VPC Service Controls avec Dataplex

Pour renforcer la sécurité de vos services Dataplex, vous pouvez les protéger à l'aide de VPC Service Controls (VPC-SC).

VPC Service Controls offre une sécurité supplémentaire pour vos services Dataplex afin de réduire le risque d'exfiltration des données. VPC Service Controls vous permet d'ajouter des projets aux périmètres de service afin de protéger les ressources et les services des requêtes provenant de l'extérieur du périmètre.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Les ressources Dataplex sont exposées sur l'API dataplex.googleapis.com, ce qui vous permet d'effectuer des opérations au niveau du service, telles que la création et la suppression de services.

Vous configurez VPC Service Controls avec Dataplex en limitant la connectivité à cette surface d'API.

Limites

Avant de créer vos ressources Dataplex, configurez le périmètre de sécurité VPC Service Controls. Sinon, vos ressources ne bénéficieront pas de la protection du périmètre. Dataplex est compatible avec les types de ressources suivants:

  • Lac
  • Analyse du profil de données
  • Analyse de la qualité des données

Configurer le réseau de cloud privé virtuel (VPC)

Vous pouvez configurer le réseau VPC pour limiter l'accès privé à Google par rapport à un périmètre de service. Cela garantit que les hôtes de votre réseau VPC ou sur site ne peuvent communiquer avec les API et services Google que d'une manière conforme à la stratégie du périmètre associé et compatibles avec VPC Service Controls.

Pour en savoir plus, consultez la page Configurer une connectivité privée aux API et services Google.

Créer un périmètre de service

Au cours de cette procédure, vous sélectionnez les projets Dataplex que le périmètre de service VPC Service Controls doit protéger.

Pour créer un périmètre de service, suivez les instructions de la section Créer un périmètre de service.

Ajouter d'autres projets au périmètre de service

Pour ajouter des projets Dataplex existants au périmètre, suivez les instructions de la section Mettre à jour un périmètre de service.

Ajouter l'API Dataplex au périmètre de service

Pour réduire le risque d'exfiltration de données depuis Dataplex (à l'aide des API Dataplex, par exemple), vous devez limiter l'utilisation de l'API Dataplex.

Pour ajouter l'API Dataplex en tant que service restreint, procédez comme suit:

Console

  1. Dans la console Google Cloud, ouvrez la page VPC Service Controls:

    Accéder à la page VPC Service Controls dans la console Google Cloud

  2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.

  3. Cliquez sur Modifier le périmètre.

  4. Sur la page Modifier le périmètre de service VPC, cliquez sur Ajouter des services.

  5. Ajoutez l'API Dataplex.

  6. Cliquez sur Enregistrer.

gcloud

  1. Exécutez la commande gcloud access-context-manager perimeters update suivante :

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com

    Remplacez les éléments suivants :

    • PERIMETER_ID : ID du périmètre ou identifiant complet du périmètre.
    • POLICY_ID : ID de la règle d'accès.

Créer un niveau d'accès

Vous pouvez éventuellement utiliser des niveaux d'accès pour autoriser l'accès externe aux ressources protégées d'un périmètre. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des ressources protégées à accéder à des données et à des services en dehors du périmètre.

Consultez la page Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Étapes suivantes