Sicherheit

Authentifizierung

Die Cloud Data Fusion-Web-UI unterstützt Authentifizierungsmechanismen, die von der Google Cloud Console unterstützt werden und für die der Zugriff über Identity and Access Management gesteuert wird.

Netzwerksteuerungen

Sie können eine private Cloud Data Fusion-Instanz erstellen, die mit ihrem VPC-Netzwerk verbunden werden kann. Private Cloud Data Fusion-Instanzen haben eine private IP-Adresse und sind nicht über das öffentliche Internet zugänglich. Mit VPC Service Controls können Sie die Sicherheit zusätzlich zu einer privaten Cloud Data Fusion-Instanz festlegen.

Weitere Informationen finden Sie in der Übersicht über Cloud Data Fusion-Netzwerke.

Pipelineausführung für vorab erstellte private IP-Dataproc-Cluster

Sie können eine private Cloud Data Fusion-Instanz mit dem Remote Hadoop-Bereitsteller verwenden. Der Dataproc-Cluster muss sich im VPC-Netzwerk Peering mit Cloud Data Fusion befinden. Die Remote-Hadoop-Bereitstellung wird mit der privaten IP-Adresse des Masterknotens des Dataproc-Clusters konfiguriert.

Zugriffssteuerung

  • Zugriff auf die Cloud Data Fusion-Instanz verwalten: Cloud Data Fusion unterstützt nur die Zugriffsverwaltung auf Instanzebene. Wenn Sie Zugriff auf eine Instanz haben, können Sie auf alle Pipelines und Metadaten in dieser Instanz zugreifen.

  • Pipelinezugriff auf Ihre Daten: Zugriff auf die Pipeline wird durch Zugriff auf das Dienstkonto gewährt. Dabei kann es sich um ein von Ihnen angegebenes benutzerdefiniertes Dienstkonto handeln.

Endnutzerzugriff auf Cloud Data Fusion-Ressourcen

Cloud Data Fusion-Ressourcen werden in Mandantenprojekten von Google erstellt. Cloud Data Fusion bietet keinen Zugriff auf die zugrunde liegenden Cloud Data Fusion-VM-Instanzen und -Ressourcen in Mandantenprojekten.

Firewallregeln

Bei einer Pipelineausführung steuern Sie den ein- und ausgehenden Traffic, indem Sie die entsprechenden Firewallregeln für die Kunden-VPC festlegen, auf der die Pipeline ausgeführt wird.

Weitere Informationen finden Sie unter Firewallregeln.

Schlüsselspeicherung

Sie können Passwörter, Schlüssel und andere Daten sicher im Cloud Key Management Service speichern. Zur Laufzeit ruft Cloud Data Fusion den Cloud Key Management Service auf, um die Schlüssel abzurufen.

Verschlüsselung

Standardmäßig werden inaktive Daten mit von Google verwalteten Verschlüsselungsschlüsseln und bei der Übertragung über TLS v1.2 verschlüsselt. Sie verwenden vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), um die Daten zu steuern, die von Cloud Data Fusion-Pipelines geschrieben werden, einschließlich Dataproc-Clustermetadaten und Cloud Storage-, BigQuery- und Pub/Sub-Datenquellen und -Senken.

Dienstkonten

Cloud Data Fusion-Pipelines werden in Dataproc-Clustern im Kundenprojekt ausgeführt und können zur Ausführung mit einem vom Kunden angegebenen (benutzerdefinierten) Dienstkonto konfiguriert werden. Einem benutzerdefinierten Dienstkonto muss die Rolle Dienstkontonutzer zugewiesen sein.

Projekte

Cloud Data Fusion-Dienste werden in von Google verwalteten Mandantenprojekten erstellt, auf die Nutzer nicht zugreifen können. Cloud Data Fusion-Pipelines werden auf Dataproc-Clustern innerhalb von Kundenprojekten ausgeführt. Kunden können während ihres Lebenszyklus auf diese Cluster zugreifen.

Stellen Sie die Pipeline bereit.

Audit-Logs

Cloud Data Fusion-Audit-Logs sind über Logging verfügbar.

Plug-ins und Artefakte

Operatoren und Administratoren sollten bei der Installation nicht vertrauenswürdiger Plug-ins oder Artefakte vorsichtig sein, da sie ein Sicherheitsrisiko darstellen können.