Sichere Tags verwenden

In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Dataproc-Cluster anhängen und dann verwenden, um die Clusternetzwerke zu schützen.

Vorteile der Verwendung sicherer Tags

Sichere Tags unterscheiden sich in wesentlichen Punkten von Netzwerk-Tags, darunter die IAM-Zugriffssteuerung (Identity and Access Management), die Tag-Übernahme und die Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden wichtigen Vorteile:

Verbesserte Zugriffssteuerung und Sicherheit
Sichere Tags beheben die Sicherheitsprobleme, die mit Netzwerk-Tags einhergehen, indem sie IAM-gesteuerten Zugriff ermöglichen. Im Gegensatz zu Netzwerktags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.

Durch die Verwendung sicherer Tags in IAM-Richtlinien wird die bedingte Zugriffssteuerung ermöglicht. Die Sicherheit wird dadurch erhöht, dass Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.

Vereinfachte Firewallverwaltung
Die globalen und regionalen Netzwerk-Firewallrichtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Dataproc in freigegebenen Netzwerken.

Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen geregelt werden. Im Vergleich zu VPC-Firewallregeln, in denen Netzwerk-Tags verwendet werden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.

Hierarchische Ressourcenübernahme für effiziente Verwaltung
Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen. Durch diese Übernahme wird die Verwaltung vereinfacht, da Sie Tags auf einer höheren Ebene definieren können, z. B. auf Organisationsebene, sodass sie automatisch auf untergeordnete Ressourcen wie Ordner und Projekte übertragen werden. So können Sie Tags in Ihrer gesamten Organisation einheitlich verwenden. Weitere Informationen finden Sie unter Tag-Übernahme.

Verbessertes Netzwerkmanagement für freigegebene und Peering-VPCs
Netzwerktags identifizieren Quellen oder Ziele in Firewallregeln innerhalb eines angegebenen VPC-Netzwerk. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, identifizieren sie Trafficquellen sowohl im VPC-Netzwerk des Dataproc-Clusters als auch in Peer-VPC-Netzwerken. Wenn sichere Tags verwendet werden, um Ziele für Regeln für eingehenden oder ausgehenden Traffic anzugeben, identifizieren sie Ziele nur im eigenen VPC-Netzwerk.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels finden Sie unter Tags und Labels.

Hinweise

Für die Ausführung der Beispiele auf dieser Seite sind bestimmte IAM-Rollen erforderlich. Abhängig von den Organisationsrichtlinien wurden diese Rollen möglicherweise bereits gewährt. Informationen zum Prüfen von Rollenzuweisungen finden Sie unter Müssen Sie Rollen zuweisen?.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Nutzerrolle

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) für Resource Manager-Tags zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Tags benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Dienstkontorolle

Damit das Dataproc-Dienst-Agent-Dienstkonto die erforderlichen Berechtigungen zum Anhängen sicherer Tags an einen Dataproc-Cluster hat, bitten Sie Ihren Administrator, dem Dataproc-Dienst-Agent-Dienstkonto im Projekt die IAM-Rolle Dataproc-Dienst-Agent (roles/dataproc.serviceAgent) zuzuweisen.

Beschränkungen

  • Sie können einem Cluster nur bei der Clustererstellung sichere Tags zuweisen.
  • Das Aktualisieren und Löschen von sicheren Tags wird nicht unterstützt.

Sicheres Tag erstellen

Wenn Sie einem Dataproc-Cluster ein sicheres Tag zuweisen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem angegebenen Schlüssel und einem oder mehreren Werten erstellen.

Sichere Tags an den Dataproc-Cluster anhängen

Erstellen Sie einen Dataproc-Cluster und geben Sie das sichere Tag-TAG_KEY:TAG_VALUE-Paar an.

Google Cloud CLI

Führen Sie zum Erstellen eines Dataproc-Clusters und zum Hinzufügen eines sicheren Tags zum Cluster den Befehl gcloud Dataproc clusters create mit dem Flag --resource-manager-tags aus.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

  • CLUSTER_NAME ist der Name des neuen Clusters.
  • REGION: die Compute Engine-Region, in der sich der Cluster befinden soll.
  • TAG_KEY und TAG_VALUE: Der Schlüssel und ein Wert des erstellten Resource Manager-Tags. Tag-Schlüssel können im Namespace-Format oder im Format ohne Namespace angegeben werden:
    • Namespace-Format: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.

      Beispiel:

      --resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
    • Format ohne Namespace: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID

      Beispiel:

      --resource-manager-tags=tagKeys/123456789012=tagValues/987654321098

REST

Wenn Sie einen Dataproc-Cluster erstellen und dem Cluster ein sicheres Tag hinzufügen möchten, fügen Sie das Feld resourceManagerTags als Teil einer clusters.create-Anfrage hinzu, die das Anhängen eines sicheren Tags "TAG_KEY":"TAG_VALUE" an den Cluster umfasst.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Ersetzen Sie Folgendes:

  • CLUSTER_NAME ist der Name des neuen Clusters.
  • TAG_KEY und TAG_VALUE: Der Schlüssel und ein Wert des erstellten Resource Manager-Tags. Tag-Schlüssel können im Namespace-Format oder im Format ohne Namespace angegeben werden:
    • Namespace-Format: PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.

      Beispiel:

      "test-project/testkey":"test-project/testkey/testvalue"
    • Format ohne Namespace: tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID

      Beispiel:

      "tagKeys/123456789012":"tagValues/987654321098"

Sichere Tags für die Clustervernetzung verwenden

Nachdem Sie einem Cluster sichere Tags zugewiesen haben, können Sie damit die Clusternetzwerke konfigurieren:

Nächste Schritte