Dataproc Metastore 서비스를 추가로 보호하기 위해서는 VPC 서비스 제어(VPC-SC)를 사용하여 보호할 수 있습니다.
VPC 서비스 제어를 사용하면 데이터 무단 반출 위험을 줄일 수 있습니다. VPC 서비스 제어를 사용하면 서비스 경계에 프로젝트를 추가하여 경계를 넘는 요청으로부터 리소스와 서비스를 보호할 수 있습니다.
VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.
Dataproc Metastore 리소스는 서비스 만들기 및 삭제와 같은 서비스 수준 작업을 수행할 수 있도록 metastore.googleapis.com API에 노출됩니다.
이 API 표면에 대한 연결을 제한하여 Dataproc Metastore에 VPC 서비스 제어를 설정합니다.
Virtual Private Cloud(VPC) 네트워크 구성
서비스 경계에 따라 비공개 Google 액세스를 제한하도록 VPC 네트워크를 구성할 수 있습니다. 이렇게 하면 VPC 또는 온프레미스 네트워크의 호스트가 연관된 경계 정책을 준수하는 방식으로 VPC 서비스 제어에서 지원되는 Google API 및 서비스와만 통신할 수 있습니다.
자세한 내용은 Google API 및 서비스 비공개 연결 설정을 참조하세요.
서비스 경계 만들기
이 절차 중에는 VPC 서비스 경계가 보호할 Dataproc Metastore 프로젝트를 선택합니다.
서비스 경계를 만들려면 서비스 경계 만들기 안내를 따르세요.
서비스 경계에 프로젝트 추가
기존 Dataproc Metastore 프로젝트를 경계에 추가하려면 서비스 경계 업데이트의 안내를 따르세요.
서비스 경계에 Dataproc Metastore 및 Cloud Storage API 추가
Dataproc Metastore에서 데이터가 무단 반출될 위험을 완화하기 위해 Dataproc Metastore 가져오기 또는 내보내기 API를 사용할 때는 Dataproc Metastore API 및 Cloud Storage API를 모두 제한해야 합니다.
Dataproc Metastore 및 Cloud Storage API를 제한된 서비스로 추가하려면 다음 안내를 따르세요.
콘솔
Google Cloud 콘솔에서 VPC 서비스 제어 페이지를 엽니다.
VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.
경계 수정을 클릭합니다.
VPC 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.
Dataproc Metastore API 및 Cloud Storage API를 추가합니다.
저장을 클릭합니다.
gcloud
다음 gcloud access-context-manager perimeters update 명령어를 실행합니다.
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
다음을 바꿉니다.
PERIMETER_ID: 경계의 ID 또는 경계의 정규화된 식별자입니다.POLICY_ID: 액세스 정책의 ID입니다.
액세스 수준 만들기
원하는 경우 경계 내의 보호된 리소스에 대한 외부 액세스를 허용하려면 액세스 수준을 사용할 수 있습니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준을 사용해서는 경계 외부의 데이터 및 서비스에 액세스하기 위한 보호되는 리소스 권한을 부여할 수 없습니다.
서비스 경계 외부에서 보호된 리소스에 액세스 허용을 참조하세요.