Cette page a été traduite par l'API Cloud Translation.

Utiliser des tags sécurisés
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Ce document explique comment créer des balises sécurisées, les associer à un cluster Dataproc, puis les utiliser pour sécuriser la mise en réseau du cluster.

Avantages de l'utilisation de balises sécurisées

Les tags sécurisés présentent des différences importantes par rapport aux tags réseau, y compris le contrôle des accès de gestion de l'identité et des accès, l'héritage de tags et l'association unique au réseau VPC, qui offrent les principaux avantages suivants:

Amélioration du contrôle des accès et de la sécurité

Les tags sécurisés résolvent les problèmes de sécurité inhérents aux tags réseau en fournissant un accès contrôlé par IAM. Contrairement aux tags réseau, qui peuvent être modifiés par un utilisateur disposant d'un accès au cluster, les tags sécurisés empêchent la modification non autorisée des tags et les modifications indésirables des règles de pare-feu qui en résultent.

L'utilisation de tags sécurisés dans les stratégies IAM permet de mettre en place un contrôle des accès conditionnel, ce qui renforce la sécurité en accordant ou en refusant des rôles en fonction de la présence de tags.

Gestion simplifiée du pare-feu

Les stratégies de pare-feu réseau globales et régionales sont compatibles avec les tags sécurisés. Cette compatibilité simplifie la gestion des pare-feu dans Dataproc sur les réseaux partagés.

Contrairement aux règles de pare-feu VPC, les stratégies de pare-feu réseau améliorées par des balises sécurisées permettent de regrouper et de mettre à jour simultanément plusieurs règles, toutes régies par les contrôles d'accès IAM. Par rapport aux règles de pare-feu VPC qui utilisent des tags réseau, les tags sécurisés offrent des fonctionnalités de sécurité et de gestion améliorées dans les stratégies de pare-feu réseau.

Héritage hiérarchique des ressources pour une gestion efficace

Les

tags sécurisés héritent des ressources parentes dans la hiérarchie Google Cloud . Cet héritage simplifie la gestion en vous permettant de définir des balises à un niveau supérieur (par exemple, au niveau de l'organisation) afin qu'elles se propagent automatiquement aux ressources enfants, telles que les dossiers et les projets. Cela permet d'assurer une cohérence dans le taggage au sein de votre organisation. Pour en savoir plus, consultez la section Héritage de balises.

Amélioration de la gestion réseau entre les VPC partagés et appairés

Les tags réseau identifient les sources ou les cibles dans les règles de pare-feu d'un réseau VPC spécifié. Lorsqu'ils sont utilisés pour spécifier une source pour une règle d'entrée dans une stratégie de pare-feu de réseau, les tags sécurisés identifient les sources de trafic à la fois dans le réseau VPC du cluster Dataproc et dans les réseaux VPC appairés. Lorsque des tags sécurisés sont utilisés pour spécifier des cibles pour des règles d'entrée ou de sortie, ils n'identifient des cibles que dans leur propre réseau VPC.

Pour en savoir plus sur les différences entre les tags Resource Manager et les tags réseau, consultez la section Comparaison des tags et des tags réseau.

Pour en savoir plus sur les différences entre les tags et les libellés Resource Manager, consultez la section Tags et libellés.

Limites

Vous ne pouvez associer des tags sécurisés à un cluster qu'au moment de sa création.
La mise à jour et la suppression des balises sécurisées ne sont pas acceptées.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer et associer des balises sécurisées à un cluster Dataproc, demandez à votre administrateur de vous accorder les rôles IAM suivants sur les balises Resource Manager:

Créer des tags : Administrateur de tags (roles/resourcemanager.tagAdmin)
Associer des tags à un cluster : Lecteur de tags (roles/resourcemanager.tagViewer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un tag sécurisé

Pour associer un tag sécurisé à un cluster Dataproc, vous devez d'abord créer un tag Resource Manager avec une clé spécifiée et une ou plusieurs valeurs.

Associer des tags sécurisés au cluster Dataproc

Créez un cluster Dataproc, en spécifiant la paire de tags sécurisés TAG_KEY:TAG_VALUE.

Google Cloud CLI

Pour créer un cluster Dataproc et ajouter une balise sécurisée à celui-ci, exécutez la commande gcloud dataproc clusters create avec l'option --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Remplacez les éléments suivants :

CLUSTER_NAME : nom du nouveau cluster
REGION: région Compute Engine dans laquelle placer le cluster.
TAG_KEY et TAG_VALUE: clé et valeur du tag Resource Manager que vous avez créé. Vous pouvez spécifier une liste séparée par des virgules pour associer plusieurs balises sécurisées composées de la même clé avec différentes valeurs, ou de différentes clés et valeurs.

REST

Pour créer un cluster Dataproc et y ajouter une balise sécurisée, incluez le champ resourceManagerTags dans une requête clusters.create.

Voici un exemple de corps JSON d'une requête cluster.create qui inclut l'association d'une balise sécurisée "TAG_KEY":"TAG_VALUE" au cluster:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}