VPC Service Controls com o metastore do Dataproc

Para proteger ainda mais os serviços do metastore do Dataproc, você pode protegê-los usando VPC Service Controls (VPC-SC).

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados. Com o VPC Service Controls, é possível adicionar projetos a perímetros de serviço que protegem recursos e serviços de solicitações que cruzam o perímetro.

Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Os recursos do metastore do Dataproc são expostos na API metastore.googleapis.com, que permite executar operações de nível de serviço, como a criação e a exclusão de serviços.

Você configura o VPC Service Controls com o metastore do Dataproc restringindo a conectividade a essa superfície de API.

Configurar a rede de nuvem privada virtual (VPC)

É possível configurar a rede VPC para restringir o Acesso privado do Google em relação a um perímetro de serviço. Isso garante que os hosts na VPC ou na rede local só possam se comunicar com as APIs e os serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associado.

Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.

Criar um perímetro de serviço

Durante esse procedimento, você seleciona os projetos do metastore do Dataproc que quer que o perímetro de serviço da VPC proteja.

Para criar um perímetro de serviço, siga as instruções em Como criar um perímetro de serviço.

Adicionar mais projetos ao perímetro de serviço

Para adicionar projetos do metastore do Dataproc ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.

Adicionar as APIs Dataproc e Metastore do Cloud Storage ao perímetro de serviço

Para reduzir o risco de seus dados serem exportados do metastore do Dataproc, por exemplo, ao usar as APIs de importação ou exportação do metastore do Dataproc, é necessário restringir a API metastore do Dataproc e a }API Cloud Storage.

Para adicionar as APIs Metastore do Dataproc e do Cloud Storage como serviços restritos:

Console

  1. No Console do Cloud, abra a página VPC Service Controls:

    Acesse a página VPC Service Controls no Console do Cloud

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.

  3. Clique em Editar perímetro.

  4. Na página Editar perímetro de serviço da VPC, clique em ADICIONAR SERVIÇOS.

  5. Adicione a API Dataproc metastore e a API do Cloud Storage.

  6. Clique em Save.

gcloud

Execute o seguinte comando gcloud access-context-manager perimeters update:

 gcloud access-context-manager perimeters update PERIMETER_ID 
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com

Substitua:

  • PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
  • POLICY_ID: o ID da política de acesso.

Criar um nível de acesso

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.

Consulte Como permitir o acesso a recursos protegidos de fora de um perímetro.

A seguir