Per aumentare la sicurezza dei tuoi servizi Dataproc Metastore, puoi proteggerli utilizzando Controlli di servizio VPC (VPC-SC).
I Controlli di servizio VPC contribuiscono a mitigare il rischio di esfiltrazione di dati. Con Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che proteggono le risorse e i servizi dalle richieste che attraversano il perimetro.
Per scoprire di più sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.
Le risorse Dataproc Metastore sono esposte nell'API metastore.googleapis.com
, che consente di eseguire operazioni a livello di servizio, come la creazione e l'eliminazione di servizi.
Configura i Controlli di servizio VPC con Dataproc Metastore limitando la connettività a questa API.
Configura la rete Virtual Private Cloud (VPC)
Puoi configurare la rete VPC in modo da limitare l'accesso privato Google rispetto a un perimetro di servizio. In questo modo, gli host della tua rete VPC o on-premise possono comunicare solo con le API e i servizi Google supportati dai Controlli di servizio VPC in modo conforme alle norme del perimetro associato.
Per ulteriori informazioni, consulta Configurazione della connettività privata alle API e ai servizi Google.
Crea un perimetro di servizio
Durante questa procedura, seleziona i progetti Dataproc Metastore che vuoi proteggere con il perimetro di servizio VPC.
Per creare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio.
Aggiungere altri progetti al perimetro di servizio
Per aggiungere al perimetro i progetti Dataproc Metastore esistenti, segui le istruzioni riportate in Aggiornamento di un perimetro di servizio.
Aggiungi le API Dataproc Metastore e Cloud Storage al perimetro di servizio
Per ridurre il rischio di esfiltrazione dei dati da Dataproc Metastore, ad esempio quando utilizzi le API di importazione o esportazione di Dataproc Metastore, devi limitare sia l'API Dataproc Metastore sia l'API Cloud Storage.
Per aggiungere le API Dataproc Metastore e Cloud Storage come servizi con limitazioni:
Console
Nella console Google Cloud, apri la pagina Controlli di servizio VPC:
Vai alla pagina Controlli di servizio VPC nella console Google Cloud
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
Fai clic su Modifica perimetro.
Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
Aggiungi l'API Dataproc Metastore e l'API Cloud Storage.
Fai clic su Salva.
gcloud
Esegui il seguente comando gcloud access-context-manager perimeters update
:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Sostituisci quanto segue:
PERIMETER_ID
: l'ID del perimetro o l'identificatore completo del perimetro.POLICY_ID
: l'ID del criterio di accesso.
Crea un livello di accesso
Se vuoi, puoi utilizzare i livelli di accesso per consentire l'accesso esterno alle risorse protette all'interno di un perimetro. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.
Consulta Consentire l'accesso a risorse protette dall'esterno di un perimetro.