Dataproc でビジネス クリティカルなワークロードを実行するには、複数の当事者がそれぞれの責任を果たす必要があります。すべてが網羅されたリストではありませんが、このページでは Google とお客様の責任について列挙します。
Dataproc: Google の責任
ハードウェア、ファームウェア、カーネル、OS、ストレージ、ネットワークなど、基盤となるインフラストラクチャを保護する。以下に例を示します。
- デフォルトで保存データの暗号化する
- 追加の顧客管理のディスク暗号化を提供する
- 転送中のデータを暗号化する
- カスタム設計のハードウェアを使用する
- プライベート ネットワーク ケーブルを設置する
- データセンターを物理的アクセスから保護する
- ブートローダーとカーネルを Shielded ノードを使用した変更から保護する
- VPC Service Controls によるネットワーク保護を提供する
- 安全なソフトウェア開発手法に従う
Dataproc イメージのセキュリティ パッチをリリースする。以下に例を示します。
- Dataproc イメージに含まれる基本オペレーティング システム(Ubuntu、Debian、Rocky Linux)のパッチ
- Dataproc イメージに含まれるオープンソース コンポーネントで利用可能なパッチと修正
Connect、Identity and Access Management、Cloud Audit Logs、Cloud Key Management Service、Security Command Center などと Google Cloud の統合を提供する。
Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性とアクセス承認を使用してログに記録する。
Dataproc を構成するためのベスト プラクティスと、Dataproc イメージに含まれるオープンソース コンポーネントを推奨する
Dataproc: お客様の責任
アプリケーション コード、カスタム イメージ、データ、IAM ポリシー、実行中のクラスタなどのワークロードをメンテナンスする
最新のサブマイナー イメージ バージョンを活用して最新の Dataproc イメージでクラスタとワークロードを実行し、迅速にカスタム イメージを更新して、可能な限り最新のマイナー イメージ バージョンに移行する。
トラブルシューティング目的で Google から環境の詳細を求められた場合に提供する。
Dataproc やその他の Google Cloud サービスの構成と、Dataproc イメージに含まれるオープンソース コンポーネントの構成に関するベスト プラクティスに従う。