieres que proteja el perímetro de servicio de los Controles del servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones en Crea un perímetro de servicio.
Agrega más proyectos al perímetro de servicio
Para agregar proyectos existentes de Dataplex al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.
Agrega la API de Dataplex al perímetro de servicio
Para mitigar el riesgo de robo de tus datos de Dataplex, Por ejemplo, con las APIs de Dataplex, debe restringir la API de Dataplex.
Para agregar la API de Dataplex como servicio restringido:
Console
En la consola de Google Cloud, abre la página Controles del servicio de VPC:
Ve a la página Controles del servicio de VPC en la consola de Google Cloud.
En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio de VPC, haz clic en Agregar servicios.
Agrega la API de Dataplex.
Haz clic en Guardar.
gcloud
Usa el siguiente comando de
gcloud access-context-manager perimeters update
:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Reemplaza lo siguiente:
PERIMETER_ID
: ID del perímetro o el identificador completamente calificado del perímetro.POLICY_ID
: ID de la política de acceso.
Crea un nivel de acceso
De forma opcional, para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso a fin de otorgar permisos a los recursos protegidos para acceder a los datos y servicios fuera del perímetro.
Consulta Permite el acceso a recursos protegidos desde fuera del perímetro.
¿Qué sigue?
- Obtén más información sobre los controles de servicio de VPC.
- Obtén más información sobre la IAM y el control de acceso de Dataplex.
- Obtén más información sobre la seguridad de Dataplex.