Diese Seite wurde von der Cloud Translation API übersetzt.

Sichere Tags verwenden
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, an einen Dataproc-Cluster anhängen und dann mit den Tags das Clusternetzwerk sichern.

Vorteile sicherer Tags

Sichere Tags unterscheiden sich wesentlich von Netzwerk-Tags. Dazu gehören die Zugriffssteuerung von Identity and Access Management, die Tag-Übernahme und die Bindung an ein einzelnes VPC-Netzwerk. Diese Unterschiede bieten folgende Vorteile:

Erweiterte Zugriffssteuerung und Sicherheit

Sichere Tags lösen die Sicherheitsprobleme, die mit Netzwerk-Tags verbunden sind, indem sie einen IAM-gesteuerten Zugriff ermöglichen. Im Gegensatz zu Netzwerk-Tags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.

Mit sicheren Tags in IAM-Richtlinien können Sie die bedingte Zugriffssteuerung aktivieren und so die Sicherheit erhöhen, indem Sie Rollen basierend auf dem Vorhandensein von Tags gewähren oder ablehnen.

Vereinfachte Firewallverwaltung

Die globalen und regionalen Netzwerk-Firewallrichtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Dataproc in freigegebenen Netzwerken.

Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags ergänzt werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen verwaltet werden. Im Vergleich zu VPC-Firewallregeln, die Netzwerk-Tags verwenden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.

Hierarchische Ressourcenübernahme für eine effiziente Verwaltung

Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen. Durch diese Übernahme wird die Verwaltung vereinfacht, da Sie Tags auf einer höheren Ebene definieren können, z. B. auf Organisationsebene, sodass sie automatisch auf untergeordnete Ressourcen wie Ordner und Projekte angewendet werden. So können Sie in Ihrer gesamten Organisation einheitlich taggen. Weitere Informationen finden Sie unter Tag-Übernahme.

Verbesserte Netzwerkverwaltung in freigegebenen und Peering-VPCs

Mit Netzwerk-Tags werden Quellen oder Ziele in Firewallregeln innerhalb eines bestimmten VPC-Netzwerks angegeben. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, werden Trafficquellen sowohl im VPC-Netzwerk des Dataproc-Clusters als auch in Peer-VPC-Netzwerken identifiziert. Wenn sichere Tags verwendet werden, um Ziele für Eingangs- oder Ausgangsregeln anzugeben, werden nur Ziele innerhalb des eigenen VPC-Netzwerks identifiziert.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels finden Sie unter Tags und Labels.

Beschränkungen

Sie können einem Cluster nur bei der Erstellung sichere Tags zuweisen.
Das Aktualisieren und Löschen sicherer Tags wird nicht unterstützt.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Resource Manager-Tags zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Anhängen sicherer Tags an einen Dataproc-Cluster benötigen:

Tags erstellen: Tag-Administrator (roles/resourcemanager.tagAdmin)
Tags an einen Kunden anhängen: Tag-Betrachter (roles/resourcemanager.tagViewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Sicheres Tag erstellen

Wenn Sie einem Dataproc-Cluster ein sicheres Tag zuweisen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem bestimmten Schlüssel und einem oder mehreren Werten erstellen.

Sichere Tags an den Dataproc-Cluster anhängen

Erstellen Sie einen Dataproc-Cluster und geben Sie das sichere TagTAG_KEY:TAG_VALUE-Paar an.

Google Cloud CLI

Wenn Sie einen Dataproc-Cluster erstellen und ihm ein sicheres Tag hinzufügen möchten, führen Sie den Befehl gcloud dataproc clusters create mit dem Flag --resource-manager-tags aus.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

CLUSTER_NAME ist der Name des neuen Clusters.
REGION: die Compute Engine-Region, in der der Cluster bereitgestellt werden soll.
TAG_KEY und TAG_VALUE: Schlüssel und Wert des von Ihnen erstellten Resource Manager-Tags. Sie können eine kommagetrennte Liste angeben, um mehrere sichere Tags anzuhängen, die aus demselben Schlüssel mit unterschiedlichen Werten oder aus verschiedenen Schlüsseln und Werten bestehen.

REST

Wenn Sie einen Dataproc-Cluster erstellen und ihm ein sicheres Tag hinzufügen möchten, fügen Sie das Feld resourceManagerTags als Teil einer clusters.create-Anfrage hinzu.

Im Folgenden finden Sie ein Beispiel für den JSON-Text einer cluster.create-Anfrage, bei der dem Cluster ein sicheres "TAG_KEY":"TAG_VALUE"-Tag hinzugefügt wird:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}