במאמר הזה מוסבר איך ליצור תגים מאובטחים, לצרף אותם לאשכול Dataproc ואז להשתמש בתגים כדי לאבטח את הרשת של האשכול.
היתרונות של שימוש בתגים מאובטחים
לתגים מאובטחים יש הבדלים משמעותיים מתגי רשת, כולל בקרת גישה לניהול זהויות והרשאות גישה, ירושת תגים וקישור לרשת VPC אחת, שמניבים את היתרונות העיקריים הבאים:
שימוש בתגים מאובטחים בכללי מדיניות של IAM מאפשר בקרת גישה מותנית, ומחזק את האבטחה על ידי מתן או דחייה של תפקידים בהתאם לנוכחות של תגים.
בניגוד לכללי חומת אש של VPC, כללי מדיניות של חומת אש בין רשתות שמשופרים באמצעות תגי אבטחה מאפשרים קיבוץ יעיל ועדכון בו-זמני של כמה כללים, והכול כפוף לאמצעי בקרה לגישה של IAM. בהשוואה לכללי חומת אש של VPC שמבוססים על תגי רשת, תגים מאובטחים מספקים יכולות אבטחה וניהול משופרות במסגרת מדיניות חומת האש של הרשת.
למידע נוסף על ההבדלים בין תגי מנהל המשאבים לתגים של רשתות, ראו השוואה בין תגי Resource Manager לתגים של רשתות.
מידע נוסף על ההבדלים בין תגי מנהל המשאבים לבין תוויות
לפני שמתחילים
כדי להריץ את הדוגמאות בדף הזה, צריך תפקידים מסוימים ב-IAM. יכול להיות שההרשאות האלה כבר הוענקו לתפקידים, בהתאם למדיניות הארגון. כדי לבדוק את הקצאות התפקידים, ראו האם צריך להקצות תפקידים?.
מידע נוסף על הקצאת תפקידים מופיע במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.
תפקיד משתמש
כדי לקבל את ההרשאות שנדרשות ליצירת תגים, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין לניהול תגים (roles/resourcemanager.tagAdmin) בתגים של מנהל המשאבים.
להסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
תפקיד בחשבון שירות
כדי לוודא שלחשבון השירות של סוכן Dataproc יש את ההרשאות שנדרשות לצירוף תגים מאובטחים לאשכול Dataproc, צריך לבקש מהאדמין להקצות לחשבון השירות של סוכן Dataproc בפרויקט את תפקיד ה-IAM Dataproc Service Agent (roles/dataproc.serviceAgent).
מגבלות
- אפשר לצרף תגים מאובטחים לאשכול רק בזמן יצירת האשכול.
- אין תמיכה בעדכון ובמחיקה של תגים מאובטחים.
יצירת תג מאובטח
כדי לצרף תג מאובטח לאשכול Dataproc, קודם צריך ליצור תג מנהל המשאבים עם מפתח מוגדר וערך אחד או יותר.
צירוף תגים מאובטחים לאשכול Dataproc
יוצרים אשכול Dataproc ומציינים את צמד התגים המאובטח TAG_KEY:TAG_VALUE.
Google Cloud CLI
כדי ליצור אשכול Dataproc ולהוסיף לו תג מאובטח, מריצים את הפקודה gcloud Dataproc clusters create עם הדגל --resource-manager-tags.
gcloud dataproc clusters create CLUSTER_NAME \
--region REGION \
--resource-manager-tags=TAG_KEY=TAG_VALUE
מחליפים את מה שכתוב בשדות הבאים:
- CLUSTER_NAME: השם של האשכול החדש.
- REGION: האזור ב-Compute Engine שבו נמצא האשכול.
- TAG_KEY ו-TAG_VALUE: המפתח והערך של התג של מנהל המשאבים שיצרתם.
אפשר לציין מפתחות תגים בפורמט עם מרחב שמות או בפורמט ללא מרחב שמות, באופן הבא:
- פורמט מרחב השמות:
PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.דוגמה:
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
- פורמט ללא מרחב שמות:
tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_IDדוגמה:
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
- פורמט מרחב השמות:
REST
כדי ליצור אשכול Dataproc ולהוסיף לו תג מאובטח, צריך לכלול את השדה resourceManagerTags כחלק מבקשת clusters.create שכוללת צירוף של תג מאובטח "TAG_KEY":"TAG_VALUE" לאשכול.
{
"clusterName": "CLUSTER_NAME",
"config": {
"gceClusterConfig": {
"resourceManagerTags": {
"TAG_KEY":"TAG_VALUE"
}
}
}
}
מחליפים את מה שכתוב בשדות הבאים:
- CLUSTER_NAME: השם של האשכול החדש.
- TAG_KEY ו-TAG_VALUE: המפתח והערך של התג של מנהל המשאבים שיצרתם.
אפשר לציין מפתחות תגים בפורמט עם מרחב שמות או בפורמט ללא מרחב שמות, באופן הבא:
- פורמט מרחב השמות:
PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.דוגמה:
"test-project/testkey":"test-project/testkey/testvalue"
- פורמט ללא מרחב שמות:
tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_IDדוגמה:
"tagKeys/123456789012":"tagValues/987654321098"
- פורמט מרחב השמות:
שימוש בתגים מאובטחים לרשתות של אשכולות
אחרי שמצרפים תגים מאובטחים לאשכול, משתמשים בתגים מאובטחים כדי להגדיר את הרשת של האשכול:
- משתמשים בתגים מאובטחים כדי להגדיר כללים לחומת אש.