Dataproc 共同責任模式

在 Dataproc 上執行業務關鍵工作負載時，需要多方共同承擔不同責任。本頁面列出 Google 和客戶的責任，但並非詳盡清單。

Dataproc：Google 的責任

• 保護底層基礎架構，包括硬體、韌體、核心、作業系統、儲存空間、網路等。包括：

  • 預設加密靜態資料
  • 提供額外的客戶管理磁碟加密
  • 加密傳輸中的資料
  • 使用專為 Google 打造的硬體
  • 鋪設私人網路線
  • 保護資料中心，防止實體存取
  • 使用受防護的節點保護啟動載入程式和核心，避免遭到修改
  • 使用 VPC Service Controls 提供網路保護
  • 遵循安全的軟體開發做法

• 發布 Dataproc 映像檔的安全修補程式。包括：

  • Dataproc 映像檔 (Ubuntu、Debian 和 Rocky Linux) 內含基本作業系統的修補程式
  • Dataproc 映像檔中包含的開放原始碼元件適用的修補程式和修正程式

• 提供 Connect、Identity and Access Management、Cloud Audit Logs、Cloud Key Management Service、Security Command Center 等服務的整合功能。 Google Cloud

• 透過資料存取透明化控管機制和存取權核准，限制並記錄 Google 管理員基於合約支援目的存取客戶叢集的行為

• 建議設定 Dataproc 和 Dataproc 映像檔中包含的開放原始碼元件時，採用最佳做法

Dataproc：客戶責任

• 維護工作負載，包括應用程式程式碼、自訂映像檔、資料、IAM 政策和執行的叢集

• 使用最新子版本映像檔，在最新 Dataproc 映像檔上執行叢集、立即重新整理自訂映像檔，並盡快遷移至最新子版本映像檔。圖片中繼資料包含 previous-subminor 標籤，如果叢集未使用最新的次要版本圖片，系統會將標籤設為 true。如要瞭解如何查看圖片中繼資料，請參閱版本管理的重要注意事項。

• 在 Google 要求提供環境詳細資料時，配合提供相關資訊，以利進行疑難排解

• 遵循 Dataproc 和其他服務的設定最佳做法，以及 Dataproc 映像檔中開放原始碼元件的設定最佳做法 Google Cloud