Usar etiquetas seguras

En este documento se describe cómo crear etiquetas seguras, adjuntarlas a un clúster de Dataproc y, a continuación, usarlas para proteger la red del clúster.

Ventajas de usar etiquetas seguras

Las etiquetas seguras tienen diferencias clave con las etiquetas de red, como el control de acceso de Gestión de Identidades y Accesos, la herencia de etiquetas y el enlace a una sola red de VPC, lo que ofrece las siguientes ventajas principales:

Control de acceso y seguridad mejorados
Las etiquetas seguras resuelven los problemas de seguridad inherentes a las etiquetas de red proporcionando acceso controlado por la gestión de identidades y accesos. A diferencia de las etiquetas de red, que puede modificar un usuario con acceso al clúster, las etiquetas seguras impiden que se modifiquen las etiquetas sin autorización y que se produzcan cambios no deseados en las reglas de cortafuegos.

El uso de etiquetas seguras en las políticas de gestión de identidades y accesos permite el control de acceso condicional, lo que refuerza la seguridad al conceder o denegar roles en función de la presencia de etiquetas.

Gestión de cortafuegos simplificada
Las políticas de cortafuegos de red globales y regionales admiten etiquetas seguras. Esta compatibilidad simplifica la gestión de cortafuegos en Dataproc en redes compartidas.

A diferencia de las reglas de cortafuegos de VPC, las políticas de cortafuegos de red mejoradas con etiquetas seguras permiten agrupar y actualizar simultáneamente varias reglas de forma eficiente, todo ello regido por los controles de acceso de gestión de identidades y accesos. En comparación con las reglas de cortafuegos de VPC, que utilizan etiquetas de red, las etiquetas seguras ofrecen funciones de seguridad y gestión mejoradas en las políticas de cortafuegos de red.

Herencia de recursos jerárquica para una gestión eficiente
Las
etiquetas seguras se heredan de los recursos superiores de la Google Cloud jerarquía. Esta herencia simplifica la gestión, ya que te permite definir etiquetas en un nivel superior (por ejemplo, en el nivel de organización) para que se propaguen automáticamente a los recursos secundarios, como carpetas y proyectos. De esta forma, se consigue un etiquetado coherente en toda la organización. Para obtener más información, consulta Herencia de etiquetas.

Gestión de redes mejorada en VPCs compartidas y emparejadas
Las etiquetas de red identifican orígenes o destinos en las reglas de cortafuegos de una red de VPC específica. Las etiquetas seguras, cuando se usan para especificar un origen de una regla de entrada en una política de cortafuegos de red, identifican los orígenes del tráfico tanto en la red de VPC del clúster de Dataproc como en las redes de VPC emparejadas. Cuando se usan etiquetas seguras para especificar destinos de reglas de entrada o salida, solo identifican destinos dentro de su propia red de VPC.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager, consulta Etiquetas.

Limitaciones

  • Solo puedes adjuntar etiquetas seguras a un clúster en el momento de crearlo.
  • No se admite la actualización ni la eliminación de etiquetas seguras.

Roles obligatorios

Para obtener los permisos que necesitas para crear y adjuntar etiquetas seguras a un clúster de Dataproc, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en las etiquetas de Resource Manager:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear una etiqueta segura

Para adjuntar una etiqueta segura a un clúster de Dataproc, primero debe crear una etiqueta de Resource Manager con una clave especificada y uno o varios valores.

Adjuntar etiquetas seguras al clúster de Dataproc

Crea un clúster de Dataproc y especifica el par de etiquetas seguras TAG_KEY:TAG_VALUE.

Google Cloud CLI

Para crear un clúster de Dataproc y añadirle una etiqueta segura, ejecuta el comando gcloud Dataproc clusters create con la marca --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Haz los cambios siguientes:

  • CLUSTER_NAME: el nombre del nuevo clúster.

  • REGION: la región de Compute Engine en la que se ubicará el clúster.

  • TAG_KEY y TAG_VALUE: la clave y un valor de la etiqueta de Resource Manager que has creado. Puede especificar una lista separada por comas para adjuntar varias etiquetas seguras compuestas por la misma clave con valores diferentes o por claves y valores diferentes.

REST

Para crear un clúster de Dataproc y añadirle una etiqueta segura, incluye el campo resourceManagerTags en una solicitud clusters.create.

A continuación, se muestra un ejemplo del cuerpo JSON de una solicitud cluster.create que incluye la asignación de una etiqueta segura "TAG_KEY":"TAG_VALUE" al clúster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID de tu proyecto, que se indica en la sección Información del proyecto del panel de control de la consola de Google Cloud .

  • CLUSTER_NAME: el nombre del nuevo clúster.

  • TAG_KEY y TAG_VALUE: la clave y un valor de la etiqueta de Resource Manager que has creado. Puede especificar varias etiquetas seguras compuestas por la misma clave con diferentes valores o por diferentes claves y valores.

Usar etiquetas seguras para la creación de redes de clústeres

Después de adjuntar etiquetas seguras a un clúster, úsalas para configurar la red del clúster:

Siguientes pasos