Menggunakan tag aman

Dokumen ini menjelaskan cara membuat tag aman, melampirkannya ke cluster Dataproc, lalu menggunakan tag untuk mengamankan jaringan cluster.

Manfaat menggunakan tag aman

Tag aman memiliki perbedaan utama dari tag jaringan, termasuk kontrol akses Pengelolaan Akses dan Identitas, pewarisan tag, dan pengikatan jaringan VPC tunggal, yang menghasilkan manfaat utama berikut:

Kontrol akses dan keamanan yang ditingkatkan

Tag aman menyelesaikan masalah keamanan yang melekat pada tag jaringan dengan menyediakan akses yang dikontrol IAM. Tidak seperti tag jaringan, yang dapat diubah oleh pengguna dengan akses cluster, tag aman mencegah modifikasi tag yang tidak sah dan perubahan yang tidak diinginkan pada aturan firewall.

Penggunaan tag aman dalam kebijakan IAM memungkinkan kontrol akses bersyarat, yang memperkuat keamanan dengan memberikan atau menolak peran berdasarkan keberadaan tag.

Pengelolaan firewall yang disederhanakan

Kebijakan firewall jaringan global dan regional mendukung tag aman. Dukungan ini menyederhanakan pengelolaan firewall di Dataproc di seluruh jaringan bersama.

Tidak seperti aturan firewall VPC, kebijakan firewall jaringan yang ditingkatkan dengan tag aman memungkinkan pengelompokan yang efisien dan update serentak beberapa aturan, yang semuanya diatur oleh kontrol akses IAM. Dibandingkan dengan aturan firewall VPC yang menggunakan tag jaringan, tag aman memberikan kemampuan keamanan dan pengelolaan yang ditingkatkan dalam kebijakan firewall jaringan.

Pewarisan resource hierarkis untuk pengelolaan yang efisien

Tag aman diwarisi dari resource induk dalam hierarki Google Cloud . Pewarisan ini menyederhanakan pengelolaan dengan memungkinkan Anda menentukan tag di tingkat yang lebih tinggi—misalnya, di tingkat organisasi—sehingga tag tersebut otomatis di-propagate ke resource turunan, seperti folder dan project. Hal ini memungkinkan pemberian tag yang konsisten di seluruh organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Pewarisan tag.

Pengelolaan jaringan yang ditingkatkan di seluruh VPC bersama dan VPC yang di-peering

Tag jaringan mengidentifikasi sumber atau target dalam aturan firewall di dalam jaringan VPC tertentu. Tag aman, saat digunakan untuk menentukan sumber untuk aturan masuk dalam kebijakan firewall jaringan, mengidentifikasi sumber traffic di jaringan VPC cluster Dataproc dan jaringan VPC yang di-peering. Jika tag aman digunakan untuk menentukan target aturan ingress atau egress, tag tersebut mengidentifikasi target hanya dalam jaringan VPC-nya sendiri.

Untuk mempelajari lebih lanjut perbedaan antara tag Resource Manager dan tag jaringan, lihat Perbandingan Tag dan tag jaringan.

Untuk mempelajari lebih lanjut perbedaan antara tag dan label Resource Manager, lihat Tag dan label.

Sebelum memulai

Peran IAM tertentu diperlukan untuk menjalankan contoh di halaman ini. Bergantung pada kebijakan organisasi, peran ini mungkin sudah diberikan. Untuk memeriksa pemberian peran, lihat Apakah Anda perlu memberikan peran?.

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project,folder, dan organisasi.

Peran pengguna

Untuk mendapatkan izin yang diperlukan guna membuat tag, minta administrator untuk memberi Anda peran IAM Tag Administrator (roles/resourcemanager.tagAdmin) di tag Resource Manager. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Peran akun layanan

Untuk memastikan bahwa akun layanan Agen Layanan Dataproc memiliki izin yang diperlukan untuk melampirkan tag aman ke cluster Dataproc, minta administrator Anda untuk memberikan peran IAM Agen Layanan Dataproc (roles/dataproc.serviceAgent) kepada akun layanan Agen Layanan Dataproc di project.

Batasan

Anda hanya dapat melampirkan tag aman ke cluster pada saat pembuatan cluster.
Pembaruan dan penghapusan tag aman tidak didukung.

Membuat tag aman

Untuk melampirkan tag aman ke cluster Dataproc, Anda harus membuat tag Resource Manager terlebih dahulu dengan kunci yang ditentukan dan satu atau beberapa nilai.

Melampirkan tag aman ke cluster Dataproc

Buat cluster Dataproc, dengan menentukan pasangan tag aman TAG_KEY:TAG_VALUE.

Google Cloud CLI

Untuk membuat cluster Dataproc dan menambahkan tag aman ke cluster, jalankan perintah gcloud Dataproc clusters create dengan tanda --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ganti kode berikut:

CLUSTER_NAME: nama cluster baru.
REGION: region Compute Engine tempat cluster akan berada.
TAG_KEY dan TAG_VALUE: kunci dan nilai tag Resource Manager yang Anda buat. Kunci tag dapat ditentukan dalam format dengan namespace atau tanpa namespace, sebagai berikut:
- Format namespace: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  Contoh:
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- Format tanpa namespace: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  Contoh:
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - Anda dapat menentukan daftar yang dipisahkan koma untuk melampirkan beberapa tag aman yang terdiri dari kunci yang sama dengan nilai yang berbeda, atau kunci dan nilai yang berbeda.
  - Anda harus memberikan semua pasangan nilai kunci tag dalam format dengan atau tanpa namespace; jika kedua format digunakan, akan terjadi error.

REST

Untuk membuat cluster Dataproc dan menambahkan tag aman ke cluster, sertakan kolom resourceManagerTags sebagai bagian dari permintaan clusters.create yang mencakup tindakan melampirkan tag aman "TAG_KEY":"TAG_VALUE" ke cluster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Ganti kode berikut:

CLUSTER_NAME: nama cluster baru.
TAG_KEY dan TAG_VALUE: kunci dan nilai tag Resource Manager yang Anda buat. Kunci tag dapat ditentukan dalam format dengan namespace atau tanpa namespace, sebagai berikut:
- Format namespace: PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.
  Contoh:
```
"test-project/testkey":"test-project/testkey/testvalue"
```
- Format tanpa namespace: tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID
  Contoh:
```
"tagKeys/123456789012":"tagValues/987654321098"
```
  - Anda dapat menentukan daftar yang dipisahkan koma untuk melampirkan beberapa tag aman yang terdiri dari kunci yang sama dengan nilai yang berbeda, atau kunci dan nilai yang berbeda.
  - Anda harus memberikan semua pasangan nilai kunci tag dalam format dengan atau tanpa namespace; jika kedua format digunakan, akan terjadi error.