"Serviço gerenciado para Apache Spark" é o novo nome do produto antes conhecido como "Dataproc no Compute Engine" (implantação de cluster) e "Google Cloud Serverless para Apache Spark" (implantação sem servidor).

Gerenciamento de frotas com políticas personalizadas da organização

É possível usar o serviço de políticas da organização com restrições personalizadas para aplicar configurações específicas nos clusters do Managed Service for Apache Spark da sua organização. Essa abordagem centralizada ajuda a garantir a conformidade, controlar custos e padronizar sua frota do Managed Service for Apache Spark.

Este guia mostra como criar e aplicar uma política personalizada da organização para clusters do Managed Service for Apache Spark. Para mais informações, consulte Introdução à política da organização.

Antes de começar

Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Make sure that you have the following role or roles on the project: Organization Policy Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
Click Grant access.
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
Click Select a role, then search for the role.
To grant additional roles, click Add another role and add each additional role.
Click Save.

Instale a Google Cloud CLI.

Observação: se você já tiver instalado a CLI gcloud anteriormente, verifique se você tem a versão mais recente executando gcloud components update.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Make sure that you have the following role or roles on the project: Organization Policy Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
Click Grant access.
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
Click Select a role, then search for the role.
To grant additional roles, click Add another role and add each additional role.
Click Save.

Instale a Google Cloud CLI.

Observação: se você já tiver instalado a CLI gcloud anteriormente, verifique se você tem a versão mais recente executando gcloud components update.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Aplicar uma restrição personalizada

As etapas a seguir mostram como aplicar um requisito de segurança comum: garantir que todos os novos clusters do Managed Service for Apache Spark tenham o Kerberos ativado.

Defina a restrição personalizada.

Crie um arquivo YAML com o seguinte conteúdo:

name: organizations/ORGANIZATION_ID/customConstraints/custom.dataprocKerberos
resourceTypes:
-   dataproc.googleapis.com/Cluster
methodTypes:
-   CREATE
condition: "resource.config.securityConfig.kerberosConfig.enableKerberos == true"
actionType: ALLOW
displayName: Cluster must have Kerberos enabled.

Substitua ORGANIZATION_ID pelo ID da organização.

Defina a restrição personalizada para que ela fique disponível para sua organização.
```
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
```
Substitua CONSTRAINT_PATH pelo caminho do arquivo de restrição YAML.
Crie uma política da organização que aplique a restrição.
1. Crie outro arquivo YAML com o seguinte conteúdo:
```
name: projects/PROJECT_ID/policies/custom.dataprocKerberos
spec:
  rules:
    -   enforce: true
```
Substitua PROJECT_ID pelo ID do projeto a que a política será aplicada. Também é possível aplicar essa política no nível da pasta ou da organização.
Aplique a política.
```
gcloud org-policies set-policy POLICY_PATH
```
Substitua POLICY_PATH pelo caminho do arquivo de política YAML.

Depois de aplicar a política, uma tentativa de criar um cluster do Managed Service for Apache Spark no recurso especificado sem o Kerberos ativado falha.

Casos de uso de restrições personalizadas

É possível criar restrições personalizadas para aplicar uma ampla variedade de políticas à sua frota do Managed Service for Apache Spark. A aplicação de políticas de frota ajuda no controle de custos, na padronização e na segurança.

Exemplo: é possível exigir tipos de máquinas específicos ou impedir endereços IP públicos em nós de cluster.

A seguir

Leia a Introdução à política da organização.
Saiba mais sobre as restrições personalizadas.