Usar tags seguras

Este documento descreve como criar tags seguras, anexá-las a um cluster do Dataproc e usar as tags para proteger a rede do cluster.

Benefícios de usar tags seguras

As tags seguras têm diferenças importantes em relação às tags de rede, incluindo controle de acesso do Identity and Access Management, herança de tags e vinculação única de rede VPC, que produzem os seguintes benefícios principais:

Controle de acesso e segurança aprimorados
As tags seguras resolvem os problemas de segurança inerentes às tags de rede, fornecendo acesso controlado pelo IAM. Ao contrário das tags de rede, que podem ser modificadas por um usuário com acesso ao cluster, as tags seguras impedem a modificação não autorizada de tags e as mudanças indesejadas resultantes nas regras de firewall.

O uso de tags seguras em políticas do IAM permite o controle de acesso condicional, fortalecendo a segurança ao conceder ou negar papéis com base na presença de tags.

Gerenciamento simplificado de firewall
As políticas de firewall de rede global e regional são compatíveis com tags seguras. Esse suporte simplifica o gerenciamento de firewall no Dataproc em redes compartilhadas.

Ao contrário das regras de firewall da VPC, as políticas de firewall de rede aprimoradas por tags seguras permitem o agrupamento eficiente e a atualização simultânea de várias regras, tudo governado por controles de acesso do IAM. Em comparação com as regras de firewall da VPC que usam tags de rede, as tags seguras oferecem recursos aprimorados de segurança e gerenciamento nas políticas de firewall de rede.

Herança hierárquica de recursos para gerenciamento eficiente
As tags seguras herdam dos recursos pai na hierarquia Google Cloud . Essa herança simplifica o gerenciamento, permitindo que você defina tags em um nível mais alto, por exemplo, no nível da organização, para que elas sejam propagadas automaticamente para recursos filhos, como pastas e projetos. Isso permite a inclusão consistente de tags em toda a organização. Para mais informações, consulte Herança de tags.

Gerenciamento de rede aprimorado em VPCs compartilhadas e com peering
As tags de rede identificam origens ou destinos em regras de firewall em uma rede VPC especificada. Quando usadas para especificar uma origem de uma regra de entrada em uma política de firewall de rede, as tags seguras identificam origens de tráfego na rede VPC do cluster do Dataproc e nas redes VPC com peering. Quando tags seguras são usadas para especificar destinos de regras de entrada ou saída, elas identificam destinos apenas na própria rede VPC.

Para saber mais sobre as diferenças entre tags do Resource Manager e tags de rede, consulte Comparação entre tags e tags de rede.

Para saber mais sobre as diferenças entre tags e rótulos do Resource Manager, consulte Tags e rótulos.

Limitações

  • Só é possível anexar tags seguras a um cluster no momento da criação dele.
  • Não é possível atualizar nem excluir tags seguras.

Funções exigidas

Para receber as permissões necessárias para criar e anexar tags seguras a um cluster do Dataproc, peça ao administrador para conceder a você os seguintes papéis do IAM nas tags do Resource Manager:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma tag segura

Para anexar uma tag segura a um cluster do Dataproc, primeiro crie uma tag do Resource Manager com uma chave especificada e um ou mais valores.

Anexar tags seguras ao cluster do Dataproc

Crie um cluster do Dataproc, especificando o par de tag TAG_KEY:TAG_VALUE seguro.

Google Cloud CLI

Para criar um cluster do Dataproc e adicionar uma tag segura a ele, execute o comando gcloud Dataproc clusters create com a flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Substitua:

  • CLUSTER_NAME: o nome do novo cluster;

  • REGION: a região do Compute Engine em que o cluster será localizado.

  • TAG_KEY e TAG_VALUE: a chave e um valor da tag do Resource Manager que você criou. É possível especificar uma lista separada por vírgulas para anexar várias tags seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

REST

Para criar um cluster do Dataproc e adicionar uma tag segura a ele, inclua o campo resourceManagerTags como parte de uma solicitação clusters.create.

Confira a seguir um exemplo de corpo JSON de uma solicitação cluster.create que inclui a anexação de uma tag segura "TAG_KEY":"TAG_VALUE" ao cluster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto listado na seção Informações do projeto no painel do console Google Cloud .

  • CLUSTER_NAME: o nome do novo cluster;

  • TAG_KEY e TAG_VALUE: a chave e um valor da tag do Resource Manager que você criou. É possível especificar várias tags seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

Usar tags seguras para rede de clusters

Depois de anexar tags seguras a um cluster, use-as para configurar a rede do cluster:

A seguir