Utilizzare i tag protetti

Questo documento descrive come creare tag protetti, collegarli a un cluster Dataproc e quindi utilizzarli per proteggere la rete del cluster.

Vantaggi dell'utilizzo dei tag protetti

I tag protetti presentano differenze fondamentali rispetto ai tag di rete, tra cui il controllo dell'accesso di Identity and Access Management, l'ereditarietà dei tag e il binding di una singola rete VPC, che producono i seguenti vantaggi principali:

Controllo dell'accesso e sicurezza migliorati

I tag protetti risolvono i problemi di sicurezza inerenti ai tag di rete fornendo l'accesso controllato da IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag protetti impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole firewall.

L'utilizzo di tag protetti nelle policy IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza dei tag.

Gestione semplificata del firewall

Le policy firewall di rete globali e regionali supportano i tag protetti. Questo supporto semplifica la gestione del firewall in Dataproc nelle reti condivise.

A differenza delle regole firewall VPC, le policy firewall di rete migliorate dai tag protetti consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, il tutto regolato dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag protetti offrono funzionalità di sicurezza e gestione avanzate all'interno delle policy firewall di rete.

Ereditarietà gerarchica delle risorse per una gestione efficiente

I tag protetti ereditano dalle risorse principali all'interno della Google Cloud gerarchia. Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore , ad esempio a livello di organizzazione, in modo che si propaghino automaticamente alle risorse secondarie, come cartelle e progetti. In questo modo è possibile applicare tag coerenti in tutta l'organizzazione. Per saperne di più, consulta Ereditarietà dei tag.

Gestione della rete migliorata tra VPC condivisi e in peering

I tag di rete identificano le origini o le destinazioni nelle regole firewall all'interno di una rete VPC specificata. Quando vengono utilizzati per specificare un'origine per una regola di traffico in entrata in una policy firewall di rete, i tag protetti identificano le origini del traffico sia nella rete VPC del cluster Dataproc sia nelle reti VPC in peering. Quando i tag protetti vengono utilizzati per specificare le destinazioni per le regole di traffico in entrata o in uscita, essi identificano le destinazioni solo all'interno della propria rete VPC.

Per saperne di più sulle differenze tra i tag di Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.

Per saperne di più sulle differenze tra i tag di Resource Manager e le etichette, consulta Tag ed etichette.

Prima di iniziare

Per eseguire gli esempi in questa pagina sono necessari determinati ruoli IAM. A seconda delle policy dell'organizzazione, questi ruoli potrebbero essere già stati concessi. Per verificare le concessioni dei ruoli, consulta Devi concedere i ruoli?.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Ruolo utente

Per ottenere le autorizzazioni necessarie per creare i tag, chiedi all'amministratore di concederti il ruolo IAM Amministratore tag (roles/resourcemanager.tagAdmin) sui tag di Resource Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Ruolo account di servizio

Per assicurarti che l'account di servizio dell'agente di servizio Dataproc disponga delle autorizzazioni necessarie per collegare i tag protetti a un cluster Dataproc, chiedi all'amministratore di concedere a l'account di servizio dell'agente di servizio Dataproc il ruolo Agente di servizio Dataproc (roles/dataproc.serviceAgent) IAM sul progetto.

Limitazioni

Puoi collegare i tag protetti a un cluster solo al momento della creazione del cluster.
L'aggiornamento e l'eliminazione dei tag protetti non sono supportati.

Crea un tag protetto

Per collegare un tag protetto a un cluster Dataproc, devi prima creare un tag di Resource Manager con una chiave specificata e uno o più valori.

Collega i tag protetti al cluster Dataproc

Crea un cluster Dataproc, specificando la coppia di tag protetti TAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Dataproc e aggiungere un tag protetto al cluster, esegui il comando gcloud Dataproc clusters create con il --resource-manager-tags flag.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

CLUSTER_NAME: il nome del nuovo cluster.
REGION: la regione Compute Engine in cui si trova il cluster.
TAG_KEY e TAG_VALUE: la chiave e un valore di il tag di Resource Manager che hai creato. Le chiavi dei tag devono essere nel formato tagKeys/123456789012 e i valori dei tag devono essere nel formato tagValues/987654321098. Puoi specificare un elenco separato da virgole per collegare più tag protetti composti dalla stessa chiave con valori diversi o da chiavi e valori diversi.

REST

Per creare un cluster Dataproc e aggiungere un tag protetto al cluster, includi il resourceManagerTags campo come parte di una clusters.create.

Di seguito è riportato un corpo JSON di esempio di una richiesta cluster.create che include il collegamento di un "TAG_KEY":"TAG_VALUE" tag protetto al cluster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}