"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usa etiquetas seguras

En este documento, se describe cómo crear etiquetas seguras, adjuntarlas a un clúster de Managed Service para Apache Spark y, luego, usarlas para proteger la red del clúster.

Beneficios de usar etiquetas seguras

Las etiquetas seguras tienen diferencias clave con las etiquetas de red, incluido el control de acceso de Identity and Access Management, la herencia de etiquetas y la vinculación de una sola red de VPC, que producen los siguientes beneficios clave:

Mayor control de acceso y seguridad

Las etiquetas seguras resuelven los problemas de seguridad inherentes a las etiquetas de red, ya que proporcionan acceso controlado por IAM. A diferencia de las etiquetas de red, que un usuario con acceso al clúster puede modificar, las etiquetas seguras impiden la modificación no autorizada de las etiquetas y los cambios no deseados resultantes en las reglas de firewall.

El uso de etiquetas seguras en las políticas de IAM permite el control de acceso condicional, lo que fortalece la seguridad mediante el otorgamiento o el rechazo de roles según la presencia de etiquetas.

Administración de firewall simplificada

Las políticas de firewall de red globales y regionales admiten etiquetas seguras. Esta compatibilidad simplifica la administración de firewall en Managed Service para Apache Spark en redes compartidas.

A diferencia de las reglas de firewall de VPC, las políticas de firewall de red que se mejoran con etiquetas seguras permiten la agrupación eficiente y la actualización simultánea de varias reglas, todas controladas por los controles de acceso de IAM. En comparación con las reglas de firewall de VPC que utilizan etiquetas de red, las etiquetas seguras proporcionan capacidades mejoradas de seguridad y administración dentro de las políticas de firewall de red.

Herencia jerárquica de recursos para una administración eficiente

Las etiquetas seguras heredan de los recursos superiores dentro de la Google Cloud jerarquía. Esta herencia simplifica la administración, ya que te permite definir etiquetas en un nivel superior (por ejemplo, a nivel de la organización) para que se propaguen automáticamente a los recursos secundarios, como carpetas y proyectos. Esto permite un etiquetado coherente en toda tu organización. Para obtener más información, consulta Herencia de etiquetas.

Administración de red mejorada en VPC compartidas y con intercambio de tráfico

Las etiquetas de red identifican fuentes o destinos en las reglas de firewall dentro de una red de VPC especificada. Las etiquetas seguras, cuando se usan para especificar una fuente para una regla de entrada en una política de firewall de red, identifican las fuentes de tráfico en la red de VPC del clúster de Managed Service para Apache Spark y en las redes de VPC con intercambio de tráfico. Cuando se usan etiquetas seguras para especificar destinos para reglas de entrada o salida, identifican destinos solo dentro de su propia red de VPC.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas de Resource Manager y las etiquetas, consulta Etiquetas y etiquetas.

Antes de comenzar

Se requieren ciertos roles de IAM para ejecutar los ejemplos de esta página. Según las políticas de la organización, es posible que ya se hayan otorgado estos roles. Para verificar las concesiones de roles, consulta ¿Necesitas otorgar roles?.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos,carpetas y organizaciones.

Función del usuario

Para obtener los permisos que necesitas para crear etiquetas, pídele a tu administrador que te otorgue el rol de IAM Administrador de etiquetas (roles/resourcemanager.tagAdmin) en las etiquetas de Resource Manager. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Función de cuenta de servicio

Para garantizar que la cuenta de servicio del agente de servicio de Managed Service para Apache Spark tenga los permisos necesarios para adjuntar etiquetas seguras a un clúster de Managed Service para Apache Spark, pídele a tu administrador que le otorgue el rol de Agente de servicio de Managed Service para Apache Spark (roles/dataproc.serviceAgent) de IAM a la cuenta de servicio del agente de servicio de Managed Service para Apache Spark en el proyecto.

Limitaciones

Solo puedes adjuntar etiquetas seguras a un clúster en el momento de la creación del clúster.
No se admite la actualización ni el borrado de etiquetas seguras.

Crea una etiqueta segura

Para adjuntar una etiqueta segura a un clúster de Managed Service para Apache Spark, primero debes crear una etiqueta de Resource Manager con una clave especificada y uno o más valores.

Adjunta etiquetas seguras al clúster de Managed Service para Apache Spark

Crea un clúster de Managed Service para Apache Spark y especifica el par de etiquetas seguras TAG_KEY:TAG_VALUE.

Google Cloud CLI

Para crear un clúster de Managed Service para Apache Spark y agregarle una etiqueta segura, ejecuta el comando gcloud Managed Service para Apache Spark clusters create con la marca --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Reemplaza lo siguiente:

CLUSTER_NAME: Es el nombre del clúster nuevo.
REGION: Es la región de Compute Engine en la que se ubicará el clúster.
TAG_KEY y TAG_VALUE: Son la clave y un valor de la etiqueta de Resource Manager que creaste. Las claves de etiqueta se pueden especificar en formato con espacio de nombres o sin espacio de nombres, de la siguiente manera:
- Formato de espacio de nombres: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  Ejemplo:
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- Formato sin espacio de nombres: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  Ejemplo:
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - Puedes especificar una lista separada por comas para adjuntar varias etiquetas seguras que constan de la misma clave con valores diferentes o de diferentes claves y valores.
  - Debes proporcionar todos los pares clave-valor de la etiqueta en formato con espacio de nombres o sin espacio de nombres. Si se usan ambos formatos, se genera un error.

REST

Para crear un clúster de Managed Service para Apache Spark y agregarle una etiqueta segura, incluye el resourceManagerTags campo como parte de una clusters.create que incluya la adjunción de una "TAG_KEY":"TAG_VALUE" etiqueta segura al clúster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}

Reemplaza lo siguiente:

CLUSTER_NAME: Es el nombre del clúster nuevo.
TAG_KEY y TAG_VALUE: Son la clave y un valor de la etiqueta de Resource Manager que creaste. Las claves de etiqueta se pueden especificar en formato con espacio de nombres o sin espacio de nombres, de la siguiente manera:
- Formato de espacio de nombres: PROJECT-ID/KEY_NAME:PROJECT-ID/KEY_NAME/KEY_VALUE.
  Ejemplo:
```
"test-project/testkey":"test-project/testkey/testvalue"
```
- Formato sin espacio de nombres: tagKeys/TAG_KEY_ID:tagValues/TAG_VALUE_ID
  Ejemplo:
```
"tagKeys/123456789012":"tagValues/987654321098"
```
  - Puedes especificar una lista separada por comas para adjuntar varias etiquetas seguras que constan de la misma clave con valores diferentes o de diferentes claves y valores.
  - Debes proporcionar todos los pares clave-valor de la etiqueta en formato con espacio de nombres o sin espacio de nombres. Si se usan ambos formatos, se genera un error.