Se usó la API de Cloud Translation para traducir esta página.

Usa etiquetas seguras
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este documento, se describe cómo crear etiquetas seguras, adjuntarlas a un clúster de Dataproc y, luego, usarlas para proteger las redes del clúster.

Beneficios de usar etiquetas seguras

Las etiquetas seguras tienen diferencias clave con las etiquetas de red, como el control de acceso de la administración de identidades y accesos, la herencia de etiquetas y la vinculación de una sola red de VPC, que generan los siguientes beneficios clave:

Seguridad y control de acceso mejorados

Las etiquetas seguras resuelven los problemas de seguridad inherentes a las etiquetas de red, ya que proporcionan acceso controlado por IAM. A diferencia de las etiquetas de red, que un usuario con acceso al clúster puede modificar, las etiquetas seguras evitan la modificación no autorizada de las etiquetas y los cambios no deseados en las reglas de firewall que resultan de esto.

El uso de etiquetas seguras en las políticas de IAM habilita el control de acceso condicional, lo que fortalece la seguridad otorgando o rechazando roles en función de la presencia de etiquetas.

Administración simplificada del firewall

Las políticas de firewall de red global y regional admiten etiquetas seguras. Esta compatibilidad simplifica la administración de firewall en Dataproc en redes compartidas.

A diferencia de las reglas de firewall de VPC, las políticas de firewall de red que se mejoran con etiquetas seguras permiten la agrupación eficiente y la actualización simultánea de varias reglas, todo lo cual se rige por los controles de acceso de IAM. En comparación con las reglas de firewall de VPC que usan etiquetas de red, las etiquetas seguras proporcionan capacidades de administración y seguridad mejoradas dentro de las políticas de firewall de red.

Herencia de recursos jerárquicos para una administración eficiente

Las etiquetas seguras heredan de los recursos superiores dentro de la jerarquía Google Cloud . Esta herencia simplifica la administración, ya que te permite definir etiquetas a un nivel superior, por ejemplo, a nivel de la organización, para que se propaguen automáticamente a los recursos secundarios, como carpetas y proyectos. Esto permite un etiquetado coherente en toda tu organización. Para obtener más información, consulta Herencia de etiquetas.

Administración de red mejorada en VPC compartidas y vinculadas

Las etiquetas de red identifican fuentes o destinos en las reglas de firewall dentro de una red de VPC especificada. Cuando se usan para especificar una fuente para una regla de entrada en una política de firewall de red, las etiquetas de seguridad identifican las fuentes de tráfico en la red de VPC del clúster de Dataproc y en las redes de VPC de intercambio de tráfico. Cuando se usan etiquetas seguras para especificar objetivos para reglas de entrada o salida, solo identifican objetivos dentro de su propia red de VPC.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de instancia, consulta Etiquetas de instancia y etiquetas de recurso.

Limitaciones

Solo puedes adjuntar etiquetas seguras a un clúster en el momento de su creación.
No se admiten la actualización ni la eliminación de etiquetas seguras.

Roles obligatorios

Para obtener los permisos que necesitas para crear y adjuntar etiquetas seguras a un clúster de Dataproc, pídele a tu administrador que te otorgue los siguientes roles de IAM en las etiquetas de Resource Manager:

Crear etiquetas: Administrador de etiquetas (roles/resourcemanager.tagAdmin)
Adjunta etiquetas a un clúster: Visualizador de etiquetas (roles/resourcemanager.tagViewer).

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea una etiqueta segura

Para adjuntar una etiqueta segura a un clúster de Dataproc, primero debes crear una etiqueta de Resource Manager con una clave especificada y uno o más valores.

Adjunta etiquetas seguras al clúster de Dataproc

Crea un clúster de Dataproc y especifica el par de TAG_KEY:TAG_VALUE de etiqueta segura.

Google Cloud CLI

Para crear un clúster de Dataproc y agregarle una etiqueta segura, ejecuta el comando gcloud dataproc clusters create con la marca --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Reemplaza lo siguiente:

CLUSTER_NAME es el nombre del clúster nuevo.
REGION: La región de Compute Engine en la que se ubicará el clúster.
TAG_KEY y TAG_VALUE: La clave y un valor de la etiqueta de Resource Manager que creaste. Puedes especificar una lista separada por comas para adjuntar varias etiquetas seguras que contengan la misma clave con diferentes valores, o bien diferentes claves y valores.

REST

Para crear un clúster de Dataproc y agregarle una etiqueta segura, incluye el campo resourceManagerTags como parte de una solicitud clusters.create.

El siguiente es un cuerpo JSON de muestra de una solicitud cluster.create que incluye adjuntar una etiqueta segura "TAG_KEY":"TAG_VALUE" al clúster:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}