Controles del servicio de VPC con Dataproc Metastore

Para proteger aún más tus servicios de Dataproc Metastore, puedes usar los Controles del servicio de VPC (VPC-SC).

Los Controles del servicio de VPC brindan seguridad adicional para tus servicios de Dataproc Metastore a fin de mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que protejan los recursos y servicios de las solicitudes que cruzan el perímetro.

Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.

Los recursos de Dataproc Metastore se exponen en la API de metastore.googleapis.com, que te permite realizar operaciones en el nivel del servicio, como la creación y la eliminación de servicios.

Para configurar los Controles del servicio de VPC con Dataproc Metastore, restringe la conectividad a esta superficie de la API.

Configura la red de nube privada virtual (VPC)

Puedes configurar la red de VPC para restringir el Acceso privado a Google con respecto a un perímetro de servicio. Esto garantiza que los hosts en tu VPC o en la red local solo puedan comunicarse con las API y los servicios de Google que son compatibles con los Controles del servicio de VPC de manera que se ajusten a la política del perímetro asociado.

Para obtener más información, consulta Cómo configurar una conectividad privada en los servicios y las API de Google.

Crea un perímetro de servicio

Durante este procedimiento, selecciona los proyectos de Dataproc Metastore que deseas que proteja el perímetro de servicio de VPC.

Para crear un perímetro de servicio, sigue las instrucciones en Crea un perímetro de servicio.

Agrega más proyectos al perímetro de servicio

Para agregar proyectos existentes de Dataproc Metastore al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.

Agrega las API de Dataproc Metastore y Cloud Storage al perímetro de servicio

Para mitigar el riesgo de que tus datos sean extraídos de Dataproc Metastore, por ejemplo, si usas las API de importación o exportación de Dataproc Metastore, debes restringir la API de Dataproc Metastore y la API de Cloud Storage

Para agregar las API de Dataproc Metastore y Cloud Storage como servicios restringidos, sigue estos pasos:

Console

  1. En Cloud Console, abre la página Controles del servicio de VPC:

    Ve a la página Controles del servicio de VPC en Cloud Console.

  2. En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.

  3. Haz clic en Editar perímetro.

  4. En la página Editar perímetro de servicio de VPC, haz clic en Agregar servicios.

  5. Agrega la API de Dataproc Metastore y la API de Cloud Storage.

  6. Haz clic en Guardar.

gcloud

  1. Usa el siguiente comando de gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
        --policy=POLICY_ID \
        --add-restricted-services=metastore.googleapis.com,storage.googleapis.com
    

    Reemplaza lo siguiente:

    • PERIMETER_ID: ID del perímetro o el identificador completamente calificado del perímetro.
    • POLICY_ID: ID de la política de acceso.

Crear un nivel de acceso

De forma opcional, para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso a fin de otorgar permisos a los recursos protegidos para acceder a los datos y servicios fuera del perímetro.

Consulta Permite el acceso a recursos protegidos desde fuera del perímetro.

¿Qué sigue?