Para proteger ainda mais os serviços do Dataplex, é possível usando o VPC Service Controls (VPC-SC).
O VPC Service Controls adiciona mais segurança aos Serviços do Dataplex para ajudar a reduzir o risco dos dados vazamentos de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros.
Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.
Os recursos do Dataplex são expostos na API dataplex.googleapis.com
, que permite executar operações de nível de serviço, como a criação e a exclusão de serviços.
Você configura o VPC Service Controls com o Dataplex restringindo a conectividade a essa plataforma de API.
Limitações
Antes de criar os recursos do Dataplex, configure o perímetro de segurança do VPC Service Controls. Caso contrário, os recursos não têm proteção de perímetro. O Dataplex é compatível com os seguintes tipos de recursos:
- Lake
- Verificação do perfil de dados
- Verificação da qualidade de dados
Configurar a rede de nuvem privada virtual (VPC)
Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts na VPC ou na rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Durante esse procedimento, você seleciona os projetos do Dataplex que você quer que o perímetro de serviço do VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do Dataplex ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicionar a API Dataplex ao perímetro de serviço
Para reduzir o risco de seus dados serem separados do Dataplex, por exemplo, usando as APIs do Dataplex, é necessário restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito:
Console
No console do Google Cloud, abra a página do VPC Service Controls:
Acesse a página "VPC Service Controls" na Console do Google Cloud
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Salvar.
gcloud
Use o comando
gcloud access-context-manager perimeters update
a seguir:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua:
PERIMETER_ID
: o ID do perímetro ou o identificador totalmente qualificado do perímetro.POLICY_ID
: o ID da política de acesso.
Criar um nível de acesso
Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.
A seguir
- Saiba mais sobre o VPC Service Controls.
- Saiba mais sobre o IAM e o controle de acesso do Dataplex.
- Saiba mais sobre a segurança do Dataplex.