VPC Service Controls mit Dataplex

Um Ihre Dataplex-Dienste noch besser zu schützen, können Sie sie mit VPC Service Controls (VPC-SC) schützen.

VPC Service Controls bietet zusätzliche Sicherheit für Dataplex-Dienste, um das Risiko der Daten-Exfiltration zu minimieren. Mit VPC Service Controls können Sie Projekte zu Dienstperimetern hinzufügen, um Ressourcen und Dienste vor Anfragen zu schützen, die den Perimeter überschreiten.

Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Dataplex-Ressourcen werden über die dataplex.googleapis.com API bereitgestellt, mit der Sie Service Level-Vorgänge ausführen können, z. B. das Erstellen und Löschen von Diensten.

Sie richten VPC Service Controls mit Dataplex ein, indem Sie die Verbindung zu dieser API-Oberfläche einschränken.

Beschränkungen

Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre Dataplex-Ressourcen erstellen. Andernfalls haben Ihre Ressourcen keinen Perimeterschutz. Dataplex unterstützt die folgenden Ressourcentypen:

  • Lake
  • Datenprofilscan
  • Datenqualitätsscan

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. Dadurch wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und Diensten kommunizieren können, die von VPC Service Controls unterstützt werden, soweit das der Richtlinie des zugehörigen Perimeters entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Während dieses Vorgangs wählen Sie die Dataplex-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Folgen Sie der Anleitung unter Dienstperimeter aktualisieren, um dem Perimeter vorhandene Dataplex-Projekte hinzuzufügen.

Dataplex API dem Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataplex exfiltriert werden, müssen Sie die Dataplex API einschränken.

So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:

    Zur Seite „VPC Service Controls“ in der Google Cloud Console

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.

  5. Fügen Sie die Dataplex API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

  1. Verwenden Sie den folgenden gcloud access-context-manager perimeters update-Befehl:

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com

    Ersetzen Sie Folgendes:

    • PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennung für den Perimeter.
    • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebene erstellen

Optional können Sie Zugriffsebenen verwenden, um den externen Zugriff auf geschützte Ressourcen in einem Perimeter zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Es ist nicht möglich, Zugriffsebenen zu verwenden, um geschützten Ressourcen den Zugriff auf Daten und Dienste außerhalb des Perimeters zu erlauben.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte