Sicherheit

Authentifizierung

Die Web-UI von Cloud Data Fusion unterstützt die von der Google Cloud Console unterstützten Authentifizierungsmechanismen, wobei der Zugriff über Identity and Access Management gesteuert wird.

Netzwerksteuerungen

Sie können eine private Cloud Data Fusion-Instanz erstellen, die mit ihrem VPC-Netzwerk verbunden werden kann. Private Cloud Data Fusion-Instanzen haben eine private IP-Adresse und sind nicht über das öffentliche Internet zugänglich. Zusätzliche Sicherheit ist mit VPC Service Controls verfügbar, um einen Sicherheitsbereich um eine private Cloud Data Fusion-Instanz einzurichten.

Weitere Informationen finden Sie in der Cloud Data Fusion-Netzwerkübersicht.

Pipelineausführung für vorab erstellte private IP-Dataproc-Cluster

Sie können eine private Cloud Data Fusion-Instanz mit dem Remote-Hadoop-Bereitsteller verwenden. Der Dataproc-Cluster muss sich im VPC-Netzwerk befinden, das mit Cloud Data Fusion durch Peering verbunden ist. Der Remote-Hadoop-Bereitsteller wird mit der privaten IP-Adresse des Masterknotens des Dataproc-Clusters konfiguriert.

Zugriffssteuerung

  • Zugriff auf die Cloud Data Fusion-Instanz verwalten: Cloud Data Fusion unterstützt nur die Verwaltung des Zugriffs auf Instanzebene. Wenn Sie Zugriff auf eine Instanz haben, können Sie auf alle Pipelines und Metadaten in dieser Instanz zugreifen.

  • Pipeline-Zugriff auf Ihre Daten: Der Pipeline-Zugriff auf Daten wird durch Zugriff auf das Dienstkonto bereitgestellt. Dies kann ein benutzerdefiniertes Dienstkonto sein, das Sie angeben.

Endnutzerzugriff auf Cloud Data Fusion-Ressourcen

Cloud Data Fusion-Ressourcen werden in Mandantenprojekten von Google erstellt. Cloud Data Fusion bietet keinen Zugriff auf zugrunde liegende Cloud Data Fusion-VM-Instanzen und -Ressourcen in Mandantenprojekten.

Firewallregeln

Für die Ausführung einer Pipeline steuern Sie eingehenden und ausgehenden Traffic. Dazu legen Sie die entsprechenden Firewallregeln in der Kunden-VPC fest, auf der die Pipeline ausgeführt wird.

Weitere Informationen finden Sie unter Firewallregeln.

Schlüsselspeicherung

Sie können Passwörter, Schlüssel und andere Daten sicher im Cloud Key Management Service speichern. Zur Laufzeit ruft Cloud Data Fusion den Cloud Key Management Service auf, um die Schlüssel abzurufen.

Verschlüsselung

Standardmäßig werden Daten mit dem von Google verwalteten Verschlüsselungsschlüssel und während der Übertragung mit TLS v1.2 verschlüsselt. Sie verwenden vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), um die von Cloud Data Fusion-Pipelines geschriebenen Daten zu steuern, einschließlich Dataproc-Clustermetadaten und Cloud Storage, BigQuery sowie Pub/Sub-Datenquellen und -Senken.

Dienstkonten

Cloud Data Fusion-Pipelines werden in Dataproc-Clustern im Kundenprojekt ausgeführt und können so konfiguriert werden, dass sie unter Verwendung eines vom Kunden angegebenen (benutzerdefinierten) Dienstkontos ausgeführt werden. Ein benutzerdefiniertes Dienstkonto muss die Rolle Dienstkontonutzer haben.

Projekte

Cloud Data Fusion-Dienste werden in von Google verwalteten Mandantenprojekten erstellt, auf die Nutzer nicht zugreifen können. Cloud Data Fusion-Pipelines werden auf Dataproc-Clustern in Kundenprojekten ausgeführt. Kunden können während ihrer gesamten Lebensdauer auf diese Cluster zugreifen.

Stellen Sie die Pipeline bereit.

Audit-Logs

Audit-Logs zu Cloud Data Fusion sind in Logging verfügbar.

Plug-ins und Artefakte

Operatoren und Administratoren sollten beim Installieren von nicht vertrauenswürdigen Plug-ins oder Artefakten vorsichtig sein, da sie ein Sicherheitsrisiko darstellen können.