Utilizzare i tag protetti

Questo documento descrive come creare tag protetti, collegarli a un cluster Managed Service for Apache Spark e quindi utilizzarli per proteggere la rete del cluster.

Vantaggi dell'utilizzo dei tag protetti

I tag protetti presentano differenze fondamentali rispetto ai tag di rete, tra cui il controllo dell'accesso di Identity and Access Management, l'ereditarietà dei tag e il binding di una singola rete VPC, che producono i seguenti vantaggi principali:

Controllo dell'accesso e sicurezza migliorati
I tag protetti risolvono i problemi di sicurezza inerenti ai tag di rete fornendo l'accesso controllato da IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag protetti impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole firewall.

L'utilizzo di tag protetti nelle policy IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza dei tag.

Gestione semplificata del firewall
Le policy firewall di rete globali e regionali supportano i tag protetti. Questo supporto semplifica la gestione del firewall in Managed Service for Apache Spark nelle reti condivise.

A differenza delle regole firewall VPC, le policy firewall di rete migliorate dai tag protetti consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, tutte regolate dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag protetti offrono funzionalità di sicurezza e gestione avanzate all'interno delle policy firewall di rete.

Ereditarietà gerarchica delle risorse per una gestione efficiente
I tag protetti ereditano dalle risorse principali all'interno della Google Cloud gerarchia. Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore, ad esempio a livello di organizzazione, in modo che si propaghino automaticamente alle risorse secondarie, come cartelle e progetti. Ciò consente una codifica coerente in tutta l'organizzazione. Per saperne di più, consulta Ereditarietà dei tag.

Gestione di rete migliorata tra VPC condivisi e in peering
I tag di rete identificano le origini o le destinazioni nelle regole firewall all'interno di una rete VPC specificata. I tag protetti, se utilizzati per specificare un'origine per una regola in entrata in una policy del firewall di rete, identificano le origini del traffico sia nella rete VPC del cluster Managed Service for Apache Spark sia nelle reti VPC in peering. Quando i tag protetti vengono utilizzati per specificare le destinazioni per le regole in entrata o in uscita, identificano le destinazioni solo all'interno della propria rete VPC.

Per saperne di più sulle differenze tra i tag di Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.

Per saperne di più sulle differenze tra i tag e le etichette di Resource Manager, consulta Tag ed etichette.

Prima di iniziare

Per eseguire gli esempi in questa pagina sono necessari determinati ruoli IAM. A seconda delle policy dell'organizzazione, questi ruoli potrebbero essere già stati concessi. Per verificare le concessioni dei ruoli, consulta Devi concedere i ruoli?.

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Ruolo utente

Per ottenere le autorizzazioni necessarie per creare i tag, chiedi all'amministratore di concederti il ruolo IAM Tag Administrator (roles/resourcemanager.tagAdmin) sui tag di Resource Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Ruolo dell'account di servizio

Per assicurarti che l'account di servizio dell'agente di servizio Managed Service for Apache Spark disponga delle autorizzazioni necessarie per collegare i tag protetti a un cluster Managed Service for Apache Spark, chiedi all'amministratore di concedere il ruolo Agente di servizio Managed Service for Apache Spark (roles/dataproc.serviceAgent) IAM a l'account di servizio dell'agente di servizio Managed Service for Apache Spark sul progetto.

Limitazioni

  • Puoi collegare i tag protetti a un cluster solo al momento della creazione del cluster.
  • L'aggiornamento e l'eliminazione dei tag protetti non sono supportati.

Crea un tag protetto

Per collegare un tag protetto a un cluster Managed Service for Apache Spark, devi prima creare un tag di Resource Manager con una chiave specificata e uno o più valori.

Collega i tag protetti al cluster Managed Service for Apache Spark

Crea un cluster Managed Service for Apache Spark, specificando la coppia di tag protetti TAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Managed Service for Apache Spark e aggiungere un tag protetto al cluster, esegui il comando gcloud Managed Service for Apache Spark clusters create con il flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • REGION: la regione Compute Engine in cui si trova il cluster.
  • TAG_KEY e TAG_VALUE: la chiave e un valore di il tag di Resource Manager che hai creato. Le chiavi dei tag possono essere specificate in formato con spazio dei nomi o senza spazio dei nomi, come segue:
    • Formato con spazio dei nomi: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.

      Esempio:

      --resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
    • Formato senza spazio dei nomi: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID

      Esempio:

      --resource-manager-tags=tagKeys/123456789012=tagValues/987654321098

REST

Per creare un cluster Managed Service for Apache Spark e aggiungere un tag protetto al cluster, includi il resourceManagerTags campo come parte di una clusters.create che includa il collegamento di un tag "TAG_KEY":"TAG_VALUE" protetto al cluster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • TAG_KEY e TAG_VALUE: la chiave e un valore di il tag di Resource Manager che hai creato. Le chiavi dei tag possono essere specificate in formato con spazio dei nomi o senza spazio dei nomi, come segue:
    • Formato con spazio dei nomi: PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.

      Esempio:

      "test-project/testkey":"test-project/testkey/testvalue"
    • Formato senza spazio dei nomi: tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID

      Esempio:

      "tagKeys/123456789012":"tagValues/987654321098"

Utilizza i tag protetti per la rete del cluster

Dopo aver collegato i tag protetti a un cluster, utilizzali per configurare la rete del cluster:

Passaggi successivi