Dataproc Metastore サービスのセキュリティをさらに強化するには、VPC Service Controls(VPC-SC)を使用してサービスを保護します。
VPC Service Controls を使用すると、データの引き出しのリスクが軽減できます。VPC Service Controls の活用により、境界をまたぐリクエストからリソースとサービスを保護するサービス境界にプロジェクトを追加できます。
VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
Dataproc Metastore リソースは metastore.googleapis.com API で公開されており、サービスの作成や削除など、サービスレベルのオペレーションを実行できます。
この API サーフェスへの接続を制限することによって、Dataproc Metastore で VPC Service Controls を設定します。
Virtual Private Cloud(VPC)ネットワークを構成する
サービス境界に対する限定公開の Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミス ネットワーク上のホストは、関連する境界のポリシーに準拠した方法で VPC Service Controls によりサポートされている Google API およびサービスに限り通信できます。
詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。
サービス境界を作成する
この手順では、VPC サービス境界で保護する Dataproc Metastore プロジェクトを選択します。
サービス境界を作成するには、サービス境界の作成手順に従ってください。
サービス境界にプロジェクトを追加する
既存の Dataproc Metastore プロジェクトを境界に追加するには、サービス境界の更新の手順に従ってください。
Dataproc Metastore API と Cloud Storage API をサービス境界に追加する
Dataproc Metastore のインポートやエクスポート API などを使用して Dataproc Metastore からデータが引き出されるリスクを軽減するには、Dataproc Metastore API とCloud Storage API の両方を制限する必要があります。
Dataproc Metastore と Cloud Storage API を制限付きサービスとして追加するには、次のようにします。
Console
Google Cloud コンソールで [VPC Service Controls] ページを開きます。
[VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
[境界を編集] をクリックします。
[VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
Dataproc Metastore API と Cloud Storage API を追加します。
[保存] をクリックします。
gcloud
次のgcloud access-context-manager perimeters updateコマンドを実行します。
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
次のように置き換えます。
PERIMETER_ID: 境界の ID または境界の完全修飾 ID。POLICY_ID: アクセス ポリシーの ID。
アクセスレベルを作成する
境界内の保護されたリソースへの外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、境界外のデータおよびサービスにアクセスするための権限を、保護されたリソースに与えることはできません。
境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。