Zur weiteren Absicherung Ihrer Dataproc Metastore-Dienste können Sie VPC Service Controls (VPC-SC) verwenden.
Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration verringern. Mit VPC Service Controls können Sie Projekte zu Dienstperimetern hinzufügen, Schützen Sie Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten.
Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
Dataproc Metastore-Ressourcen werden über die metastore.googleapis.com
API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.
Sie richten VPC Service Controls mit Dataproc Metastore ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.
VPC-Netzwerk (Virtual Private Cloud) konfigurieren
Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff eingeschränkt wird in Bezug auf einen Dienstperimeter. So können Hosts in Ihrem VPC oder lokalen Netzwerk nur mit Google APIs und Diensten kommunizieren, die von VPC Service Controls unterstützt werden, und zwar nur in Übereinstimmung mit der Richtlinie des zugehörigen Perimeter.
Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.
Dienstperimeter erstellen
Dabei wählen Sie die Dataproc Metastore-Projekte aus, die durch den VPC-Dienstperimeter geschützt werden sollen.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Dem Dienstperimeter weitere Projekte hinzufügen
So fügen Sie dem Perimeter vorhandene Dataproc Metastore-Projekte hinzu: Folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Dataproc Metastore und Cloud Storage APIs zum Dienstperimeter hinzufügen
Um das Risiko zu minimieren, dass Ihre Daten aus Dataproc Metastore exfiltriert werden, z. B. mithilfe von Dataproc Metastore-Import- oder -Export-APIs, müssen Sie sowohl die Dataproc Metastore API als auch die Cloud Storage API einschränken.
So fügen Sie Dataproc Metastore- und Cloud Storage APIs als eingeschränkte Dienste hinzu:
Console
Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet. Klicken Sie auf Dienste hinzufügen.
Fügen Sie die Dataproc Metastore API und die Cloud Storage API hinzu.
Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl gcloud access-context-manager perimeters update
aus:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Dabei gilt:
PERIMETER_ID
: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.POLICY_ID
: Die ID der Zugriffsrichtlinie.
Zugriffsebene erstellen
Optional können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters gewähren: können Sie Zugriffsebenen verwenden. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden um geschützten Ressourcen den Zugriff auf Daten und Dienste außerhalb des des Perimeters.
Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.