Questo documento descrive come creare tag sicuri, collegarli a un cluster Dataproc e quindi utilizzarli per proteggere il networking del cluster.
Vantaggi dell'utilizzo di tag protetti
I tag sicuri presentano differenze fondamentali rispetto ai tag di rete, tra cui controllo dell'accesso dell'accesso Identity and Access Management, l'ereditarietà dei tag e il binding di una singola rete VPC, che producono i seguenti vantaggi chiave:
L'utilizzo di tag sicuri nei criteri IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza di tag.
A differenza delle regole firewall VPC, i criteri firewall di rete migliorati dai tag sicuri consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, il tutto regolato dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag sicuri offrono funzionalità di gestione e sicurezza migliorate all'interno dei criteri firewall di rete.
Per scoprire di più sulle differenze tra i tag Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.
Per scoprire di più sulle differenze tra tag e etichette di Resource Manager, consulta Tag ed etichette.
Limitazioni
- Puoi collegare tag sicuri a un cluster solo al momento della creazione del cluster.
- L'aggiornamento e l'eliminazione dei tag sicuri non sono supportati.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare e collegare tag sicuri a un cluster Dataproc, chiedi all'amministratore di concederti i seguenti ruoli IAM sui tag Resource Manager:
-
Crea tag:
Tag Administrator (
roles/resourcemanager.tagAdmin
) -
Allegare tag a un cluster:
Visualizzatore tag (
roles/resourcemanager.tagViewer
)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare un tag protetto
Per collegare un tag sicuro a un cluster Dataproc, devi prima creare un tag Resource Manager con una chiave specificata e uno o più valori.
Collega tag sicuri al cluster Dataproc
Crea un cluster Dataproc specificando la coppia di tag sicuri
TAG_KEY:TAG_VALUE
.
Google Cloud CLI
Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, esegui il comando gcloud Dataproc clusters create con il flag --resource-manager-tags
.
gcloud dataproc clusters create CLUSTER_NAME \
--region REGION \
--resource-manager-tags=TAG_KEY=TAG_VALUE
Sostituisci quanto segue:
CLUSTER_NAME: il nome del nuovo cluster.
REGION: la regione Compute Engine in cui si trova il cluster.
TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare un elenco separato da virgole per allegare più tag sicuri composti dalla stessa chiave con valori diversi o da chiavi e valori diversi.
REST
Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, includi il campo resourceManagerTags
come parte di una richiesta clusters.create.
Di seguito è riportato un esempio di corpo JSON di una richiesta cluster.create
che
include l'allegato di un tag sicuro "TAG_KEY":"TAG_VALUE"
al cluster:
{
"clusterName": "CLUSTER_NAME",
"config": {
"gceClusterConfig": {
"resourceManagerTags": {
"TAG_KEY": "TAG_VALUE"
}
}
}
}
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto elencato nella sezione Informazioni sul progetto nella Google Cloud console Dashboard.
CLUSTER_NAME: il nome del nuovo cluster.
TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Puoi specificare più tag sicuri composti dalla stessa chiave con valori diversi o chiavi e valori diversi.
Utilizzare tag sicuri per il networking del cluster
Dopo aver collegato i tag protetti a un cluster, utilizzali per configurare il networking del cluster:
- Utilizza i tag sicuri per definire le regole firewall.
- Utilizza i tag sicuri per concedere o negare in modo condizionale i ruoli IAM Visualizzatore tag e Amministratore tag necessari per creare e collegare tag sicuri a un cluster.
Passaggi successivi
- Scopri di più sui tag.
- Scopri di più sui tag di rete.