Sichere Tags verwenden

In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Dataproc-Cluster anhängen und dann verwenden, um die Clusternetzwerke zu sichern.

Vorteile der Verwendung sicherer Tags

Sichere Tags unterscheiden sich in wichtigen Punkten von Netzwerk-Tags, darunter die IAM-Zugriffssteuerung (Identity and Access Management), die Tag-Übernahme und die Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden wichtigen Vorteile:

Verbesserte Zugriffssteuerung und Sicherheit
Sichere Tags beheben die Sicherheitsprobleme, die mit Netzwerk-Tags einhergehen, indem sie IAM-gesteuerten Zugriff ermöglichen. Im Gegensatz zu Netzwerktags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.

Durch die Verwendung sicherer Tags in IAM-Richtlinien wird die bedingte Zugriffssteuerung ermöglicht. Die Sicherheit wird dadurch erhöht, dass Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.

Vereinfachte Firewallverwaltung
Die globalen und regionalen Netzwerk-Firewallrichtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Dataproc in freigegebenen Netzwerken.

Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen geregelt werden. Im Vergleich zu VPC-Firewallregeln, in denen Netzwerk-Tags verwendet werden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.

Hierarchische Ressourcenübernahme für effiziente Verwaltung
Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen. Durch diese Übernahme wird die Verwaltung vereinfacht, da Sie Tags auf einer höheren Ebene, z. B. auf Organisationsebene, definieren können, sodass sie automatisch auf untergeordnete Ressourcen wie Ordner und Projekte übertragen werden. So können Sie Tags in Ihrer gesamten Organisation einheitlich verwenden. Weitere Informationen finden Sie unter Tag-Übernahme.

Verbessertes Netzwerkmanagement für freigegebene und per Peering verbundene VPCs
Netzwerktags identifizieren Quellen oder Ziele in Firewallregeln innerhalb eines angegebenen VPC-Netzwerk. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, identifizieren sie Trafficquellen sowohl im VPC-Netzwerk des Dataproc-Clusters als auch in Peer-VPC-Netzwerken. Wenn sichere Tags verwendet werden, um Ziele für Regeln für eingehenden oder ausgehenden Traffic anzugeben, identifizieren sie Ziele nur im eigenen VPC-Netzwerk.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels finden Sie unter Tags und Labels.

Beschränkungen

  • Sie können einem Cluster nur bei der Clustererstellung sichere Tags zuweisen.
  • Das Aktualisieren und Löschen von sicheren Tags wird nicht unterstützt.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Resource Manager-Tags zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Anhängen sicherer Tags an einen Dataproc-Cluster benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Sicheres Tag erstellen

Wenn Sie einem Dataproc-Cluster ein sicheres Tag zuweisen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem angegebenen Schlüssel und einem oder mehreren Werten erstellen.

Sichere Tags an den Dataproc-Cluster anhängen

Erstellen Sie einen Dataproc-Cluster und geben Sie das sichere Tag-TAG_KEY:TAG_VALUE-Paar an.

Google Cloud CLI

Führen Sie zum Erstellen eines Dataproc-Clusters und zum Hinzufügen eines sicheren Tags zum Cluster den Befehl gcloud Dataproc clusters create mit dem Flag --resource-manager-tags aus.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

  • CLUSTER_NAME ist der Name des neuen Clusters.

  • REGION: die Compute Engine-Region, in der sich der Cluster befinden soll.

  • TAG_KEY und TAG_VALUE: Der Schlüssel und ein Wert des erstellten Resource Manager-Tags. Sie können eine durch Kommas getrennte Liste angeben, um mehrere sichere Tags mit demselben Schlüssel und unterschiedlichen Werten oder mit unterschiedlichen Schlüsseln und Werten anzuhängen.

REST

Wenn Sie einen Dataproc-Cluster erstellen und dem Cluster ein sicheres Tag hinzufügen möchten, fügen Sie das Feld resourceManagerTags als Teil einer clusters.create-Anfrage hinzu.

Das Folgende ist ein Beispiel für den JSON-Text einer cluster.create-Anfrage, die das Anhängen eines "TAG_KEY":"TAG_VALUE"-Sicherheitstags an den Cluster umfasst:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID, die im Abschnitt Projektinformationen in der Google Cloud -Konsole Dashboard aufgeführt ist.

  • CLUSTER_NAME ist der Name des neuen Clusters.

  • TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des von Ihnen erstellten Resource Manager-Tags. Sie können mehrere sichere Tags angeben, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte enthalten.

Sichere Tags für die Clustervernetzung verwenden

Nachdem Sie einem Cluster sichere Tags zugewiesen haben, können Sie damit die Clusternetzwerke konfigurieren:

Nächste Schritte