Use etiquetas seguras

Este documento descreve como criar etiquetas seguras, anexá-las a um cluster do Dataproc e, em seguida, usar as etiquetas para proteger a rede do cluster.

Vantagens da utilização de etiquetas seguras

As etiquetas seguras têm diferenças importantes em relação às etiquetas de rede, incluindo o controlo de acesso da gestão de identidade e de acesso, a herança de etiquetas e a associação de rede VPC única, que produzem as seguintes vantagens principais:

Segurança e controlo de acesso melhorados
As etiquetas seguras resolvem os problemas de segurança inerentes às etiquetas de rede, oferecendo acesso controlado pela IAM. Ao contrário das etiquetas de rede, que podem ser modificadas por um utilizador com acesso ao cluster, as etiquetas seguras impedem a modificação não autorizada de etiquetas e as alterações indesejadas resultantes às regras da firewall.

A utilização de etiquetas seguras nas políticas de IAM permite o controlo de acesso condicional, reforçando a segurança através da concessão ou da recusa de funções com base na presença de etiquetas.

Gestão simplificada da firewall
As políticas de firewall de rede global e regional suportam etiquetas seguras. Este suporte simplifica a gestão da firewall no Dataproc em redes partilhadas.

Ao contrário das regras de firewall da VPC, as políticas de firewall de rede melhoradas por etiquetas seguras permitem o agrupamento eficiente e a atualização simultânea de várias regras, todas regidas pelos controlos de acesso da IAM. Em comparação com as regras de firewall de VPC que usam etiquetas de rede, as etiquetas seguras oferecem capacidades de segurança e gestão melhoradas nas políticas de firewall de rede.

Herança de recursos hierárquica para uma gestão eficiente
As etiquetas seguras são herdadas dos recursos principais na hierarquia Google Cloud . Esta herança simplifica a gestão, permitindo-lhe definir etiquetas a um nível superior, por exemplo, ao nível da organização, para que sejam propagadas automaticamente aos recursos secundários, como pastas e projetos. Isto permite uma etiquetagem consistente em toda a sua organização. Para mais informações, consulte o artigo Herança de etiquetas.

Gestão de rede melhorada em VPCs partilhadas e com intercâmbio
As etiquetas de rede identificam origens ou destinos nas regras de firewall numa rede de VPC especificada. As etiquetas seguras, quando usadas para especificar uma origem para uma regra de entrada numa política de firewall de rede, identificam origens de tráfego na rede de VPC do cluster do Dataproc e nas redes de VPC com peering. Quando as etiquetas seguras são usadas para especificar alvos para regras de entrada ou saída, identificam alvos apenas na respetiva rede VPC.

Para saber mais sobre as diferenças entre as etiquetas do Resource Manager e as etiquetas de rede, consulte o artigo Comparação entre etiquetas e etiquetas de rede.

Para saber mais sobre as diferenças entre os marcadores e as etiquetas do Resource Manager, consulte o artigo Marcadores e etiquetas.

Limitações

  • Só pode anexar etiquetas seguras a um cluster no momento da criação do cluster.
  • A atualização e a eliminação de etiquetas seguras não são suportadas.

Funções necessárias

Para receber as autorizações de que precisa para criar e anexar etiquetas seguras a um cluster do Dataproc, peça ao seu administrador que lhe conceda as seguintes funções do IAM em etiquetas do Resource Manager:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie uma etiqueta segura

Para anexar uma etiqueta segura a um cluster do Dataproc, primeiro tem de criar uma etiqueta do Resource Manager com uma chave especificada e um ou mais valores.

Anexe etiquetas seguras ao cluster do Dataproc

Crie um cluster do Dataproc, especificando o par de TAG_KEY:TAG_VALUE etiquetas seguras.

CLI do Google Cloud

Para criar um cluster do Dataproc e adicionar uma etiqueta segura ao cluster, execute o comando gcloud Dataproc clusters create com a flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Substitua o seguinte:

  • CLUSTER_NAME: o nome do novo cluster.

  • REGION: a região do Compute Engine onde localizar o cluster.

  • TAG_KEY e TAG_VALUE: a chave e um valor da etiqueta do Resource Manager que criou. Pode especificar uma lista separada por vírgulas para anexar várias etiquetas seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

REST

Para criar um cluster do Dataproc e adicionar uma etiqueta segura ao cluster, inclua o campo resourceManagerTags como parte de um pedido clusters.create.

Segue-se um exemplo do corpo JSON de um pedido cluster.create que inclui a anexação de uma etiqueta segura "TAG_KEY":"TAG_VALUE" ao cluster:

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto apresentado na secção Informações do projeto na Google Cloud consola Painel de controlo.

  • CLUSTER_NAME: o nome do novo cluster.

  • TAG_KEY e TAG_VALUE: a chave e um valor da etiqueta do Resource Manager que criou. Pode especificar várias etiquetas seguras compostas pela mesma chave com valores diferentes ou chaves e valores diferentes.

Use etiquetas seguras para redes de clusters

Depois de anexar etiquetas seguras a um cluster, use etiquetas seguras para configurar a rede do cluster:

O que se segue?