Untuk lebih mengamankan layanan Dataproc Metastore, Anda dapat melindungi nya menggunakan Kontrol Layanan VPC (VPC-SC).
Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah. Dengan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang melindungi resource dan layanan dari permintaan yang melintasi perimeter.
Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
Resource Dataproc Metastore diekspos di metastore.googleapis.com API, yang memungkinkan Anda melakukan operasi tingkat layanan, seperti pembuatan dan penghapusan layanan.
Anda menyiapkan Kontrol Layanan VPC dengan Dataproc Metastore dengan membatasi konektivitas ke platform API ini.
Batasan dan saran
- Dataproc Metastore menggunakan Cloud Run untuk konektivitas saat menggunakan protokol endpoint gRPC. Batasan dan saran Cloud Run yang sama berlaku saat menggunakan endpoint ini dengan Kontrol Layanan VPC.
- Log permintaan uji coba Cloud Run hanya ditulis saat layanan Cloud Run dipanggil dan ingress bersifat internal. Dataproc Metastore hanya menggunakan ingress internal saat perimeter berada dalam mode yang diterapkan. Anda tidak akan melihat pelanggaran uji coba saat menggunakan endpoint Cloud Run dalam mode uji coba.
Mengonfigurasi jaringan Virtual Private Cloud (VPC)
Anda dapat mengonfigurasi jaringan VPC untuk membatasi Akses Google Pribadi terkait perimeter layanan. Hal ini memastikan bahwa host di VPC atau jaringan lokal Anda hanya dapat berkomunikasi dengan Google API dan layanan yang didukung oleh Kontrol Layanan VPC dengan cara yang sesuai dengan kebijakan perimeter terkait.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan.
Membuat perimeter layanan
Selama prosedur ini, Anda memilih project Dataproc Metastore yang ingin dilindungi oleh perimeter layanan VPC.
Untuk membuat perimeter layanan, ikuti petunjuk di Membuat perimeter layanan.
Menambahkan lebih banyak project ke perimeter layanan
Untuk menambahkan project Dataproc Metastore yang ada ke perimeter, ikuti petunjuk di Memperbarui perimeter layanan.
Menambahkan Dataproc Metastore dan Cloud Storage API ke perimeter layanan
Untuk mengurangi risiko data Anda dipindahkan secara tidak sah dari Dataproc Metastore, misalnya, saat menggunakan Dataproc Metastore import atau export API, Anda harus membatasi Dataproc Metastore API dan Cloud Storage API.
Untuk menambahkan Dataproc Metastore dan Cloud Storage API sebagai layanan yang dibatasi:
Konsol
Di Google Cloud konsol, buka halaman Kontrol Layanan VPC:
Di halaman Kontrol Layanan VPC, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.
Klik Edit Perimeter.
Di halaman Edit VPC Service Perimeter, klik Add Services.
Tambahkan Dataproc Metastore API dan Cloud Storage API.
Klik Simpan.
gcloud
Jalankan perintah gcloud access-context-manager perimeters update berikut:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
Ganti kode berikut:
PERIMETER_ID: ID perimeter atau ID yang memenuhi syarat sepenuhnya untuk perimeter.POLICY_ID: ID kebijakan akses.
Membuat tingkat akses
Secara opsional, untuk mengizinkan akses eksternal ke resource yang dilindungi di dalam perimeter, Anda dapat menggunakan tingkat akses. Level akses hanya diterapkan pada permintaan untuk resource yang dilindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin resource yang dilindungi untuk mengakses data dan layanan di luar perimeter.
Lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.