Utiliser des tags sécurisés

Ce document explique comment créer des tags sécurisés, les associer à un cluster Dataproc, puis les utiliser pour sécuriser la mise en réseau du cluster.

Avantages de l'utilisation de tags sécurisés

Les tags sécurisés présentent des différences essentielles par rapport aux tags réseau, y compris le contrôle des accès Identity and Access Management, l'héritage des tags et la liaison à un seul réseau VPC, ce qui génère les avantages clés suivants :

Contrôle des accès et sécurité améliorés
Les tags sécurisés résolvent les problèmes de sécurité inhérents aux tags réseau en fournissant un accès contrôlé par IAM. Contrairement aux tags réseau, qui peuvent être modifiés par un utilisateur ayant accès au cluster, les tags sécurisés empêchent toute modification non autorisée des tags et les modifications indésirables qui en résultent dans les règles de pare-feu.

L'utilisation de tags sécurisés dans les stratégies IAM permet un contrôle des accès conditionnel, renforçant ainsi la sécurité en accordant ou en refusant des rôles en fonction de la présence de tags.

Gestion simplifiée du pare-feu
Les stratégies de pare-feu réseau globales et régionales sont compatibles avec les tags sécurisés. Cette compatibilité simplifie la gestion du pare-feu dans Dataproc sur les réseaux partagés.

Contrairement aux règles de pare-feu VPC, les stratégies de pare-feu réseau améliorées par des tags sécurisés permettent de regrouper et de mettre à jour simultanément plusieurs règles de manière efficace, le tout régi par des contrôles d'accès IAM. Par rapport aux règles de pare-feu VPC qui utilisent des tags réseau, les tags sécurisés offrent des fonctionnalités de sécurité et de gestion améliorées dans les stratégies de pare-feu réseau.

Héritage hiérarchique des ressources pour une gestion efficace
Les tags sécurisés héritent des ressources parentes dans la Google Cloud hiérarchie. Cet héritage simplifie la gestion en vous permettant de définir des tags à un niveau supérieur (par exemple, au niveau de l'organisation) afin qu'ils se propagent automatiquement aux ressources enfants, telles que les dossiers et les projets. Cela permet un balisage cohérent dans toute votre organisation. Pour en savoir plus, consultez la section Héritage des tags.

Gestion améliorée du réseau sur les VPC partagés et appairés
Les tags réseau identifient les sources ou les cibles dans les règles de pare-feu d'un réseau VPC spécifié. Lorsqu'ils sont utilisés pour spécifier une source pour une règle d'entrée dans une stratégie de pare-feu réseau, les tags sécurisés identifient les sources de trafic à la fois dans le réseau VPC du cluster Dataproc et dans les réseaux VPC appairés. Lorsque des tags sécurisés sont utilisés pour spécifier des cibles pour des règles d'entrée ou de sortie, ils n'identifient les cibles que dans leur propre réseau VPC.

Pour en savoir plus sur les différences entre les tags Resource Manager et les tags réseau, consultez la section Comparaison des tags et des tags réseau.

Pour en savoir plus sur les différences entre les tags Resource Manager et les étiquettes, consultez Tags et étiquettes.

Avant de commencer

Certains rôles IAM sont requis pour exécuter les exemples de cette page. En fonction des règles de l'organisation, ces rôles peuvent déjà avoir été attribués. Pour vérifier les attributions de rôles, consultez la section Devez-vous attribuer des rôles ?.

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Rôle utilisateur

Pour obtenir les autorisations nécessaires pour créer des tags, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de tags (roles/resourcemanager.tagAdmin) sur les tags Resource Manager. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôle du compte de service

Pour vous assurer que le compte de service de l'agent de service Dataproc dispose des autorisations nécessaires pour associer des tags sécurisés à un cluster Dataproc, demandez à votre administrateur d'accorder au compte de service de l'agent de service Dataproc le rôle Agent de service Dataproc (roles/dataproc.serviceAgent) rôle IAM sur le projet.

Limites

  • Vous ne pouvez associer des tags sécurisés à un cluster qu'au moment de sa création.
  • La mise à jour et la suppression des tags sécurisés ne sont pas compatibles.

Créer un tag sécurisé

Pour associer un tag sécurisé à un cluster Dataproc, vous devez d'abord créer un tag Resource Manager avec une clé spécifiée et une ou plusieurs valeurs.

Associer des tags sécurisés au cluster Dataproc

Créez un cluster Dataproc en spécifiant la paire de tags sécurisés TAG_KEY:TAG_VALUE.

Google Cloud CLI

Pour créer un cluster Dataproc et y ajouter un tag sécurisé au cluster, exécutez la commande gcloud Dataproc clusters create avec l'--resource-manager-tags option.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Remplacez les éléments suivants :

REST

Pour créer un cluster Dataproc et y ajouter un tag sécurisé au cluster, incluez le resourceManagerTags champ dans une clusters.create.

Voici un exemple de corps JSON d'une requête cluster.create qui inclut l'association d'un "TAG_KEY":"TAG_VALUE" tag sécurisé au cluster :

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Remplacez les éléments suivants :

Utiliser des tags sécurisés pour la mise en réseau du cluster

Après avoir associé des tags sécurisés à un cluster, utilisez-les pour configurer la mise en réseau du cluster :

Étape suivante