如要進一步保護 Dataproc Metastore 服務,可以使用 VPC Service Controls (VPC-SC)。
VPC Service Controls 有助於降低資料遭竊的風險。您可以透過 VPC Service Controls 將專案加入服務範圍內,如此一來,源自服務範圍外的要求就無法存取相關資源及服務。
如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
Dataproc Metastore 資源會顯示在 metastore.googleapis.com API 上,方便您執行服務層級的作業,例如建立及刪除服務。
如要透過 Dataproc Metastore 設定 VPC Service Controls,請限制與這個 API 介面的連線。
設定虛擬私有雲 (VPC) 網路
您可以設定 VPC 網路,根據服務範圍限制私人 Google 存取權。這可確保 VPC 或內部部署網路上的主機只能與 VPC Service Controls 支援的 Google API 和服務通訊,且通訊方式符合相關聯範圍的政策。
詳情請參閱「設定連至 Google API 與服務的私人連線」。
建立服務範圍
在此程序中,請選取要由虛擬私有雲服務範圍保護的 Dataproc Metastore 專案。
如要建立服務範圍,請按照「建立服務範圍」的指示操作。
將更多專案新增至服務範圍
如要將現有的 Dataproc Metastore 專案新增至範圍,請按照「更新服務範圍」一文中的操作說明進行。
將 Dataproc Metastore 和 Cloud Storage API 新增至服務範圍
為降低資料從 Dataproc Metastore 外洩的風險 (例如使用 Dataproc Metastore 匯入或匯出 API 時),您必須限制 Dataproc Metastore API 和 Cloud Storage API。
如要將 Dataproc Metastore 和 Cloud Storage API 新增為受限制的服務,請按照下列步驟操作:
控制台
在 Google Cloud 控制台中,開啟 VPC Service Controls 頁面:
在「VPC Service Controls」頁面的資料表中,按一下您要修改的服務範圍名稱。
按一下「編輯範圍」。
在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Add Services」(新增服務)。
新增 Dataproc Metastore API 和 Cloud Storage API。
按一下 [儲存]。
gcloud
執行下列 gcloud access-context-manager perimeters update 指令:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
更改下列內容:
PERIMETER_ID:perimeter 的 ID 或 perimeter 的完整 ID。POLICY_ID:存取權政策的 ID。
建立存取層級
如要允許外部存取範圍內的受保護資源,您可以選擇使用存取層級。存取層級僅適用於來自服務範圍外的受保護資源存取要求。您無法使用存取層級,授予受保護資源存取範圍外資料和服務的權限。