Ce document explique comment utiliser Secret Manager comme magasin d'identifiants avec Google Cloud Serverless pour Apache Spark afin de stocker et d'accéder de manière sécurisée aux données sensibles traitées par les charges de travail sans serveur.
Présentation
Secret Manager peut protéger vos données sensibles, telles que vos clés API, vos mots de passe et vos certificats. Vous pouvez l'utiliser pour gérer, consulter et auditer vos secrets dansGoogle Cloud.
Lorsque vous exécutez une charge de travail par lot Serverless pour Apache Spark, vous pouvez la configurer pour qu'elle utilise un secret Secret Manager à l'aide du fournisseur d'identifiants Dataproc Secret Manager.
Disponibilité
Cette fonctionnalité est disponible pour les versions d'exécution Serverless pour Apache Spark 1.2.29+, 2.2.29+ ou les versions d'exécution ultérieures.
Terminologie
Le tableau suivant décrit les termes utilisés dans ce document.
| Terme | Description |
|---|---|
Secret |
Un secret Secret Manager est un objet de projet global qui contient un ensemble de métadonnées et de versions de secrets. Vous pouvez les gérer et y accéder sous forme de chaînes de texte ou blobs binaires. |
Credential |
Dans Hadoop et d'autres charges de travail Dataproc, un identifiant se compose d'un nom (ID) et d'une valeur (mot de passe). Un ID et une valeur d'identifiant correspondent à un ID et une valeur de secret (version du secret) Secret Manager. |
Autorisations
Dataproc vérifie si les secrets facultatifs suivants existent :
- fs-gs-encryption-key
- fs-gs-encryption-key-hash
- fs-gs-proxy-password
- fs-gs-proxy-username
Pour vous assurer que le compte de service de VM Dataproc est autorisé à vérifier les secrets fs-gs, ajoutez le rôle Accesseur de secrets Secret Manager avec la condition suivante au compte de service :
{
"expression": "resource.name.startsWith(\"projects/PROJECT_NUMBER/secrets/fs-gs-\")",
"title": "gsmkeycondition",
"description": "Permission to access Dataproc secrets"
}
Utilisation
Vous pouvez configurer les composants Hadoop et autres composants OSS compatibles pour qu'ils fonctionnent avec Secret Manager en définissant les propriétés suivantes lorsque vous envoyez une charge de travail Serverless pour Apache Spark :
Chemin d'accès au fournisseur (obligatoire) : la propriété de chemin d'accès au fournisseur,
spark.hadoop.hadoop.security.credential.provider.path, est une liste d'un ou de plusieurs URI de fournisseur d'identifiants séparés par une virgule, qui est parcourue pour résoudre un identifiant.--properties=spark.hadoop.hadoop.security.credential.provider.path=gsm://projects/PROJECT_ID
- Le
schemedans le chemin du fournisseur indique le type de fournisseur d'identifiants. Les schémas Hadoop incluentjceks://,user://etlocaljceks://. Utilisez le schémagsm://pour rechercher des identifiants dans Secret Manager.
- Le
Opérateur de substitution de point : le service Secret Manager n'autorise pas les points (
.) dans les noms secrets. Toutefois, certains composants Open Source (OSS) utilisent des points dans leurs clés d'identifiants. Pour résoudre cette limitation, activez cette propriété afin de remplacer les points (.) par des traits d'union (-) dans les noms des identifiants. Cela permet de s'assurer que les identifiants OSS dont le nom contient des points peuvent être stockés et récupérés correctement depuis Secret Manager.Par exemple, si une clé d'identifiant OSS est
a.b.c, vous devez la modifier ena-b-clorsque vous la stockez dans Secret Manager.--properties=spark.hadoop.hadoop.security.credstore.google-secret-manager.secret-id.substitute-dot-operator=true
Cette propriété est facultative. La valeur par défaut est
false. Pour les clés d'identifiants dont le nom ne contient pas d'opérateur point (.), cette propriété peut être ignorée sans risque.Version du secret : les secrets dans Secret Manager peuvent avoir plusieurs versions (valeurs). Utilisez cette propriété pour accéder à une version spécifique d'un secret afin d'obtenir un accès stable dans les environnements de production.
--properties=spark.hadoop.hadoop.security.credstore.google-secret-manager.secret-version=1
Cette propriété est facultative. Par défaut, Secret Manager accède à la version
LATEST, qui correspond à la dernière valeur du secret lors de l'exécution. Si votre cas d'utilisation consiste à toujours accéder à la versionLATESTd'un secret, vous pouvez ignorer cette propriété sans risque.
Exécuter une charge de travail par lot avec le fournisseur d'identifiants Secret Manager
Pour envoyer une charge de travail par lot qui utilise le fournisseur d'identifiants Secret Manager, exécutez la commande suivante en local ou dans Cloud Shell.
gcloud dataproc batches submit spark \ --region=REGION \ --jars=JARS \ --class=MAIN_CLASS \ --properties="spark.hadoop.hadoop.security.credential.provider.path=gsm://projects/PROJECT_ID,spark.hadoop.hadoop.security.credstore.google-secret-manager.secret-id.substitute-dot-operator=true" \ ...other flags as needed...
Remplacez les éléments suivants :
- REGION : région Compute Engine dans laquelle votre charge de travail s'exécute
- JARS : chemin d'accès au fichier JAR de la charge de travail
- MAIN_CLASS : classe principale du fichier Jar
- PROJECT_ID : ID de votre projet, indiqué dans la section Informations sur le projet du tableau de bord de la consoleGoogle Cloud