VPC Service Controls avec Dataproc Metastore

Pour sécuriser davantage vos services Dataproc Metastore, vous pouvez les protéger à l'aide de VPC Service Controls (VPC-SC).

VPC Service Controls permet de limiter le risque d'exfiltration des données. À l'aide de VPC Service Controls, vous pouvez ajouter des projets aux périmètres de service afin de protéger les ressources et les services des requêtes qui traversent le périmètre.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Les ressources Dataproc Metastore sont exposées sur l'API metastore.googleapis.com, ce qui vous permet d'effectuer des opérations au niveau du service, telles que la création et la suppression de services.

Pour configurer VPC Service Controls avec Dataproc Metastore, vous devez limiter la connectivité à cette surface d'API.

Limites et conseils

• Dataproc Metastore utilise Cloud Run pour la connectivité lorsque vous utilisez le protocole du point de terminaison gRPC. Les mêmes limites et conseils Cloud Run s'appliquent lorsque vous utilisez ce point de terminaison avec VPC Service Controls.
• Les journaux de requêtes d'exécution à blanc Cloud Run ne sont écrits que lorsque les services Cloud Run sont appelés et que l'entrée est interne. Dataproc Metastore n'utilise l'entrée interne que lorsque le périmètre est en mode appliqué. Vous ne verrez pas les cas de non-respect en mode de simulation lorsque vous utiliserez le point de terminaison Cloud Run en mode de simulation.

Configurer le réseau de cloud privé virtuel (VPC)

Vous pouvez configurer le réseau VPC pour limiter l'accès privé à Google en fonction d'un périmètre de service. Cela garantit que les hôtes de votre VPC ou de votre réseau sur site ne peuvent communiquer qu'avec les API et les services compatibles avec VPC Service Controls, conformément à la règle de périmètre associée.

Pour en savoir plus, consultez la page Configurer une connectivité privée aux API et services Google.

Créer un périmètre de service

Au cours de cette procédure, vous sélectionnez les projets Dataproc Metastore que le périmètre de service VPC doit protéger.

Pour créer un périmètre de service, suivez les instructions de la section Créer un périmètre de service.

Ajouter d'autres projets au périmètre de service

Pour ajouter des projets Dataproc Metastore existants au périmètre, suivez les instructions de la section Mettre à jour un périmètre de service.

Ajouter les API Dataproc Metastore et Cloud Storage au périmètre de service

Pour limiter le risque d'exfiltration de données à partir de Dataproc Metastore, par exemple, lors de l'utilisation des API d'importation ou d'exportation Dataproc Metastore, vous devez limiter à la fois l'API Dataproc Metastore et l'API Cloud Storage.

Pour ajouter les API Dataproc Metastore et Cloud Storage en tant que services limités, procédez comme suit :

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com
 

Créer un niveau d'accès

Vous pouvez éventuellement utiliser des niveaux d'accès pour autoriser l'accès externe aux ressources protégées d'un périmètre. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des ressources protégées à accéder à des données et à des services en dehors du périmètre.

Consultez la page Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Étape suivante

• VPC Service Controls
• Accès aux services
• IAM et contrôle des accès Dataproc Metastore