Para proteger ainda mais os serviços do metastore do Dataproc, você pode protegê-los usando VPC Service Controls (VPC-SC).
O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que atravessam esses perímetros.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Os recursos do metastore do Dataproc são expostos na API metastore.googleapis.com
, que permite executar operações de nível de serviço, como a criação e a exclusão de serviços.
Você configura o VPC Service Controls com o metastore do Dataproc restringindo a conectividade a essa superfície de API.
Configurar a rede de nuvem privada virtual (VPC)
Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts em sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associada.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Durante esse procedimento, você seleciona os projetos do metastore do Dataproc que quer que o perímetro de serviço da VPC proteja.
Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do metastore do Dataproc ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicionar o metastore do Dataproc e as APIs do Cloud Storage ao perímetro de serviço
Para reduzir o risco de seus dados serem separados do metastore do Dataproc, por exemplo, usando as APIs de importação ou exportação do metastore do Dataproc, é necessário restringir a API do metastore do Dataproc e a API Cloud Storage.
Para adicionar as APIs Metastore do Dataproc e do Cloud Storage como serviços restritos:
Console
No console do Google Cloud, abra a página VPC Service Controls:
Acesse a página VPC Service Controls no console do Google Cloud
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço da VPC, clique em ADICIONAR SERVIÇOS.
Adicione a API Dataproc metastore e a API do Cloud Storage.
Clique em Save.
gcloud
Execute este comando gcloud access-context-manager perimeters update
:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Substitua:
PERIMETER_ID
: o ID do perímetro ou o identificador totalmente qualificado do perímetro.POLICY_ID
: o ID da política de acesso.
Criar um nível de acesso
Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.