Cette page a été traduite par l'API Cloud Translation.

Utiliser des tags sécurisés

Ce document explique comment créer des tags sécurisés, les associer à un cluster Dataproc, puis les utiliser pour sécuriser la mise en réseau du cluster.

Avantages de l'utilisation de tags sécurisés

Les tags sécurisés présentent des différences majeures par rapport aux tags réseau, y compris en termes de contrôle des accès avec Identity and Access Management, d'héritage des tags et de liaison à un seul réseau VPC. Ils offrent ainsi les principaux avantages suivants :

Contrôle des accès et sécurité renforcés

Les balises sécurisées résolvent les problèmes de sécurité inhérents aux balises réseau en fournissant un accès contrôlé par IAM. Contrairement aux tags réseau, qui peuvent être modifiés par un utilisateur ayant accès au cluster, les tags sécurisés empêchent toute modification non autorisée des tags et les modifications indésirables des règles de pare-feu qui en résultent.

L'utilisation de tags sécurisés dans les stratégies IAM permet un contrôle d'accès conditionnel, ce qui renforce la sécurité en accordant ou en refusant des rôles en fonction de la présence de tags.

Gestion simplifiée du pare-feu

Les stratégies de pare-feu réseau globales et régionales sont compatibles avec les tags sécurisés. Cette compatibilité simplifie la gestion des pare-feu dans Dataproc sur les réseaux partagés.

Contrairement aux règles de pare-feu VPC, les stratégies de pare-feu réseau améliorées par des tags sécurisés permettent de regrouper et de mettre à jour simultanément plusieurs règles, le tout régi par des contrôles d'accès IAM. Par rapport aux règles de pare-feu VPC qui utilisent des tags réseau, les tags sécurisés offrent des fonctionnalités de sécurité et de gestion améliorées dans les stratégies de pare-feu réseau.

Héritage hiérarchique des ressources pour une gestion efficace

Les tags sécurisés héritent des ressources parentes dans la hiérarchie Google Cloud . Cet héritage simplifie la gestion en vous permettant de définir des tags à un niveau supérieur (par exemple, au niveau de l'organisation) afin qu'ils se propagent automatiquement aux ressources enfants, telles que les dossiers et les projets. Cela permet d'appliquer un taggage cohérent dans toute votre organisation. Pour en savoir plus, consultez Héritage des tags.

Gestion améliorée des réseaux dans les VPC partagés et appairés

Les tags réseau identifient les sources ou les cibles dans les règles de pare-feu d'un réseau VPC spécifié. Lorsqu'ils sont utilisés pour spécifier une source pour une règle d'entrée dans une stratégie de pare-feu réseau, les tags sécurisés identifient les sources de trafic dans le réseau VPC du cluster Dataproc et dans les réseaux VPC appairés. Lorsque des tags sécurisés sont utilisés pour spécifier des cibles pour des règles d'entrée ou de sortie, ils n'identifient les cibles que dans leur propre réseau VPC.

Pour en savoir plus sur les différences entre les tags Resource Manager et les tags réseau, consultez Comparaison des tags et des tags réseau.

Pour en savoir plus sur les différences entre les tags et les libellés Resource Manager, consultez Tags et libellés.

Limites

Vous ne pouvez associer des tags sécurisés à un cluster qu'au moment de sa création.
La modification et la suppression des tags sécurisés ne sont pas acceptées.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer et associer des tags sécurisés à un cluster Dataproc, demandez à votre administrateur de vous accorder les rôles IAM suivants sur les tags Resource Manager :

Créer des tags : Administrateur de tags (roles/resourcemanager.tagAdmin)
Associer des tags à un cluster : Lecteur de tags (roles/resourcemanager.tagViewer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un tag sécurisé

Pour associer un tag sécurisé à un cluster Dataproc, vous devez d'abord créer un tag Resource Manager avec une clé spécifiée et une ou plusieurs valeurs.

Associer des tags sécurisés au cluster Dataproc

Créez un cluster Dataproc en spécifiant la paire TAG_KEY:TAG_VALUE de tags sécurisés.

Google Cloud CLI

Pour créer un cluster Dataproc et lui ajouter un tag sécurisé, exécutez la commande gcloud dataproc clusters create avec l'option --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Remplacez les éléments suivants :

CLUSTER_NAME : nom du nouveau cluster
REGION : région Compute Engine dans laquelle localiser le cluster.
TAG_KEY et TAG_VALUE : clé et valeur du tag Resource Manager que vous avez créé. Vous pouvez spécifier une liste séparée par des virgules pour associer plusieurs tags sécurisés comprenant la même clé avec des valeurs différentes, ou des clés et des valeurs différentes.

REST

Pour créer un cluster Dataproc et y ajouter un tag sécurisé, incluez le champ resourceManagerTags dans une requête clusters.create.

Voici un exemple de corps JSON d'une requête cluster.create qui inclut l'association d'un tag sécurisé "TAG_KEY":"TAG_VALUE" au cluster :

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Remplacez les éléments suivants :

PROJECT_ID : ID de votre projet, indiqué dans la section Informations sur le projet du tableau de bord de la console Google Cloud .
CLUSTER_NAME : nom du nouveau cluster
TAG_KEY et TAG_VALUE : clé et valeur du tag Resource Manager que vous avez créé. Vous pouvez spécifier plusieurs tags sécurisés composés de la même clé avec des valeurs différentes, ou de clés et valeurs différentes.