セキュリティ

セキュリティに関する推奨事項

強固なセキュリティ境界や分離を必要とするワークロードの場合は、次の点を考慮してください。

  • 厳密な分離を行うには、セキュリティ重視のワークロードを別の Google Cloud プロジェクトに配置します。

  • 特定のリソースへのアクセスを制御するには、Cloud Data Fusion インスタンスでロールベースのアクセス制御を有効にします。

  • インスタンスを一般公開せず、機密データの流出のリスクを軽減するには、インスタンスで内部 IP アドレスVPC Service Controls(VPC-SC)を有効にします。

Authentication

Cloud Data Fusion ウェブ UI は、Google Cloud Console でサポートされる認証メカニズムを備えており、Identity and Access Management を介してアクセス権が制御されます。

ネットワーク制御

プライベート Cloud Data Fusion インスタンスを作成できます。このインスタンスは VPC ネットワークとピアリングできます。プライベート Cloud Data Fusion インスタンスはプライベート IP アドレスを 1 つ持ち、公共のインターネットには公開されません。VPC Service Controls を使用して、Cloud Data Fusion プライベート インスタンスの周囲にセキュリティ境界を確立する、追加的なセキュリティ対策も利用できます。

詳細については、Cloud Data Fusion ネットワーキングの概要をご覧ください。

事前作成されたプライベート IP Dataproc クラスタでのパイプライン実行

プライベート Cloud Data Fusion インスタンスは、リモート Hadoop プロビジョナーで使用できます。 Dataproc クラスタは、Cloud Data Fusion とピアリングされている VPC ネットワーク上に存在する必要があります。リモート Hadoop プロビジョナーは、Dataproc クラスタのマスターノードのプライベート IP アドレスで構成されます。

アクセス制御

  • Cloud Data Fusion インスタンスへのアクセスの管理: RBAC 対応インスタンスでは、Identity and Access Management を使用して名前空間レベルでアクセスを管理できます。RBAC が無効になっているインスタンスは、インスタンス レベルでのアクセスの管理のみをサポートします。インスタンスにアクセスできれば、そのインスタンス内のすべてのパイプラインとメタデータにアクセスできます。

  • データへのパイプライン アクセス: データへのパイプライン アクセスは、サービス アカウントへのアクセス権を付与することによって実現できます。ユーザーはカスタムのサービス アカウントをこのアカウントとして指定できます。

ファイアウォール ルール

パイプラインの実行については、パイプラインが実行されるお客様の VPC に適切なファイアウォール ルールを設定することで、上り(内向き)と下り(外向き)を制御します。

詳細については、ファイアウォール ルールをご覧ください。

キーの保管

パスワード、鍵などのデータは Cloud Data Fusion に安全に保存され、Cloud Key Management Service に保存されている鍵を使用して暗号化されます。Cloud Data Fusion は、実行時に Cloud Key Management Service を呼び出して、保存されているシークレットを復号するために使用する鍵を取得します。

Encryption

データはデフォルトで、保存時には Google が管理する暗号鍵を使用して暗号化され、転送時には TLS v1.2 を使用して暗号化されます。Dataproc クラスタ メタデータと Cloud Storage、BigQuery、Pub/Sub データソース、シンクなど、Cloud Data Fusion パイプラインによって書き込まれるデータを制御するには、顧客管理の暗号鍵(CMEK)を使用します。

サービス アカウント

Cloud Data Fusion パイプラインはお客様のプロジェクトの Dataproc クラスタで実行されますが、お客様指定の(カスタム)サービス アカウントを使用して実行されるよう構成できます。カスタム サービス アカウントには、サービス アカウント ユーザーのロールを付与する必要があります。

プロジェクト

Cloud Data Fusion サービスは、ユーザーがアクセスできない Google 管理のテナント プロジェクトで作成されます。Cloud Data Fusion パイプラインは、顧客プロジェクト内の Dataproc クラスタで実行されます。お客様はクラスタの存続期間中にアクセスできます。

パイプラインをデプロイします。

監査ログ

Cloud Data Fusion 監査ログは Logging から利用できます。

プラグインとアーティファクト

信頼できないプラグインやアーティファクトをインストールすると、セキュリティ リスクが生じる可能性があるため、オペレーターや管理者は注意が必要です。

Workforce Identity 連携

Workforce Identity 連携ユーザーは、インスタンスの作成、削除、アップグレード、一覧表示など、Cloud Data Fusion でのオペレーションを実行できます。制限事項の詳細については、Workforce Identity 連携: サポート対象のプロダクトと制限事項をご覧ください。