VPC Service Controls と Dataproc Metastore

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Dataproc Metastore サービスのセキュリティをさらに強化するには、VPC Service Controls（VPC-SC）を使用してサービスを保護します。

VPC Service Controls を使用すると、データの引き出しのリスクが軽減できます。VPC Service Controls の活用により、境界をまたぐリクエストからリソースとサービスを保護するサービス境界にプロジェクトを追加できます。

VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

Dataproc Metastore リソースは metastore.googleapis.com API で公開されており、サービスの作成や削除など、サービスレベルのオペレーションを実行できます。

この API サーフェスへの接続を制限することによって、Dataproc Metastore で VPC Service Controls を設定します。

Virtual Private Cloud（VPC）ネットワークを構成する

サービス境界に対する限定公開の Google アクセスを制限するように VPC ネットワークを構成できます。これにより、VPC またはオンプレミス ネットワーク上のホストは、関連する境界のポリシーに準拠した方法で VPC Service Controls によりサポートされている Google API およびサービスに限り通信できます。

詳細については、Google API およびサービスへのプライベート接続を設定するをご覧ください。

サービス境界を作成する

この手順では、VPC サービス境界で保護する Dataproc Metastore プロジェクトを選択します。

サービス境界を作成するには、サービス境界の作成手順に従ってください。

サービス境界にプロジェクトを追加する

既存の Dataproc Metastore プロジェクトを境界に追加するには、サービス境界の更新の手順に従ってください。

Dataproc Metastore API と Cloud Storage API をサービス境界に追加する

Dataproc Metastore のインポートやエクスポート API などを使用して Dataproc Metastore からデータが引き出されるリスクを軽減するには、Dataproc Metastore API とCloud Storage API の両方を制限する必要があります。

Dataproc Metastore と Cloud Storage API を制限付きサービスとして追加するには、次のようにします。

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com
 

アクセスレベルを作成する

境界内の保護されたリソースへの外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、境界外のデータおよびサービスにアクセスするための権限を、保護されたリソースに与えることはできません。

境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。

次のステップ

• VPC Service Controls
• サービスの利用
• Dataproc Metastore IAM とアクセス制御