In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Dataproc-Cluster anhängen und dann verwenden, um die Clusternetzwerke zu sichern.
Vorteile der Verwendung sicherer Tags
Sichere Tags unterscheiden sich in wichtigen Punkten von Netzwerk-Tags, darunter die IAM-Zugriffssteuerung (Identity and Access Management), die Tag-Übernahme und die Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden wichtigen Vorteile:
Durch die Verwendung sicherer Tags in IAM-Richtlinien wird die bedingte Zugriffssteuerung ermöglicht. Die Sicherheit wird dadurch erhöht, dass Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.
Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen geregelt werden. Im Vergleich zu VPC-Firewallregeln, in denen Netzwerk-Tags verwendet werden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.
Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.
Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels finden Sie unter Tags und Labels.
Beschränkungen
- Sie können einem Cluster nur bei der Clustererstellung sichere Tags zuweisen.
- Das Aktualisieren und Löschen von sicheren Tags wird nicht unterstützt.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Resource Manager-Tags zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Anhängen sicherer Tags an einen Dataproc-Cluster benötigen:
-
Tags erstellen:
Tag-Administrator (
roles/resourcemanager.tagAdmin
) -
Tags an einen Cluster anhängen:
Tag-Betrachter (
roles/resourcemanager.tagViewer
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Sicheres Tag erstellen
Wenn Sie einem Dataproc-Cluster ein sicheres Tag zuweisen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem angegebenen Schlüssel und einem oder mehreren Werten erstellen.
Sichere Tags an den Dataproc-Cluster anhängen
Erstellen Sie einen Dataproc-Cluster und geben Sie das sichere Tag-TAG_KEY:TAG_VALUE
-Paar an.
Google Cloud CLI
Führen Sie zum Erstellen eines Dataproc-Clusters und zum Hinzufügen eines sicheren Tags zum Cluster den Befehl gcloud Dataproc clusters create mit dem Flag --resource-manager-tags
aus.
gcloud dataproc clusters create CLUSTER_NAME \
--region REGION \
--resource-manager-tags=TAG_KEY=TAG_VALUE
Ersetzen Sie Folgendes:
CLUSTER_NAME ist der Name des neuen Clusters.
REGION: die Compute Engine-Region, in der sich der Cluster befinden soll.
TAG_KEY und TAG_VALUE: Der Schlüssel und ein Wert des erstellten Resource Manager-Tags. Sie können eine durch Kommas getrennte Liste angeben, um mehrere sichere Tags mit demselben Schlüssel und unterschiedlichen Werten oder mit unterschiedlichen Schlüsseln und Werten anzuhängen.
REST
Wenn Sie einen Dataproc-Cluster erstellen und dem Cluster ein sicheres Tag hinzufügen möchten, fügen Sie das Feld resourceManagerTags
als Teil einer clusters.create-Anfrage hinzu.
Das Folgende ist ein Beispiel für den JSON-Text einer cluster.create
-Anfrage, die das Anhängen eines "TAG_KEY":"TAG_VALUE"
-Sicherheitstags an den Cluster umfasst:
{
"clusterName": "CLUSTER_NAME",
"config": {
"gceClusterConfig": {
"resourceManagerTags": {
"TAG_KEY": "TAG_VALUE"
}
}
}
}
Ersetzen Sie Folgendes:
PROJECT_ID: Ihre Projekt-ID, die im Abschnitt Projektinformationen in der Google Cloud -Konsole Dashboard aufgeführt ist.
CLUSTER_NAME ist der Name des neuen Clusters.
TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des von Ihnen erstellten Resource Manager-Tags. Sie können mehrere sichere Tags angeben, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte enthalten.
Sichere Tags für die Clustervernetzung verwenden
Nachdem Sie einem Cluster sichere Tags zugewiesen haben, können Sie damit die Clusternetzwerke konfigurieren:
- Verwenden Sie sichere Tags, um Firewallregeln zu definieren.
- Verwenden Sie sichere Tags, um die IAM-Rollen Tag Administrator und Tag Viewer, die zum Erstellen und Anhängen sicherer Tags an einen Cluster erforderlich sind, bedingungslos zu gewähren oder zu verweigern.