VPC Service Controls mit Dataplex

In diesem Dokument wird beschrieben, wie Sie Ihre Dataplex-Dienste mit VPC Service Controls (VPC-SC) schützen.

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Dataplex-Dienste, um das Risiko einer Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen. Solche Dienstperimeter schützen Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten. Weitere Informationen finden Sie unter VPC Service Controls.

Dataplex-Ressourcen werden über die dataplex.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Sie richten VPC Service Controls mit Dataplex ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.

Beschränkungen

Bevor Sie Dataplex-Ressourcen erstellen, richten Sie den VPC Service Controls-Sicherheitsperimeter ein. Andernfalls sind Ihre Ressourcen nicht durch einen Perimeterschutz geschützt. Dataplex unterstützt die folgenden Ressourcentypen:

  • Lake
  • Assets
  • Datenprofilscan
  • Datenqualitätsscan

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der private Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So können Hosts in Ihrem VPC oder lokalen Netzwerk nur mit Google APIs und Diensten kommunizieren, die von VPC Service Controls unterstützt werden, und zwar nur auf eine Weise, die der Richtlinie des zugehörigen Perimeter entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Dataplex-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Dem Dienstperimeter weitere Projekte hinzufügen

Wenn Sie dem Perimeter vorhandene Dataplex-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataplex API zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataplex exfiltriert werden, z. B. mithilfe von Dataplex APIs, müssen Sie die Dataplex API einschränken.

So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite „VPC Service Controls“ auf.

    Zu „VPC Service Controls“

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.

  5. Fügen Sie die Dataplex API hinzu.

  6. Klicken Sie auf Speichern.

  • Führen Sie den Befehl gcloud access-context-manager perimeters update aus:

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com
    

    Ersetzen Sie Folgendes:

    • PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter
    • POLICY_ID: die ID der Zugriffsrichtlinie

Optional: Zugriffsebene erstellen

Mit Zugriffsebenen können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können mithilfe von Zugriffsebenen nicht geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Unterstützung für Datenherkunft

Die Datenabfolge wird von eingeschränkten virtuellen IP-Adressen (VIP) unterstützt. Weitere Informationen finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

Nächste Schritte