VPC Service Controls mit Dataproc Metastore

Mit VPC Service Controls (VPC-SC) können Sie Ihre Dataproc Metastore-Dienste zusätzlich schützen.

VPC Service Controls hilft, das Risiko einer Daten-Exfiltration zu minimieren. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen. Solche Dienstperimeter schützen Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten.

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Dataproc Metastore-Ressourcen werden über die metastore.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Sie richten VPC Service Controls mit Dataproc Metastore ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und Diensten kommunizieren können, die von VPC Service Controls unterstützt werden, und zwar auf eine Weise, die der Richtlinie des zugehörigen Perimeters entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Bei diesem Vorgang wählen Sie die Dataproc Metastore-Projekte aus, die durch den VPC-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Wenn Sie dem Perimeter vorhandene Dataproc Metastore-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataproc Metastore und Cloud Storage APIs zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataproc Metastore exfiltriert werden, z. B. mithilfe von Dataproc Metastore-Import- oder -Export-APIs, müssen Sie sowohl die Dataproc Metastore API als auch die Cloud Storage API einschränken.

So fügen Sie Dataproc Metastore und Cloud Storage APIs als eingeschränkte Dienste hinzu:

Console

  1. Öffnen Sie in der Google Cloud -Console die Seite „VPC Service Controls“:

    Rufen Sie in derGoogle Cloud -Konsole die Seite „VPC Service Controls“ auf

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet. Klicken Sie auf Dienste hinzufügen.

  5. Fügen Sie die Dataproc Metastore API und die Cloud Storage API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl gcloud access-context-manager perimeters update aus:

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com

Dabei gilt:

  • PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
  • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebene erstellen

Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte