Utilizzare i tag protetti

Questo documento descrive come creare tag sicuri, collegarli a un cluster Dataproc e quindi utilizzarli per proteggere il networking del cluster.

Vantaggi dell'utilizzo dei tag protetti

I tag sicuri presentano differenze fondamentali rispetto ai tag di rete, tra cui controllo dell'accesso dell'accesso Identity and Access Management, l'ereditarietà dei tag e l'associazione a una singola rete VPC, che producono i seguenti vantaggi chiave:

Controllo dell'accesso e sicurezza migliorati
I tag protetti risolvono i problemi di sicurezza intrinseci dei tag di rete fornendo un accesso controllato da IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag sicuri impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole firewall.

L'utilizzo di tag sicuri nei criteri IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza di tag.

Gestione semplificata del firewall
I criteri firewall di rete globali e regionali supportano i tag sicuri. Questo supporto semplifica la gestione del firewall in Dataproc nelle reti condivise.

A differenza delle regole firewall VPC, i criteri firewall di rete migliorati dai tag sicuri consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, il tutto regolato dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag sicuri offrono funzionalità di gestione e sicurezza migliorate all'interno dei criteri firewall di rete.

Ereditarietà gerarchica delle risorse per una gestione efficiente
I tag sicuri vengono ereditati dalle risorse padre all'interno della gerarchia Google Cloud .
Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore, ad esempio a livello di organizzazione, in modo che vengano propagati automaticamente alle risorse secondarie, come cartelle e progetti. In questo modo si attiva un tagging coerente in tutta l'organizzazione. Per saperne di più, consulta Ereditarietà dei tag.

Gestione di rete migliorata in VPC condivisi e in peering
I tag di rete identificano le origini o le destinazioni nelle regole firewall all'interno di una rete VPC specificata. I tag sicuri, se utilizzati per specificare un'origine per una regola in entrata in una policy firewall di rete, identificano le origini del traffico sia nella rete VPC del cluster Dataproc sia nelle reti VPC con peering. Quando i tag sicuri vengono utilizzati per specificare le destinazioni per le regole in entrata o in uscita, identificano le destinazioni solo all'interno della propria rete VPC.

Per saperne di più sulle differenze tra i tag Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.

Per saperne di più sulle differenze tra tag e etichette di Resource Manager, consulta Tag ed etichette.

Prima di iniziare

Per eseguire gli esempi riportati in questa pagina sono necessari determinati ruoli IAM. A seconda delle norme dell'organizzazione, questi ruoli potrebbero essere già stati concessi. Per controllare le concessioni dei ruoli, consulta Devi concedere i ruoli?.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Ruolo utente

Per ottenere le autorizzazioni necessarie per creare tag, chiedi all'amministratore di concederti il ruolo IAM Tag Administrator (roles/resourcemanager.tagAdmin) sui tag Resource Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Ruolo account di servizio

Per assicurarti che il service account dell'agente di servizio Dataproc disponga delle autorizzazioni necessarie per collegare tag sicuri a un cluster Dataproc, chiedi all'amministratore di concedere il ruolo Agente di servizio Dataproc (roles/dataproc.serviceAgent) IAM al service account dell'agente di servizio Dataproc sul progetto.

Limitazioni

  • Puoi collegare tag sicuri a un cluster solo al momento della creazione del cluster.
  • L'aggiornamento e l'eliminazione dei tag sicuri non sono supportati.

Creare un tag protetto

Per collegare un tag sicuro a un cluster Dataproc, devi prima creare un tag Resource Manager con una chiave specificata e uno o più valori.

Collega tag sicuri al cluster Dataproc

Crea un cluster Dataproc specificando la coppia di tag sicuri TAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, esegui il comando gcloud Dataproc clusters create con il flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • REGION: la regione di Compute Engine in cui si trova il cluster.
  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Le chiavi dei tag possono essere specificate in formato con spazio dei nomi o senza spazio dei nomi, come segue:
    • Formato dello spazio dei nomi: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.

      Esempio:

      --resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
    • Formato senza spazio dei nomi: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID

      Esempio:

      --resource-manager-tags=tagKeys/123456789012=tagValues/987654321098

REST

Per creare un cluster Dataproc e aggiungere un tag sicuro al cluster, includi il campo resourceManagerTags come parte di una richiesta clusters.create che includa l'allegato di un tag sicuro "TAG_KEY":"TAG_VALUE" al cluster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Le chiavi dei tag possono essere specificate in formato con spazio dei nomi o senza spazio dei nomi, come segue:
    • Formato dello spazio dei nomi: PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.

      Esempio:

      "test-project/testkey":"test-project/testkey/testvalue"
    • Formato senza spazio dei nomi: tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID

      Esempio:

      "tagKeys/123456789012":"tagValues/987654321098"

Utilizzare tag sicuri per il networking del cluster

Dopo aver collegato i tag protetti a un cluster, utilizzali per configurare il networking del cluster:

Passaggi successivi