Utilizzare tag protetti

Questo documento descrive come creare tag sicuri, collegarli a un cluster Dataproc e utilizzarli per proteggere la rete del cluster.

Vantaggi dell'utilizzo di tag sicuri

I tag sicuri presentano differenze fondamentali rispetto ai tag di rete, tra cui il controllo dell'accesso di Identity and Access Management, l'eredità dei tag e il collegamento a una singola rete VPC, che offrono i seguenti vantaggi principali:

Controllo dell'accesso e sicurezza avanzati
I tag sicuri risolvono i problemi di sicurezza insiti nei tag di rete fornendo accesso controllato dall'IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag sicuri impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole del firewall.

L'utilizzo di tag sicuri nei criteri IAM consente di attivare il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza di tag.

Gestione semplificata del firewall
I criteri firewall di rete globali e regionali supportano i tag sicuri. Questo supporto semplifica la gestione del firewall in Dataproc sulle reti condivise.

A differenza delle regole firewall VPC, i criteri firewall di rete migliorati con i tag sicuri consentono di raggruppare in modo efficiente e aggiornare contemporaneamente più regole, tutte regolate dai controlli di accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag sicuri offrono funzionalità di sicurezza e gestione migliorate all'interno dei criteri firewall di rete.

Eredità gerarchica delle risorse per una gestione efficiente
I
tag sicuri vengono ereditati dalle risorse principali all'interno della Google Cloud gerarchia. Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore, ad esempio a livello di organizzazione, in modo che vengano propagati automaticamente alle risorse secondarie, come cartelle e progetti. In questo modo, il tagging sarà coerente in tutta l'organizzazione. Per ulteriori informazioni, consulta la sezione Eredità dei tag.

Gestione della rete migliorata nelle VPC condivise e con peering
I tag di rete identificano le origini o le destinazioni nelle regole del firewall all'interno di una rete VPC specificata. I tag sicuri, se utilizzati per specificare un'origine per una regola di ingresso in un criterio firewall di rete, identificano le origini di traffico sia nella rete VPC del cluster Dataproc sia nelle reti VPC con peering. Quando i tag sicuri vengono utilizzati per specificare i target per le regole di ingresso o di uscita, identificano i target solo all'interno della propria rete VPC.

Per scoprire di più sulle differenze tra i tag di Resource Manager e i tag di rete, consulta Confronto tra i tag e i tag di rete.

Per scoprire di più sulle differenze tra i tag e le etichette di Resource Manager, consulta Tag ed etichette.

Limitazioni

  • Puoi collegare i tag sicuri a un cluster solo al momento della creazione del cluster.
  • L'aggiornamento e l'eliminazione dei tag sicuri non sono supportati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare e associare tag sicuri a un cluster Dataproc, chiedi all'amministratore di concederti i seguenti ruoli IAM per i tag Resource Manager:

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un tag sicuro

Per associare un tag sicuro a un cluster Dataproc, devi prima creare un tag Resource Manager con una chiave specificata e uno o più valori.

Collega tag sicuri al cluster Dataproc

Crea un cluster Dataproc specificando la coppia di tag sicuriTAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, esegui il comando gcloud Dataproc clusters create con il flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.

  • REGION: la regione Compute Engine in cui posizionare il cluster.

  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare un elenco separato da virgole per associare più tag sicuri composti dalla stessa chiave con valori diversi o da chiavi e valori diversi.

REST

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, includi il campo resourceManagerTags all'interno di una richiesta clusters.create.

Di seguito è riportato un corpo JSON di esempio di una richiesta cluster.create che include l'attacco di un tag sicuro "TAG_KEY":"TAG_VALUE" al cluster:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto elencato nella sezione Informazioni sul progetto della dashboard della console Google Cloud.

  • CLUSTER_NAME: il nome del nuovo cluster.

  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare più tag sicuri composti dalla stessa chiave con valori diversi o chiavi e valori diversi.

Utilizzare tag sicuri per la rete del cluster

Dopo aver collegato i tag protetti a un cluster, utilizzali per configurare la rete del cluster:

Passaggi successivi