透過 Dataproc Metastore 使用 VPC Service Controls

如要進一步提升 Dataproc Metastore 服務的安全性,您可以使用 VPC Service Controls (VPC-SC) 對其進行防護。

VPC Service Controls 可協助降低資料竊取風險。您可以透過 VPC Service Controls 將專案加入服務範圍內,如此一來,源自服務範圍外的要求就無法存取相關資源及服務。

如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。

Dataproc Metastore 資源會公開至 metastore.googleapis.com API,讓您執行服務層級作業,例如建立和刪除服務。

您可以限制與此 API 途徑的連線,藉此設定 Dataproc Metastore 的 VPC Service Controls。

設定虛擬私有雲 (VPC) 網路

您可以設定 VPC 網路,針對服務範圍限制私人 Google 存取權。這可確保 VPC 或內部部署網路中的主機只能與 VPC Service Controls 支援的 Google API 和服務通訊,且通訊方式符合相關範圍的政策。

詳情請參閱「設定連至 Google API 與服務的私人連線」。

建立服務範圍

在這個程序中,您會選取要由虛擬私有雲服務範圍保護的 Dataproc Metastore 專案。

如要建立服務範圍,請按照「建立服務範圍」一文中的操作說明進行。

將更多專案新增至服務範圍

如要將現有的 Dataproc Metastore 專案新增至範圍,請按照「更新服務範圍」一節中的指示操作。

將 Dataproc Metastore 和 Cloud Storage API 新增至服務範圍

為降低資料從 Dataproc Metastore 外洩的風險,例如在使用 Dataproc Metastore 匯入或匯出 API 時,您必須同時限制 Dataproc Metastore APICloud Storage API

如要將 Dataproc Metastore 和 Cloud Storage API 新增為受限制服務,請按照下列步驟操作:

控制台

  1. 在 Google Cloud 控制台中,開啟「VPC Service Controls」頁面:

    前往Google Cloud 控制台中的「VPC Service Controls」頁面

  2. 在「VPC Service Controls」頁面的資料表中,按一下您要修改的服務範圍名稱。

  3. 按一下「編輯範圍」

  4. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Add Services」(新增服務)。

  5. 新增 Dataproc Metastore APICloud Storage API

  6. 按一下 [儲存]

gcloud

執行下列 gcloud access-context-manager perimeters update 指令:

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com

更改下列內容:

  • PERIMETER_ID:周界 ID 或周界完整修飾 ID。
  • POLICY_ID:存取權政策的 ID。

建立存取層級

如要允許外部存取範圍內的受保護資源,您可以使用存取層級。存取層級僅適用於來自服務範圍外的受保護資源存取要求。您無法透過存取層級授予受保護資源存取範圍以外的資料和服務的權限。

請參閱「允許服務範圍外的受保護資源存取要求」。

後續步驟