Usa etiquetas seguras

En este documento, se describe cómo crear etiquetas seguras, adjuntarlas a un clúster de Dataproc y, luego, usarlas para proteger las redes del clúster.

Beneficios de usar etiquetas seguras

Las etiquetas seguras tienen diferencias clave con las etiquetas de red, como el control de acceso de Identity and Access Management, la herencia de etiquetas y la vinculación a una sola red de VPC, lo que produce los siguientes beneficios clave:

Seguridad y control de acceso mejorados
Las etiquetas seguras resuelven los problemas de seguridad inherentes a las etiquetas de red, ya que proporcionan acceso controlado por IAM. A diferencia de las etiquetas de red, que puede modificar un usuario con acceso al clúster, las etiquetas seguras impiden la modificación no autorizada de las etiquetas y los cambios no deseados resultantes en las reglas de firewall.

El uso de etiquetas seguras en las políticas de IAM permite el control de acceso condicional, lo que fortalece la seguridad, ya que otorga o deniega roles según la presencia de etiquetas.

Administración simplificada del firewall
Las políticas de firewall de red globales y regionales admiten etiquetas seguras. Esta compatibilidad simplifica la administración del firewall en Dataproc en redes compartidas.

A diferencia de las reglas de firewall de VPC, las políticas de firewall de red mejoradas con etiquetas seguras permiten agrupar y actualizar varias reglas de forma eficiente y simultánea, todo ello regido por los controles de acceso de IAM. En comparación con las reglas de firewall de VPC que utilizan etiquetas de red, las etiquetas seguras proporcionan capacidades mejoradas de seguridad y administración dentro de las políticas de firewall de red.

Herencia jerárquica de recursos para una administración eficiente
Las etiquetas seguras se heredan de los recursos superiores dentro de la jerarquía Google Cloud . Esta herencia simplifica la administración, ya que te permite definir etiquetas en un nivel superior (por ejemplo, a nivel de la organización) para que se propaguen automáticamente a los recursos secundarios, como las carpetas y los proyectos. Esto permite un etiquetado coherente en toda tu organización. Para obtener más información, consulta Herencia de etiquetas.

Administración de redes mejorada en VPCs compartidas y con intercambio de tráfico
Las etiquetas de red identifican orígenes o destinos en las reglas de firewall dentro de una red de VPC especificada. Cuando se usan para especificar una fuente para una regla de entrada en una política de firewall de red, las etiquetas de seguridad identifican las fuentes de tráfico en la red de VPC del clúster de Dataproc y en las redes de VPC de intercambio de tráfico. Cuando se usan etiquetas seguras para especificar objetivos para reglas de entrada o salida, identifican objetivos solo dentro de su propia red de VPC.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de instancia, consulta Etiquetas de instancia y etiquetas de recurso.

Limitaciones

  • Solo puedes adjuntar etiquetas seguras a un clúster en el momento de la creación del clúster.
  • No se admite la actualización ni el borrado de etiquetas seguras.

Roles obligatorios

Para obtener los permisos que necesitas para crear y adjuntar etiquetas seguras a un clúster de Dataproc, pídele a tu administrador que te otorgue los siguientes roles de IAM en las etiquetas de Resource Manager:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea una etiqueta segura

Para adjuntar una etiqueta segura a un clúster de Dataproc, primero debes crear una etiqueta de Resource Manager con una clave especificada y uno o más valores.

Adjunta etiquetas seguras al clúster de Dataproc

Crea un clúster de Dataproc y especifica el par de etiquetas TAG_KEY:TAG_VALUE seguras.

Google Cloud CLI

Para crear un clúster de Dataproc y agregarle una etiqueta segura, ejecuta el comando gcloud Dataproc clusters create con la marca --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Reemplaza lo siguiente:

  • CLUSTER_NAME es el nombre del clúster nuevo.

  • REGION: La región de Compute Engine en la que se ubicará el clúster.

  • TAG_KEY y TAG_VALUE: La clave y un valor de la etiqueta de Resource Manager que creaste. Puedes especificar una lista separada por comas para adjuntar varias etiquetas seguras que contengan la misma clave con diferentes valores, o bien diferentes claves y valores.

REST

Para crear un clúster de Dataproc y agregarle una etiqueta segura, incluye el campo resourceManagerTags como parte de una solicitud clusters.create.

A continuación, se muestra un ejemplo del cuerpo JSON de una solicitud cluster.create que incluye la vinculación de una etiqueta segura "TAG_KEY":"TAG_VALUE" al clúster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de tu proyecto, que se encuentra en la sección Project info del Google Cloud panel de la consola.

  • CLUSTER_NAME es el nombre del clúster nuevo.

  • TAG_KEY y TAG_VALUE: La clave y un valor de la etiqueta de Resource Manager que creaste. Puedes especificar varias etiquetas seguras que contengan la misma clave con diferentes valores o diferentes claves y valores.

Usa etiquetas seguras para las redes de clústeres

Después de adjuntar etiquetas seguras a un clúster, úsalas para configurar la red del clúster:

¿Qué sigue?