Dataplex를 사용한 VPC 서비스 제어

이 문서에서는 VPC 서비스 제어 (VPC-SC)를 사용하여 Dataplex 서비스를 보호하는 방법을 설명합니다.

VPC 서비스 제어는 Dataplex 서비스에 추가적인 보안 기능을 제공하여 데이터 무단 반출 위험을 줄여 줍니다. VPC 서비스 제어를 사용하면 서비스 경계를 지나는 요청으로부터 리소스 및 서비스를 보호하는 서비스 경계에 프로젝트를 추가할 수 있습니다. 자세한 내용은 VPC 서비스 제어 개요를 참고하세요.

Dataplex 리소스는 서비스 만들기 및 삭제와 같은 서비스 수준 작업을 수행할 수 있도록 dataplex.googleapis.com API에 노출됩니다.

이 API 표면에 대한 연결을 제한하여 Dataplex로 VPC 서비스 제어를 설정합니다.

제한사항

Dataplex 리소스를 만들기 전에 VPC 서비스 제어 보안 경계를 설정합니다. 그렇지 않으면 리소스에 경계 보호가 없습니다. Dataplex에서는 다음과 같은 리소스 유형을 지원합니다.

  • 호수
  • 데이터 프로필 스캔
  • 데이터 품질 스캔

Virtual Private Cloud(VPC) 네트워크 구성

서비스 경계에 따라 비공개 Google 액세스를 제한하도록 VPC 네트워크를 구성할 수 있습니다. 이렇게 하면 VPC 또는 온프레미스 네트워크의 호스트가 연관된 경계 정책을 준수하는 방식으로 VPC 서비스 제어에서 지원되는 Google API 및 서비스와만 통신할 수 있습니다.

자세한 내용은 Google API 및 서비스 비공개 연결 설정을 참조하세요.

서비스 경계 만들기

서비스 경계를 만들 때 VPC 서비스 제어 서비스 경계에서 보호할 Dataplex 프로젝트를 선택합니다.

서비스 경계를 만들려면 서비스 경계 만들기 안내를 따르세요.

서비스 경계에 프로젝트 추가

기존 Dataplex 프로젝트를 경계에 추가하려면 서비스 경계 업데이트의 안내를 따르세요.

서비스 경계에 Dataplex API 추가

Dataplex에서 데이터가 유출될 위험을 완화하려면(예: Dataplex API 사용) Dataplex API를 제한해야 합니다.

Dataplex API를 제한된 서비스로 추가하려면 다음 단계를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  2. VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.

  3. 경계 수정을 클릭합니다.

  4. VPC 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.

  5. Dataplex API를 추가합니다.

  6. 저장을 클릭합니다.

gcloud

  • gcloud access-context-manager perimeters update 명령어를 사용합니다.

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com
    

    다음을 바꿉니다.

    • PERIMETER_ID: 경계의 ID 또는 경계의 정규화된 식별자
    • POLICY_ID: 액세스 정책 ID

선택사항: 액세스 수준 만들기

경계 내의 보호된 리소스에 대한 외부 액세스를 허용하려면 액세스 수준을 사용할 수 있습니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준을 사용해서는 경계 외부의 데이터 및 서비스에 액세스하기 위한 보호되는 리소스 권한을 부여할 수 없습니다.

자세한 내용은 서비스 경계 외부에서 보호된 리소스에 액세스 허용을 참고하세요.

다음 단계