Para proteger ainda mais os seus serviços do Dataproc Metastore, pode protegê-los através dos VPC Service Controls (VPC-SC).
Os VPC Service Controls ajudam a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que protegem recursos e serviços de pedidos que atravessam o perímetro.
Para saber mais acerca do VPC Service Controls, consulte o artigo Vista geral do VPC Service Controls.
Os recursos do Dataproc Metastore são expostos na API
metastore.googleapis.com, que lhe permite realizar operações ao nível do serviço, como a criação e a eliminação de serviços.
Configura os VPC Service Controls com o Dataproc Metastore restringindo a conetividade a esta superfície da API.
Configure a rede da nuvem virtual privada (VPC)
Pode configurar a rede VPC para restringir o acesso privado à Google relativamente a um perímetro de serviço. Isto garante que os anfitriões na sua VPC ou rede no local só podem comunicar com as APIs e os serviços Google suportados pelos VPC Service Controls de formas que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte o artigo Configurar a conetividade privada às APIs e aos serviços Google.
Crie um perímetro de serviço
Durante este procedimento, seleciona os projetos do Dataproc Metastore que quer que o perímetro de serviço da VPC proteja.
Para criar um perímetro de serviço, siga as instruções no artigo Criar um perímetro de serviço.
Adicione mais projetos ao perímetro de serviço
Para adicionar projetos do Dataproc Metastore existentes ao perímetro, siga as instruções em Atualizar um perímetro de serviço.
Adicione as APIs Dataproc Metastore e Cloud Storage ao perímetro de serviço
Para mitigar o risco de exfiltração dos seus dados do Dataproc Metastore, por exemplo, quando usar as APIs de importação ou exportação do Dataproc Metastore, tem de restringir a API Dataproc Metastore e a API Cloud Storage.
Para adicionar as APIs Dataproc Metastore e Cloud Storage como serviços restritos:
Consola
Na Google Cloud consola, abra a página VPC Service Controls:
Na página Controlos de serviço da VPC, na tabela, clique no nome do perímetro de serviço que quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
Adicione a API Dataproc Metastore e a API Cloud Storage.
Clique em Guardar.
gcloud
Execute o seguinte comando:gcloud access-context-manager perimeters update
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Substitua o seguinte:
PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.POLICY_ID: o ID da política de acesso.
Crie um nível de acesso
Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, pode usar níveis de acesso. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos provenientes de fora do perímetro de serviço. Não pode usar níveis de acesso para conceder aos recursos protegidos autorização para aceder a dados e serviços fora do perímetro.
Consulte o artigo Permitir o acesso a recursos protegidos a partir do exterior de um perímetro.