Este documento é destinado a administradores de segurança e engenheiros de dados que precisam proteger os serviços do Knowledge Catalog (antigo Dataplex Universal Catalog). Ele explica como usar o VPC Service Controls para criar perímetros de serviço que protegem os recursos do Knowledge Catalog e reduzem os riscos de exfiltração de dados. Para mais informações, consulte Visão geral do VPC Service Controls.
Recursos compatíveis
Quando você protege o Knowledge Catalog com um perímetro de serviço, os seguintes recursos são compatíveis:
Lakes: é possível criar e gerenciar lakes do Knowledge Catalog dentro do perímetro.
Recursos: é possível gerenciar recursos dentro do perímetro.
Recursos de metadados no catálogo: é possível gerenciar recursos de metadados dentro do perímetro.
Exportação de metadados: é possível exportar metadados para o metastore do Dataproc, o que exige mais configuração do VPC Service Controls. Para mais informações, consulte VPC Service Controls.
Insights de dados: é possível executar verificações de perfilamento de dados, qualidade de dados e metadados insights.
Linhagem de dados: é possível rastrear a linhagem de dados usando o endereço IP virtual (VIP) restrito.
Pesquisa do Knowledge Catalog: é possível usar a
SearchEntriesAPI. Ao usar a pesquisa do Knowledge Catalog em um projeto protegido por um perímetro de serviço, os resultados da pesquisa incluem apenas recursos que estão dentro do mesmo perímetro. Para mais informações, consulte Escopo da pesquisa e Isolar resultados da pesquisa por ambiente usando o VPC Service Controls.Produtos de dados (visualização): é possível usar o VPC Service Controls para proteger produtos de dados, garantindo que a comunicação entre o produto de dados, os recursos de dados constituintes (como tabelas do BigQuery) e os usuários permaneça dentro dos perímetros autorizados. Para mais informações, consulte Usar o VPC Service Controls com produtos de dados.
Limitações
É possível criar recursos do Knowledge Catalog antes de configurar o perímetro de segurança do VPC Service Controls, mas esses recursos não terão proteção de perímetro.
Por design, o VPC Service Controls impede que recursos dentro de um perímetro de serviço acessem dados e serviços fora desse perímetro. Por exemplo, as verificações de perfilamento de dados e qualidade de dados do Knowledge Catalog não podem acessar fontes de dados, como tabelas do BigQuery ou arquivos do Cloud Storage, que estão fora do perímetro de serviço. Da mesma forma, ao exportar os resultados da verificação de dados, a tabela do BigQuery de destino precisa estar em um projeto protegido pelo perímetro. Para informações sobre como conceder acesso aos recursos protegidos de fora do perímetro, consulte Criar um nível de acesso.
Configurar o VPC Service Controls
Para proteger os recursos do Knowledge Catalog com o VPC Service Controls, siga estas etapas:
- Configurar a rede VPC.
- Criar um perímetro de serviço.
- Adicione projetos ao perímetro.
- Adicione a API Dataplex ao perímetro de serviço.
- Opcional: Criar um nível de acesso.
Configurar a rede de nuvem privada virtual (VPC)
Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts em sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associada.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Ao criar um perímetro de serviço, você seleciona os projetos do Knowledge Catalog que quer que o perímetro de serviço do VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do Knowledge Catalog ao perímetro, siga as instruções em Atualizar um perímetro de serviço.
Adicionar a API Dataplex ao perímetro de serviço
Para reduzir o risco de seus dados serem separados do Knowledge Catalog, por exemplo, usando métodos da API Dataplex, é necessário restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito, siga estas etapas:
Console
No Google Cloud console do, acesse a página VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço , clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Salvar.
gcloud
Use o comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua:
PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetroPOLICY_ID: o ID da política de acesso
Opcional: criar um nível de acesso
Para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Para mais informações, consulte Permitir acesso a recursos protegidos de fora de um perímetro.
A seguir
- Saiba mais sobre VPC Service Controls.
- Saiba mais sobre o controle de acesso do Knowledge Catalog com o IAM.
- Saiba mais sobre a segurança do Knowledge Catalog.