Utiliser des tags sécurisés

Ce document explique comment créer des tags sécurisés, les associer à un cluster Dataproc, puis les utiliser pour sécuriser la mise en réseau du cluster.

Avantages de l'utilisation de tags sécurisés

Les tags sécurisés présentent des différences importantes par rapport aux tags réseau, y compris le contrôle des accès du Identity and Access Management, l'héritage des tags et la liaison à un seul réseau VPC. Ces différences offrent les principaux avantages suivants :

Contrôle des accès et sécurité renforcés

Les tags sécurisés résolvent les problèmes de sécurité inhérents aux tags réseau en fournissant un accès contrôlé par IAM. Contrairement aux tags réseau, qui peuvent être modifiés par un utilisateur ayant accès au cluster, les tags sécurisés empêchent toute modification non autorisée des tags et les modifications indésirables des règles de pare-feu qui en résultent.

L'utilisation de tags sécurisés dans les stratégies IAM permet un contrôle d'accès conditionnel, ce qui renforce la sécurité en accordant ou en refusant des rôles en fonction de la présence de tags.

Gestion simplifiée du pare-feu

Les stratégies de pare-feu réseau mondiales et régionales sont compatibles avec les tags sécurisés. Cette compatibilité simplifie la gestion des pare-feu dans Dataproc sur les réseaux partagés.

Contrairement aux règles de pare-feu VPC, les stratégies de pare-feu réseau améliorées par des tags sécurisés permettent de regrouper et de mettre à jour simultanément plusieurs règles, le tout régi par des contrôles d'accès IAM. Par rapport aux règles de pare-feu VPC qui utilisent des tags réseau, les tags sécurisés offrent des fonctionnalités de sécurité et de gestion améliorées dans les stratégies de pare-feu réseau.

Héritage hiérarchique des ressources pour une gestion efficace

Les tags sécurisés héritent des ressources parentes dans la hiérarchie Google Cloud . Cet héritage simplifie la gestion en vous permettant de définir des tags à un niveau supérieur (par exemple, au niveau de l'organisation) afin qu'ils se propagent automatiquement aux ressources enfants, telles que les dossiers et les projets. Cela permet d'appliquer des tags de manière cohérente dans toute votre organisation. Pour en savoir plus, consultez Héritage des tags.

Gestion améliorée des réseaux dans les VPC partagés et appairés

Les tags réseau identifient les sources ou les cibles dans les règles de pare-feu d'un réseau VPC spécifié. Lorsqu'ils sont utilisés pour spécifier une source pour une règle d'entrée dans une stratégie de pare-feu réseau, les tags sécurisés identifient les sources de trafic dans le réseau VPC du cluster Dataproc et dans les réseaux VPC appairés. Lorsque des tags sécurisés sont utilisés pour spécifier des cibles pour des règles d'entrée ou de sortie, ils n'identifient les cibles que dans leur propre réseau VPC.

Pour en savoir plus sur les différences entre les tags Resource Manager et les tags réseau, consultez Comparaison des tags et des tags réseau.

Pour en savoir plus sur les différences entre les tags et les libellés Resource Manager, consultez Tags et libellés.

Avant de commencer

Certains rôles IAM sont requis pour exécuter les exemples de cette page. En fonction des règles d'administration, ces rôles peuvent déjà avoir été accordés. Pour vérifier les attributions de rôles, consultez Devez-vous attribuer des rôles ?.

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Rôle d'utilisateur

Pour obtenir les autorisations nécessaires pour créer des tags, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de tags (roles/resourcemanager.tagAdmin) sur les tags Resource Manager. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôle du compte de service

Pour vous assurer que le compte de service de l'agent de service Dataproc dispose des autorisations nécessaires pour associer des tags sécurisés à un cluster Dataproc, demandez à votre administrateur d'accorder le rôle IAM Agent de service Dataproc (roles/dataproc.serviceAgent) au compte de service de l'agent de service Dataproc sur le projet.

Limites

Vous ne pouvez associer des tags sécurisés à un cluster qu'au moment de sa création.
La modification et la suppression des tags sécurisés ne sont pas acceptées.

Créer un tag sécurisé

Pour associer un tag sécurisé à un cluster Dataproc, vous devez d'abord créer un tag Resource Manager avec une clé spécifiée et une ou plusieurs valeurs.

Associer des tags sécurisés au cluster Dataproc

Créez un cluster Dataproc en spécifiant la paire TAG_KEY:TAG_VALUE de tags sécurisés.

Google Cloud CLI

Pour créer un cluster Dataproc et lui ajouter un tag sécurisé, exécutez la commande gcloud dataproc clusters create avec l'option --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Remplacez les éléments suivants :

CLUSTER_NAME : nom du nouveau cluster
REGION : région Compute Engine dans laquelle localiser le cluster.
TAG_KEY et TAG_VALUE : clé et valeur du tag Resource Manager que vous avez créé. Les clés de tag peuvent être spécifiées au format avec ou sans espace de noms, comme suit :
- Format de l'espace de noms : PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  Exemple :
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- Format sans espace de noms : tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  Exemple :
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - Vous pouvez spécifier une liste séparée par des virgules pour associer plusieurs tags sécurisés comprenant la même clé avec des valeurs différentes, ou des clés et des valeurs différentes.
  - Vous devez fournir toutes les paires clé/valeur de tag au format avec ou sans espace de noms. Si les deux formats sont utilisés, une erreur est générée.

REST

Pour créer un cluster Dataproc et lui ajouter un tag sécurisé, incluez le champ resourceManagerTags dans une requête clusters.create qui inclut l'association d'un tag sécurisé "TAG_KEY":"TAG_VALUE" au cluster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Remplacez les éléments suivants :

CLUSTER_NAME : nom du nouveau cluster
TAG_KEY et TAG_VALUE : clé et valeur du tag Resource Manager que vous avez créé. Les clés de tag peuvent être spécifiées au format avec ou sans espace de noms, comme suit :
- Format de l'espace de noms : PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.
  Exemple :
```
"test-project/testkey":"test-project/testkey/testvalue"
```
- Format sans espace de noms : tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID
  Exemple :
```
"tagKeys/123456789012":"tagValues/987654321098"
```
  - Vous pouvez spécifier une liste séparée par des virgules pour associer plusieurs tags sécurisés comprenant la même clé avec des valeurs différentes, ou des clés et des valeurs différentes.
  - Vous devez fournir toutes les paires clé/valeur de tag au format avec ou sans espace de noms. Si les deux formats sont utilisés, une erreur est générée.