将 VPC Service Controls 与 Dataproc Metastore 搭配使用

为进一步保护 Dataproc Metastore 服务,您可以使用 VPC Service Controls (VPC-SC) 来保护它们。

VPC Service Controls 有助于降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止资源和服务免受跨边界请求的影响。

如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

Dataproc Metastore 资源会显示在 metastore.googleapis.com API 上,该 API 可让您执行服务级操作,例如创建和删除服务。

您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和 Dataproc Metastore。

配置虚拟私有云 (VPC) 网络

您可以将 VPC 网络配置为限制服务边界的专用 Google 访问通道。这可确保 VPC 或本地网络中的主机只能按照符合相关边界政策的方式与 VPC Service Controls 支持的 Google API 和服务进行通信。

如需了解详情,请参阅设置与 Google API 和服务的专用连接

创建服务边界

在此过程中,您需要选择自己希望 VPC 服务边界保护的 Dataproc Metastore 项目。

如需创建服务边界,请按照创建服务边界中的说明操作。

向服务边界添加更多项目

要将现有 Dataproc Metastore 项目添加到边界,请按照更新服务边界中的说明操作。

向服务边界添加 Dataproc Metastore 和 Cloud Storage API

为了降低 Dataproc Metastore 渗漏数据的风险(例如,在使用 Dataproc Metastore 导入或导出 API 时),您必须同时限制 Dataproc Metastore APICloud Storage API

如需将 Dataproc Metastore 和 Cloud Storage API 添加为受限服务,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,打开 VPC Service Controls 页面:

    前往 Google Cloud 控制台中的 VPC Service Controls 页面

  2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。

  3. 点击修改边界

  4. 修改 VPC 服务边界页面上,点击添加服务

  5. 添加 Dataproc Metastore APICloud Storage API

  6. 点击保存

gcloud

运行以下 gcloud access-context-manager perimeters update 命令:

 gcloud access-context-manager perimeters update PERIMETER_ID 
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com

替换以下内容:

  • PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
  • POLICY_ID:访问权限政策的 ID。

创建访问权限级别

(可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别向受保护的资源授予对边界外的数据和服务的访问权限。

请参阅允许从边界外访问受保护的资源

后续步骤