VPC Service Controls mit Dataproc Metastore

Mit VPC Service Controls (VPC-SC) können Sie Ihre Dataproc Metastore-Dienste zusätzlich schützen.

VPC Service Controls mindert das Risiko der Daten-Exfiltration. Mit VPC Service Controls können Sie Projekte zu Dienstperimetern hinzufügen, die Ressourcen und Dienste vor Anfragen innerhalb des Perimeters schützen.

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Dataproc Metastore-Ressourcen werden über die metastore.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Zum Einrichten von VPC Service Controls mit Dataproc Metastore schränken Sie die Verbindung zu dieser API-Oberfläche ein.

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. Dadurch können Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und Google-Diensten, die von VPC Service Controls unterstützt werden, so kommunizieren, dass sie der Richtlinie des zugehörigen Perimeters entsprechen.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Bei diesem Verfahren wählen Sie die Dataproc Metastore-Projekte aus, die der VPC-Dienstperimeter schützen soll.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Folgen Sie der Anleitung unter Dienstperimeter aktualisieren, um dem Perimeter vorhandene Dataproc Metastore-Projekte hinzuzufügen.

Dataproc Metastore und Cloud Storage APIs zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataproc Metastore exfiltriert werden, z. B. mithilfe von Dataproc Metastore-Import- oder -Export-APIs, müssen Sie sowohl die Dataproc Metastore API als auch die Cloud Storage API einschränken.

So fügen Sie Dataproc Metastore und Cloud Storage APIs als eingeschränkte Dienste hinzu:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:

    Zur Seite „VPC Service Controls“ in der Google Cloud Console

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet. Klicken Sie auf Dienste hinzufügen.

  5. Fügen Sie die Dataproc Metastore API und die Cloud Storage API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl gcloud access-context-manager perimeters update aus:

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com

Ersetzen Sie Folgendes:

  • PERIMETER_ID: Die ID des Perimeters oder die vollständig qualifizierte Kennung für den Perimeter.
  • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebene erstellen

Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung für den Zugriff auf Daten und Dienste außerhalb des Perimeters zu gewähren.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte