VPC Service Controls mit Dataproc Metastore

Sie können Ihre Dataproc Metastore-Dienste mit VPC Service Controls (VPC-SC) zusätzlich schützen.

Mit VPC Service Controls lässt sich das Risiko einer Daten-Exfiltration verringern. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen, die Ressourcen und Dienste vor Anfragen schützen, die den Perimeter überschreiten.

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Dataproc Metastore-Ressourcen werden über die metastore.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten.

Sie richten VPC Service Controls mit Dataproc Metastore ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff auf einen Dienstperimeter beschränkt wird. So können Hosts in Ihrem VPC oder lokalen Netzwerk nur mit Google APIs und Diensten kommunizieren, die von VPC Service Controls unterstützt werden, und zwar nur in Übereinstimmung mit der Richtlinie des zugehörigen Perimeter.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Dabei wählen Sie die Dataproc Metastore-Projekte aus, die durch den VPC-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Dem Dienstperimeter weitere Projekte hinzufügen

Wenn Sie dem Perimeter vorhandene Dataproc Metastore-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataproc Metastore und Cloud Storage APIs zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataproc Metastore exfiltriert werden, z. B. mithilfe von Dataproc Metastore-Import- oder -Export-APIs, müssen Sie sowohl die Dataproc Metastore API als auch die Cloud Storage API einschränken.

So fügen Sie Dataproc Metastore- und Cloud Storage APIs als eingeschränkte Dienste hinzu:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „VPC Service Controls“:

    Rufen Sie in der Google Cloud Console die Seite „VPC Service Controls“ auf.

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet. Klicken Sie auf Dienste hinzufügen.

  5. Fügen Sie die Dataproc Metastore API und die Cloud Storage API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl gcloud access-context-manager perimeters update aus:

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com

Dabei gilt:

  • PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
  • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebene erstellen

Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können mithilfe von Zugriffsebenen nicht geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte