Sichere Tags verwenden

In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Dataproc-Cluster anhängen und dann die Tags verwenden, um die Clustervernetzung zu sichern.

Vorteile der Verwendung sicherer Tags

Sichere Tags unterscheiden sich in vielerlei Hinsicht von Netzwerktags, einschließlich der Zugriffssteuerung für Identity and Access Management, der Tag-Übernahme und der Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden Hauptvorteile:

Verbesserte Zugriffssteuerung und Sicherheit
Sichere Tags beheben die Sicherheitsprobleme, die mit Netzwerktags einhergehen, indem sie einen IAM gesteuerten Zugriff bieten. Im Gegensatz zu Netzwerktags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.

Durch die Verwendung sicherer Tags in IAM-Richtlinien wird eine bedingte Zugriffssteuerung ermöglicht, wodurch die Sicherheit erhöht wird, indem Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.

Vereinfachte Firewallverwaltung
Die globalen und regionalen Netzwerk-Firewall richtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Dataproc in freigegebenen Netzwerken.

Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen verwaltet werden. Im Vergleich zu VPC-Firewallregeln die Netzwerktags verwenden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungs funktionen in Netzwerk-Firewallrichtlinien.

Hierarchische Ressourcenübernahme für eine effiziente Verwaltung
Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen. Diese Übernahme vereinfacht die Verwaltung, da Sie Tags auf einer höheren Ebene definieren können, z. B. auf Organisationsebene, sodass sie automatisch an untergeordnete Ressourcen wie Ordner und Projekte weitergegeben werden. Dies ermöglicht eine einheitliche Tagging-Strategie in Ihrer gesamten Organisation. Weitere Informationen finden Sie unter Tag-Übernahme.

Verbesserte Netzwerkverwaltung in freigegebenen und per Peering verbundenen VPCs
Netzwerktags identifizieren Quellen oder Ziele in Firewallregeln innerhalb eines bestimmten VPC-Netzwerks. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, identifizieren sie Trafficquellen sowohl im VPC-Netzwerk des Dataproc-Clusters als auch in per Peering verbundenen VPC-Netzwerken. Wenn sichere Tags verwendet werden, um Ziele für Regeln für eingehenden oder ausgehenden Traffic anzugeben, identifizieren sie Ziele nur innerhalb ihres eigenen VPC-Netzwerks.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags, finden Sie unter Vergleich von Tags und Netzwerktags.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels, finden Sie unter Tags und Labels.

Hinweis

Bestimmte IAM-Rollen sind erforderlich, um die Beispiele auf dieser Seite auszuführen. Je nach Organisationsrichtlinien wurden diese Rollen möglicherweise bereits gewährt. Informationen zum Prüfen von Rollenzuweisungen finden Sie unter Müssen Sie Rollen zuweisen?.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Nutzerrolle

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) für Resource Manager-Tags zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Tags benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Dienstkontorolle

Damit das Dienstkonto des Dataproc-Dienst-Agents die erforderlichen Berechtigungen zum Anhängen sicherer Tags an einen Dataproc-Cluster hat, bitten Sie Ihren Administrator, dem Dienstkonto des Dataproc-Dienst-Agents die IAM-Rolle Dataproc-Dienst-Agent (roles/dataproc.serviceAgent) für das Projekt zuzuweisen.

Beschränkungen

  • Sie können sichere Tags nur beim Erstellen des Clusters an einen Cluster anhängen.
  • Das Aktualisieren und Löschen sicherer Tags wird nicht unterstützt.

Sicheres Tag erstellen

Wenn Sie ein sicheres Tag an einen Dataproc-Cluster anhängen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem bestimmten Schlüssel und einem oder mehreren Werten erstellen.

Sichere Tags an den Dataproc-Cluster anhängen

Erstellen Sie einen Dataproc-Cluster und geben Sie das Paar für das sichere Tag TAG_KEY:TAG_VALUE an.

Google Cloud CLI

Führen Sie den gcloud Dataproc clusters create Befehl mit dem --resource-manager-tags Flag aus, um einen Dataproc-Cluster zu erstellen und dem Cluster ein sicheres Tag hinzuzufügen.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

  • CLUSTER_NAME: der Name des neuen Clusters.

  • REGION: die Compute Engine-Region , in der sich der Cluster befinden soll.

  • TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des von Ihnen erstellten Resource Manager-Tags. Tag-Schlüssel müssen das Format tagKeys/123456789012 und Tag-Werte müssen das Format tagValues/987654321098 haben. Sie können eine durch Kommas getrennte Liste angeben, um mehrere sichere Tags anzuhängen, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte haben.

REST

Fügen Sie das resourceManagerTags Feld als Teil einer clusters.create Anfrage hinzu, um einen Dataproc-Cluster zu erstellen und dem Cluster ein sicheres Tag hinzuzufügen.

Das folgende Beispiel zeigt einen JSON-Text einer cluster.create Anfrage, die das Anhängen eines "TAG_KEY":"TAG_VALUE" sicheren Tags an den Cluster umfasst:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID, die im Abschnitt Projektinformationen im Google Cloud Dashboard der Konsole aufgeführt ist.

  • CLUSTER_NAME: der Name des neuen Clusters.

  • TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des von Ihnen erstellten Resource Manager-Tags. Sie können mehrere sichere Tags angeben, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte haben.

Sichere Tags für die Clustervernetzung verwenden

Nachdem Sie sichere Tags an einen Cluster angehängt haben, können Sie sie verwenden, um die Clustervernetzung zu konfigurieren:

Nächste Schritte