Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC Service Controls avec Knowledge Catalog

Ce document s'adresse aux administrateurs de sécurité et aux ingénieurs des données qui doivent sécuriser les services Knowledge Catalog (anciennement Dataplex Universal Catalog). Il explique comment utiliser VPC Service Controls pour créer des périmètres de service qui protègent vos ressources Knowledge Catalog et limitent les risques d'exfiltration de données. Pour en savoir plus, consultez Présentation de VPC Service Controls.

Fonctionnalités compatibles

Lorsque vous sécurisez Knowledge Catalog avec un périmètre de service, les fonctionnalités suivantes sont compatibles :

Lacs : vous pouvez créer et gérer des lacs Knowledge Catalog dans le périmètre.
Composants : vous pouvez gérer les composants dans le périmètre.
Ressources de métadonnées dans le catalogue : vous pouvez gérer les ressources de métadonnées dans le périmètre.
Exportation de métadonnées : vous pouvez exporter des métadonnées vers Dataproc Metastore, ce qui nécessite une configuration supplémentaire de VPC Service Controls. Pour en savoir plus, consultez VPC Service Controls.
Insights sur les données : vous pouvez exécuter des analyses de profilage, de qualité des données et d'insights sur les métadonnées.
Traçabilité des données : vous pouvez suivre la traçabilité des données à l'aide de l'adresse IP virtuelle (VIP) restreinte.
Recherche Knowledge Catalog : vous pouvez utiliser l'API SearchEntries. Lorsque vous utilisez la recherche Knowledge Catalog dans un projet protégé par un périmètre de service, les résultats de recherche n'incluent que les ressources qui se trouvent dans le même périmètre. Pour en savoir plus, consultez Étendue de la recherche et Isoler les résultats de recherche par environnement à l'aide de VPC Service Controls.
Produits de données (preview) : vous pouvez utiliser les VPC Service Controls pour sécuriser les produits de données. Vous vous assurez ainsi que la communication entre le produit de données, ses assets de données constitutifs (tels que les tables BigQuery) et les utilisateurs reste dans les périmètres autorisés. Pour en savoir plus, consultez Utiliser VPC Service Controls avec les produits de données.

Recherche dans Knowledge Catalog et VPC Service Controls

Lorsque vous utilisez la recherche Knowledge Catalog dans un projet protégé par un périmètre de service, les résultats de recherche n'incluent que les ressources appartenant au même projet que celui dans lequel la recherche est effectuée.

Pour inclure des ressources provenant d'autres projets situés dans le même périmètre de service, vous devez configurer des règles de sortie VPC Service Controls pour le projet appelant du Knowledge Catalog. Pour en savoir plus, consultez Configurer les règles d'entrée et de sortie. Ces règles permettent aux résultats de recherche de franchir les limites des projets dans le périmètre.

L'exemple suivant montre une configuration de règle de sortie qui permet aux résultats de recherche d'inclure des ressources BigQuery provenant de project A lorsque la recherche est effectuée à partir de project B :

egressPolicies:
-   egressFrom:
    identityType: ANY_USER_ACCOUNT
  egressTo:
    operations:
    -   serviceName: bigquery.googleapis.com
      methodSelectors:
      -   method: '*'
    resources:
    -   projects/projectA

Lorsque vous effectuez une recherche dans Knowledge Catalog dans project B, Knowledge Catalog appelle l'API BigQuery pour localiser les composants dans project A. Ce règlement autorise explicitement tout compte utilisateur dans project B à effectuer des appels d'API BigQuery sur project A, ce qui permet aux assets BigQuery de project A d'apparaître dans les résultats de recherche de votre Knowledge Catalog.

Limites

Vous pouvez créer des ressources Knowledge Catalog avant de configurer le périmètre de sécurité VPC Service Controls, mais ces ressources ne seront pas protégées par un périmètre.

Par conception, VPC Service Controls empêche les ressources d'un périmètre de service d'accéder aux données et aux services situés en dehors de ce périmètre. Par exemple, les profils de données et les analyses de la qualité des données du Knowledge Catalog ne peuvent pas accéder aux sources de données, telles que les tables BigQuery ou les fichiers Cloud Storage, qui se trouvent en dehors du périmètre de service. De même, lorsque vous exportez les résultats d'analyse des données, la table BigQuery de destination doit se trouver dans un projet protégé par le périmètre. Pour savoir comment accorder l'accès à vos ressources protégées depuis l'extérieur du périmètre, consultez Créer un niveau d'accès.

Configurer VPC Service Controls

Pour protéger les ressources Knowledge Catalog avec VPC Service Controls, procédez comme suit :

Configurez le réseau VPC.
Créez un périmètre de service.
Ajoutez des projets au périmètre.
Ajoutez l'API Dataplex au périmètre de service.
Facultatif : créez un niveau d'accès.

Configurer le réseau de cloud privé virtuel (VPC)

Vous pouvez configurer le réseau VPC pour limiter l'accès privé à Google en fonction d'un périmètre de service. Cela garantit que les hôtes de votre VPC ou de votre réseau sur site ne peuvent communiquer qu'avec les API et les services Google compatibles avec VPC Service Controls, conformément à la règle de périmètre associée.

Pour en savoir plus, consultez Configurer une connectivité privée aux API et services Google.

Créer un périmètre de service

Lorsque vous créez un périmètre de service, vous sélectionnez les projets Knowledge Catalog que le périmètre de service VPC Service Controls doit protéger.

Pour créer un périmètre de service, suivez les instructions de la section Créer un périmètre de service.

Ajouter d'autres projets au périmètre de service

Pour ajouter des projets Knowledge Catalog existants au périmètre, suivez les instructions de la section Mettre à jour un périmètre de service.

Ajouter l'API Dataplex au périmètre de service

Pour limiter le risque d'exfiltration de données à partir de Knowledge Catalog, par exemple, à l'aide des méthodes de l'API Dataplex, vous devez limiter l'API Dataplex.

Pour ajouter l'API Dataplex en tant que service restreint, procédez comme suit :

Console

Dans la console Google Cloud , accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
Cliquez sur Modifier le périmètre.
Sur la page Modifier le périmètre de service, cliquez sur Ajouter des services.
Ajoutez l'API Dataplex.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud access-context-manager perimeters update :
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
Remplacez les éléments suivants :
- PERIMETER_ID : ID du périmètre ou identifiant complet du périmètre
- POLICY_ID : ID de la règle d'accès.

Facultatif : Créer un niveau d'accès

Pour autoriser l'accès externe aux ressources protégées d'un périmètre, vous pouvez utiliser des niveaux d'accès. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des ressources protégées à accéder à des données et à des services en dehors du périmètre.

Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Étapes suivantes

Apprenez-en plus sur VPC Service Controls.
En savoir plus sur le contrôle des accès à Knowledge Catalog avec IAM
En savoir plus sur la sécurité de Knowledge Catalog

VPC Service Controls avec Knowledge Catalog Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.