Utilizzare tag protetti

Questo documento descrive come creare tag sicuri, collegarli a un cluster Dataproc e quindi utilizzarli per proteggere il networking del cluster.

Vantaggi dell'utilizzo di tag protetti

I tag sicuri presentano differenze fondamentali rispetto ai tag di rete, tra cui controllo dell'accesso dell'accesso Identity and Access Management, l'ereditarietà dei tag e il binding di una singola rete VPC, che producono i seguenti vantaggi chiave:

Controllo dell'accesso e sicurezza migliorati
I tag protetti risolvono i problemi di sicurezza intrinseci dei tag di rete fornendo un accesso controllato da IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag sicuri impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole firewall.

L'utilizzo di tag sicuri nei criteri IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza di tag.

Gestione semplificata del firewall
I criteri firewall di rete globali e regionali supportano i tag sicuri. Questo supporto semplifica la gestione del firewall in Dataproc nelle reti condivise.

A differenza delle regole firewall VPC, i criteri firewall di rete migliorati dai tag sicuri consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, il tutto regolato dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag sicuri offrono funzionalità di gestione e sicurezza migliorate all'interno dei criteri firewall di rete.

Ereditarietà gerarchica delle risorse per una gestione efficiente
I tag sicuri vengono ereditati dalle risorse padre all'interno della Google Cloud gerarchia. Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore, ad esempio a livello di organizzazione, in modo che vengano propagati automaticamente alle risorse secondarie, come cartelle e progetti. In questo modo viene attivato un tagging coerente in tutta l'organizzazione. Per ulteriori informazioni, vedi Ereditarietà dei tag.

Gestione di rete migliorata in VPC condivisi e in peering
I tag di rete identificano origini o destinazioni nelle regole firewall all'interno di una rete VPC specificata. I tag sicuri, se utilizzati per specificare un'origine per una regola di ingresso in una policy firewall di rete, identificano le origini del traffico sia nella rete VPC del cluster Dataproc sia nelle reti VPC con peering. Quando i tag sicuri vengono utilizzati per specificare le destinazioni per le regole di ingresso o di uscita, identificano le destinazioni solo all'interno della propria rete VPC.

Per scoprire di più sulle differenze tra i tag Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.

Per scoprire di più sulle differenze tra tag e etichette di Resource Manager, consulta Tag ed etichette.

Limitazioni

  • Puoi collegare tag sicuri a un cluster solo al momento della creazione del cluster.
  • L'aggiornamento e l'eliminazione dei tag sicuri non sono supportati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare e collegare tag sicuri a un cluster Dataproc, chiedi all'amministratore di concederti i seguenti ruoli IAM sui tag Resource Manager:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un tag protetto

Per collegare un tag sicuro a un cluster Dataproc, devi prima creare un tag Resource Manager con una chiave specificata e uno o più valori.

Collega tag sicuri al cluster Dataproc

Crea un cluster Dataproc specificando la coppia di tag sicuri TAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, esegui il comando gcloud Dataproc clusters create con il flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.

  • REGION: la regione Compute Engine in cui si trova il cluster.

  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare un elenco separato da virgole per allegare più tag sicuri composti dalla stessa chiave con valori diversi o da chiavi e valori diversi.

REST

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, includi il campo resourceManagerTags come parte di una richiesta clusters.create.

Di seguito è riportato un esempio di corpo JSON di una richiesta cluster.create che include l'allegato di un tag sicuro "TAG_KEY":"TAG_VALUE" al cluster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto elencato nella sezione Informazioni sul progetto nella Google Cloud console Dashboard.

  • CLUSTER_NAME: il nome del nuovo cluster.

  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare più tag sicuri composti dalla stessa chiave con valori diversi o chiavi e valori diversi.

Utilizzare tag sicuri per il networking del cluster

Dopo aver collegato i tag protetti a un cluster, utilizzali per configurare il networking del cluster:

Passaggi successivi