VPC Service Controls com o Dataplex

Para proteger ainda mais os serviços do Dataplex, é possível usando o VPC Service Controls (VPC-SC).

O VPC Service Controls adiciona mais segurança aos Serviços do Dataplex para ajudar a reduzir o risco dos dados vazamentos de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros.

Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.

Os recursos do Dataplex são expostos na API dataplex.googleapis.com, que permite executar operações de nível de serviço, como a criação e a exclusão de serviços.

Você configura o VPC Service Controls com o Dataplex restringindo a conectividade a essa plataforma de API.

Limitações

Antes de criar os recursos do Dataplex, configure o perímetro de segurança do VPC Service Controls. Caso contrário, os recursos não têm proteção de perímetro. O Dataplex é compatível com os seguintes tipos de recursos:

  • Lake
  • Verificação do perfil de dados
  • Verificação da qualidade de dados

Configurar a rede de nuvem privada virtual (VPC)

Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts na VPC ou na rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associado.

Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.

Criar um perímetro de serviço

Durante esse procedimento, você seleciona os projetos do Dataplex que você quer que o perímetro de serviço do VPC Service Controls proteja.

Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.

Adicionar mais projetos ao perímetro de serviço

Para adicionar projetos do Dataplex ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.

Adicionar a API Dataplex ao perímetro de serviço

Para reduzir o risco de seus dados serem separados do Dataplex, por exemplo, usando as APIs do Dataplex, é necessário restringir a API Dataplex.

Para adicionar a API Dataplex como um serviço restrito:

Console

  1. No console do Google Cloud, abra a página do VPC Service Controls:

    Acesse a página "VPC Service Controls" na Console do Google Cloud

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.

  3. Clique em Editar perímetro.

  4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.

  5. Adicione a API Dataplex.

  6. Clique em Salvar.

gcloud

  1. Use o comando gcloud access-context-manager perimeters update a seguir:

    gcloud access-context-manager perimeters update PERIMETER_ID \
        --policy=POLICY_ID \
        --add-restricted-services=dataplex.googleapis.com
    

    Substitua:

    • PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
    • POLICY_ID: o ID da política de acesso.

Criar um nível de acesso

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.

Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.

A seguir