VPC Service Controls com o metastore do Dataproc

Para proteger ainda mais os serviços do metastore do Dataproc, você pode protegê-los usando VPC Service Controls (VPC-SC).

O VPC Service Controls fornece mais segurança para seus serviços do metastore do Dataproc para ajudar a reduzir o risco de exportação de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros.

Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.

Os recursos do metastore do Dataproc são expostos na API metastore.googleapis.com, que permite executar operações de nível de serviço, como a criação e a exclusão de serviços.

Você configura o VPC Service Controls com o metastore do Dataproc restringindo a conectividade a essa superfície de API.

Como configurar a rede de nuvem privada virtual (VPC)

Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts em sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associada.

Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.

Como criar um perímetro de serviço

Durante esse procedimento, você seleciona os projetos do metastore do Dataproc que quer que o perímetro de serviço da VPC proteja.

Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.

Como adicionar mais projetos ao perímetro de serviço

Para adicionar projetos do metastore do Dataproc ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.

Como adicionar o metastore do Dataproc e as APIs do Cloud Storage ao perímetro de serviço

Para reduzir o risco de seus dados serem separados do metastore do Dataproc, por exemplo, usando as APIs de importação ou exportação do metastore do Dataproc, é necessário restringir a API do metastore do Dataproc e o API Cloud Storage.

Para adicionar as APIs Metastore do Dataproc e do Cloud Storage como serviços restritos:

Console

  1. No Console do Cloud, abra a página VPC Service Controls:

    Acesse a página VPC Service Controls no Console do Cloud

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.

  3. Clique em Editar perímetro.

  4. Na página Editar perímetro de serviço da VPC, clique em ADICIONAR SERVIÇOS.

  5. Adicione a API Dataproc metastore e a API do Cloud Storage.

  6. Clique em Save.

gcloud

  1. Use o comando gcloud access-context-manager perimeters update a seguir:

    gcloud access-context-manager perimeters update PERIMETER_ID \
        --policy=POLICY_ID \
        --add-restricted-services=metastore.googleapis.com,storage.googleapis.com
    

    Substitua:

    • PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
    • POLICY_ID: o ID da política de acesso.

Como criar um nível de acesso

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.

Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.

A seguir