Usar tags seguras

Este documento descreve como criar tags seguras, anexá-las a um cluster do Dataproc e usar as tags para proteger a rede do cluster.

Benefícios do uso de tags seguras

As tags seguras têm diferenças importantes em relação às tags de rede, incluindo o controle de acesso do IAM, a herança de tags e a vinculação de uma única rede VPC, que geram os seguintes benefícios:

Controle de acesso e segurança aprimorados
As tags seguras resolvem os problemas de segurança inerentes às tags de rede, fornecendo acesso controlado pelo IAM. Ao contrário das tags de rede, que podem ser modificadas por um usuário com acesso ao cluster, as tags seguras impedem a modificação não autorizada de tags e as mudanças indesejadas nas regras de firewall.

O uso de tags seguras nas políticas do IAM ativa o controle de acesso condicional, fortalecendo a segurança ao conceder ou negar papéis com base na presença de tags.

Gerenciamento simplificado de firewall
As políticas de firewall de rede global e regional são compatíveis com tags seguras. Esse suporte simplifica o gerenciamento de firewall no Dataproc em redes compartilhadas.

Ao contrário das regras de firewall da VPC, as políticas de firewall de rede aprimoradas por tags seguras permitem o agrupamento eficiente e a atualização simultânea de várias regras, todas governadas pelos controles de acesso do IAM. Em comparação com as regras de firewall da VPC que usam tags de rede, as tags seguras oferecem recursos aprimorados de segurança e gerenciamento nas políticas de firewall de rede.

Herança hierárquica de recursos para um gerenciamento eficiente
As tags seguras são herdadas de recursos pai na hierarquia Google Cloud . Essa herança simplifica o gerenciamento, permitindo que você defina tags em um nível mais alto, por exemplo, no nível da organização, para que elas sejam propagadas automaticamente para recursos filhos, como pastas e projetos. Isso permite a inclusão de tags consistentes em toda a organização. Para mais informações, consulte Herança de tags.

Gerenciamento de rede aprimorado em VPCs compartilhadas e pareadas
As tags de rede identificam origens ou destinos em regras de firewall em uma rede VPC especificada. Quando usadas para especificar uma origem de uma regra de entrada em uma política de firewall de rede, as tags seguras identificam as origens de tráfego na rede VPC do cluster do Dataproc e nas redes VPC com peering. Quando tags seguras são usadas para especificar destinos de regras de entrada ou saída, elas identificam destinos apenas na própria rede VPC.

Para saber mais sobre as diferenças entre tags do Resource Manager e tags de rede, consulte Comparação entre tags e tags de rede.

Para saber mais sobre as diferenças entre tags e rótulos do Resource Manager, consulte Tags e rótulos.

Limitações

  • Só é possível anexar tags seguras a um cluster no momento da criação dele.
  • Não é possível atualizar e excluir tags seguras.

Funções exigidas

Para receber as permissões necessárias para criar e anexar tags seguras a um cluster do Dataproc, peça ao administrador para conceder a você os seguintes papéis do IAM nas tags do Gerenciador de recursos:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma tag segura

Para anexar uma tag segura a um cluster do Dataproc, primeiro é necessário criar uma tag do Resource Manager com uma chave especificada e um ou mais valores.

Anexar tags seguras ao cluster do Dataproc

Crie um cluster do Dataproc, especificando o par de tag segura TAG_KEY:TAG_VALUE.

Google Cloud CLI

Para criar um cluster do Dataproc e adicionar uma tag segura a ele, execute o comando gcloud dataproc clusters create com a flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Substitua:

  • CLUSTER_NAME: o nome do novo cluster;

  • REGION: a região do Compute Engine em que o cluster será localizado.

  • TAG_KEY e TAG_VALUE: a chave e um valor da tag do Gerenciador de recursos que você criou. É possível especificar uma lista separada por vírgulas para anexar várias tags seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

REST

Para criar um cluster do Dataproc e adicionar uma tag segura a ele, inclua o campo resourceManagerTags como parte de uma solicitação clusters.create.

Confira a seguir um exemplo de corpo JSON de uma solicitação cluster.create que inclui a anexação de uma tag segura "TAG_KEY":"TAG_VALUE" ao cluster:

{
  "project_id":"PROJECT_ID",
  "config":{
    "master_config":{
      "num_instances":1,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "softwareConfig": {
      "imageVersion": "",
      "properties": {},
      "optionalComponents": []
    },
    "worker_config":{
      "num_instances":2,
      "machine_type_uri":"n1-standard-2",
      "image_uri":""
    },
    "gce_cluster_config":{
      "zone_uri":"us-central1-a",
      "resource_manager_tags":{
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto listado na seção Informações do projeto no Painel de controle do console do Google Cloud.

  • CLUSTER_NAME: o nome do novo cluster;

  • TAG_KEY e TAG_VALUE: a chave e um valor da tag do Resource Manager que você criou. É possível especificar várias tags seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

Usar tags seguras para rede de clusters

Depois de anexar tags seguras a um cluster, use as tags seguras para configurar a rede de cluster:

A seguir