Menggunakan tag aman

Dokumen ini menjelaskan cara membuat tag aman, melampirkannya ke cluster Dataproc, lalu menggunakan tag untuk mengamankan jaringan cluster.

Manfaat menggunakan tag aman

Tag aman memiliki perbedaan utama dari tag jaringan, termasuk kontrol akses Pengelolaan Akses dan Identitas, pewarisan tag, dan pengikatan jaringan VPC tunggal, yang menghasilkan manfaat utama berikut:

Kontrol akses dan keamanan yang ditingkatkan
Tag aman menyelesaikan masalah keamanan yang melekat pada tag jaringan dengan memberikan akses yang dikontrol IAM. Tidak seperti tag jaringan, yang dapat diubah oleh pengguna dengan akses cluster, tag aman mencegah perubahan tag yang tidak sah dan perubahan yang tidak diinginkan pada aturan firewall.

Penggunaan tag aman dalam kebijakan IAM memungkinkan kontrol akses bersyarat, yang memperkuat keamanan dengan memberikan atau menolak peran berdasarkan keberadaan tag.

Pengelolaan firewall yang disederhanakan
Kebijakan firewall jaringan global dan regional mendukung tag aman. Dukungan ini menyederhanakan pengelolaan firewall di Dataproc di seluruh jaringan bersama.

Tidak seperti aturan firewall VPC, kebijakan firewall jaringan yang ditingkatkan dengan tag aman memungkinkan pengelompokan yang efisien dan pembaruan simultan beberapa aturan, semuanya diatur oleh kontrol akses IAM. Dibandingkan dengan aturan firewall VPC yang menggunakan tag jaringan, tag aman memberikan kemampuan keamanan dan pengelolaan yang ditingkatkan dalam kebijakan firewall jaringan.

Pewarisan resource hierarkis untuk pengelolaan yang efisien
Tag aman diwarisi dari resource induk dalam hierarki Google Cloud . Pewarisan ini menyederhanakan pengelolaan dengan memungkinkan Anda menentukan tag di tingkat yang lebih tinggi—misalnya, di tingkat organisasi—sehingga tag tersebut otomatis di-propagate ke resource turunan, seperti folder dan project. Hal ini memungkinkan pemberian tag yang konsisten di seluruh organisasi Anda. Untuk informasi selengkapnya, lihat Pewarisan tag.

Peningkatan pengelolaan jaringan di seluruh VPC bersama dan VPC yang di-peering
Tag jaringan mengidentifikasi sumber atau target dalam aturan firewall dalam jaringan VPC yang ditentukan. Tag aman, jika digunakan untuk menentukan sumber aturan masuk dalam kebijakan firewall jaringan, mengidentifikasi sumber traffic di jaringan VPC cluster Dataproc dan jaringan VPC yang di-peering. Saat tag aman digunakan untuk menentukan target aturan masuk atau keluar, tag tersebut hanya mengidentifikasi target dalam jaringan VPC-nya sendiri.

Untuk mempelajari lebih lanjut perbedaan antara tag Resource Manager dan tag jaringan, lihat Perbandingan Tag dan tag jaringan.

Untuk mempelajari lebih lanjut perbedaan antara tag dan label Resource Manager, lihat Tag dan label.

Batasan

  • Anda hanya dapat melampirkan tag aman ke cluster pada saat pembuatan cluster.
  • Pembaruan dan penghapusan tag aman tidak didukung.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna membuat dan melampirkan tag aman ke cluster Dataproc, minta administrator untuk memberi Anda peran IAM berikut pada tag Resource Manager:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat tag yang aman

Untuk melampirkan tag aman ke cluster Dataproc, Anda harus terlebih dahulu membuat tag Resource Manager dengan kunci yang ditentukan dan satu atau beberapa nilai.

Melampirkan tag aman ke cluster Dataproc

Buat cluster Dataproc, dengan menentukan pasangan tag TAG_KEY:TAG_VALUE yang aman.

Google Cloud CLI

Untuk membuat cluster Dataproc dan menambahkan tag aman ke cluster, jalankan perintah gcloud Dataproc clusters create dengan flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster baru.

  • REGION: Region Compute Engine tempat cluster akan ditempatkan.

  • TAG_KEY dan TAG_VALUE: kunci dan nilai tag Resource Manager yang Anda buat. Anda dapat menentukan daftar yang dipisahkan koma untuk melampirkan beberapa tag aman yang terdiri dari kunci yang sama dengan nilai yang berbeda, atau kunci dan nilai yang berbeda.

REST

Untuk membuat cluster Dataproc dan menambahkan tag aman ke cluster, sertakan kolom resourceManagerTags sebagai bagian dari permintaan clusters.create.

Berikut adalah contoh isi JSON permintaan cluster.create yang menyertakan tag aman "TAG_KEY":"TAG_VALUE" ke cluster:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Ganti kode berikut:

  • PROJECT_ID: project ID Anda yang tercantum di bagian Project info di Dashboard konsol Google Cloud.

  • CLUSTER_NAME: nama cluster baru.

  • TAG_KEY dan TAG_VALUE: kunci dan nilai tag Resource Manager yang Anda buat. Anda dapat menentukan beberapa tag aman yang terdiri dari kunci yang sama dengan nilai yang berbeda atau kunci dan nilai yang berbeda.

Menggunakan tag aman untuk jaringan cluster

Setelah melampirkan tag aman ke cluster, gunakan tag aman untuk mengonfigurasi jaringan cluster:

Langkah berikutnya