Dataproc でビジネス クリティカルなワークロードを実行するには、複数の当事者がそれぞれの責任を果たす必要があります。次のリストがすべてではありませんが、このページでは Google とお客様の責任を列挙します。
Dataproc: Google の責任
ハードウェア、ファームウェア、カーネル、OS、ストレージ、ネットワークなど、基盤となるインフラストラクチャを保護する。以下に例を示します。
- デフォルトで保存データの暗号化する
- 追加の顧客管理ディスク暗号化を提供する
- 転送中のデータを暗号化する
- カスタム設計されたハードウェアを使用している
- プライベート ネットワーク ケーブルを設置する
- データセンターへの物理的なアクセスから保護する
- シールドされたノードを使用して、ブートローダーとカーネルを改ざんから保護する
- VPC Service Controls によるネットワーク保護を提供する
- 安全なソフトウェア開発手法に従う
Dataproc イメージのセキュリティ パッチをリリースする。以下に例を示します。
- Dataproc イメージに含まれる基本オペレーティング システム(Ubuntu、Debian、Rocky Linux)のパッチ
- Dataproc イメージに含まれるオープンソース コンポーネントで利用可能なパッチと修正
Connect、Identity and Access Management、Cloud Audit Logs、Cloud Key Management Service、Security Command Center などと Google Cloud を統合します。
Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性とアクセス承認を使用してログに記録する。
Dataproc を構成するためのベスト プラクティスと、Dataproc イメージに含まれるオープンソース コンポーネントを推奨する
Dataproc: お客様の責任
アプリケーション コード、カスタム イメージ、データ、IAM ポリシー、実行中のクラスタなどのワークロードをメンテナンスする
最新のサブマイナー イメージ バージョンを活用して最新の Dataproc イメージでクラスタを実行し、カスタム イメージを迅速に更新して、可能な限り早く最新のマイナー イメージ バージョンに移行できます。イメージ メタデータには
previous-subminor
ラベルが含まれます。クラスタが最新のサブマイナー イメージ バージョンを使用していない場合、このラベルはtrue
に設定されます。イメージ メタデータを表示する方法については、バージョニングに関する重要な注意事項をご覧ください。トラブルシューティング目的で Google から環境の詳細を求められた場合に提供する。
Dataproc やその他の Google Cloud サービスの構成と、Dataproc イメージに含まれるオープンソース コンポーネントの構成に関するベスト プラクティスに従う。