Para proteger aún más tus servicios de Dataproc Metastore, puedes usar Controles de Servicio de VPC (VPC-SC).
Controles de Servicio de VPC ayuda a mitigar el riesgo de filtración externa de datos. Con Controles de Servicio de VPC, puedes añadir proyectos a perímetros de servicio que protejan recursos y servicios de solicitudes que crucen el perímetro.
Para obtener más información sobre Controles de Servicio de VPC, consulta la información general sobre Controles de Servicio de VPC.
Los recursos de Dataproc Metastore se exponen en la API metastore.googleapis.com, que te permite realizar operaciones a nivel de servicio, como la creación y eliminación de servicios.
Para configurar Controles de Servicio de VPC con Dataproc Metastore, debes restringir la conectividad a esta superficie de API.
Configurar la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el acceso privado de Google con respecto a un perímetro de servicio. De esta forma, los hosts de tu red VPC o local solo pueden comunicarse con las APIs y los servicios de Google compatibles con Controles de Servicio de VPC de forma que se ajuste a la política del perímetro asociado.
Para obtener más información, consulta Configurar la conectividad privada en servicios y APIs de Google.
Crear un perímetro de servicio
Durante este procedimiento, selecciona los proyectos de Dataproc Metastore que quieres que proteja el perímetro de servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones que se indican en el artículo Crear un perímetro de servicio.
Añadir más proyectos al perímetro de servicio
Para añadir proyectos de Dataproc Metastore a un perímetro, sigue las instrucciones que se indican en Actualizar un perímetro de servicio.
Añadir las APIs Dataproc Metastore y Cloud Storage al perímetro de servicio
Para reducir el riesgo de que se exfiltren tus datos de Dataproc Metastore (por ejemplo, al usar las APIs de importación o exportación de Dataproc Metastore), debes restringir tanto la API Dataproc Metastore como la API Cloud Storage.
Para añadir las APIs de Dataproc Metastore y Cloud Storage como servicios restringidos, sigue estos pasos:
Consola
En la Google Cloud consola, abre la página Controles de Servicio de VPC:
Ve a la página Controles de Servicio de VPC de laGoogle Cloud consola.
En la página Controles del servicio de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que quiera modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio de VPC, haz clic en Añadir servicios.
Añade la API de Dataproc Metastore y la API de Cloud Storage.
Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando gcloud access-context-manager perimeters update:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Haz los cambios siguientes:
PERIMETER_ID: ID del perímetro o identificador completo del perímetro.POLICY_ID: el ID de la política de acceso.
Crear un nivel de acceso
Si quieres permitir el acceso externo a recursos protegidos que se encuentren dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos que proceden de fuera del perímetro de servicio. No puedes usar niveles de acceso para dar permiso a los recursos protegidos para acceder a datos y servicios fuera del perímetro.
Consulta Permitir el acceso a recursos protegidos desde fuera de un perímetro.
Siguientes pasos
- Controles de Servicio de VPC
- Acceso a servicios
- Gestión de identidades y accesos y control de acceso de Dataproc Metastore