Sicurezza

Autenticazione

La UI web di Cloud Data Fusion supporta meccanismi di autenticazione supportati da Google Cloud Console, con accesso controllato tramite Identity and Access Management.

Controlli di networking

Puoi creare un'istanza privata di Cloud Data Fusion, che può essere collegata in peering con la loro rete VPC. Le istanze Private Cloud Data Fusion hanno un indirizzo IP privato e non sono esposte alla rete Internet pubblica. Sono disponibili ulteriori misure di sicurezza utilizzando i controlli di servizio VPC per stabilire un perimetro di sicurezza attorno a un'istanza privata di Cloud Data Fusion.

Per ulteriori informazioni, consulta la panoramica del networking di Cloud Data Fusion.

Esecuzione di pipeline su cluster Dataproc IP privati creati in precedenza

Puoi utilizzare un'istanza Cloud Data Fusion privata con il Provisioner Hadoop remoto. Il cluster Dataproc deve essere sulla rete VPC in peering con Cloud Data Fusion. Il provisioner remoto di Hadoop è configurato con l'indirizzo IP privato del nodo master del cluster Dataproc.

Controllo dell'accesso

  • Gestione dell'accesso all'istanza Cloud Data Fusion: Cloud Data Fusion supporta solo la gestione degli accessi a livello di istanza. Se hai accesso a un'istanza, hai accesso a tutte le pipeline e ai metadati in quell'istanza.

  • Accesso della pipeline ai tuoi dati: l'accesso alla pipeline ai dati viene fornito concedendo l'accesso all'account di servizio, che può essere un account di servizio personalizzato da te specificato.

Accesso utente finale alle risorse Cloud Data Fusion

Le risorse Cloud Data Fusion vengono create nei progetti tenant di proprietà di Google. Cloud Data Fusion non fornisce accesso alle istanze e alle risorse VM di Cloud Data Fusion sottostanti nei progetti tenant.

Regole firewall

Per l'esecuzione di una pipeline, puoi controllare il traffico in entrata e in uscita impostando le regole firewall appropriate sul VPC del cliente su cui viene eseguita la pipeline.

Per ulteriori informazioni, consulta le regole del firewall.

Archivio chiavi

Puoi archiviare password, chiavi e altri dati in modo sicuro in Cloud Key Management Service. In fase di esecuzione, Cloud Data Fusion chiama Cloud Key Management Service per recuperare le chiavi.

Crittografia

Per impostazione predefinita, i dati inattivi vengono criptati quando si utilizzano le chiavi di crittografia gestite da Google e sono in transito tramite TLS v1.2. Puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per controllare i dati scritti dalle pipeline di Cloud Data Fusion, inclusi i metadati del cluster Dataproc e i sink e le origini dati Cloud Storage, BigQuery e Pub/Sub.

Account di servizio

Le pipeline di Cloud Data Fusion vengono eseguite nei cluster Dataproc nel progetto del cliente e possono essere configurate per l'esecuzione utilizzando un account di servizio (specificato) specificato dal cliente. È necessario concedere a un account di servizio personalizzato il ruolo Utente account di servizio.

Progetti

I servizi Cloud Data Fusion vengono creati in progetti tenant gestiti da Google a cui gli utenti non possono accedere. Le pipeline di Cloud Data Fusion vengono eseguite su cluster Dataproc all'interno dei progetti dei clienti. I clienti possono accedere a questi cluster nel corso della loro durata.

Eseguire il deployment della pipeline.

Audit log

Gli audit log di Cloud Data Fusion sono disponibili in Logging.

Plug-in e artefatti

Operatori e amministratori devono stare attenti a installare plug-in o elementi non attendibili, poiché potrebbero rappresentare un rischio per la sicurezza.