"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzare i tag protetti

Questo documento descrive come creare tag sicuri, collegarli a un cluster Managed Service for Apache Spark e poi utilizzarli per proteggere il networking del cluster.

Vantaggi dell'utilizzo dei tag sicuri

I tag sicuri presentano differenze fondamentali rispetto ai tag di rete, tra cui controllo dell'accesso dell'accesso Identity and Access Management, l'ereditarietà dei tag e l'associazione a una singola rete VPC, che producono i seguenti vantaggi chiave:

Controllo dell'accesso e sicurezza migliorati

I tag protetti risolvono i problemi di sicurezza intrinseci dei tag di rete fornendo un accesso controllato da IAM. A differenza dei tag di rete, che possono essere modificati da un utente con accesso al cluster, i tag sicuri impediscono la modifica non autorizzata dei tag e le conseguenti modifiche indesiderate alle regole firewall.

L'utilizzo di tag sicuri nei criteri IAM consente il controllo dell'accesso condizionale, rafforzando la sicurezza concedendo o negando i ruoli in base alla presenza di tag.

Gestione semplificata del firewall

I criteri firewall di rete globali e regionali supportano i tag sicuri. Questo supporto semplifica la gestione del firewall in Managed Service for Apache Spark nelle reti condivise.

A differenza delle regole firewall VPC, i criteri firewall di rete migliorati dai tag sicuri consentono il raggruppamento efficiente e l'aggiornamento simultaneo di più regole, il tutto regolato dai controlli dell'accesso IAM. Rispetto alle regole firewall VPC che utilizzano i tag di rete, i tag sicuri offrono funzionalità di gestione e sicurezza migliorate all'interno dei criteri firewall di rete.

Ereditarietà gerarchica delle risorse per una gestione efficiente

I tag sicuri

vengono ereditati dalle risorse padre all'interno della gerarchia Google Cloud . Questa ereditarietà semplifica la gestione consentendoti di definire i tag a un livello superiore, ad esempio a livello di organizzazione, in modo che vengano propagati automaticamente alle risorse secondarie, come cartelle e progetti. Ciò consente un tagging coerente in tutta l'organizzazione. Per saperne di più, consulta Ereditarietà dei tag.

Gestione di rete migliorata in VPC condivisi e in peering

I tag di rete identificano origini o destinazioni nelle regole firewall all'interno di una rete VPC specificata. I tag sicuri, se utilizzati per specificare un'origine per una regola in entrata in una policy del firewall di rete, identificano le origini del traffico sia nella rete VPC del cluster Managed Service for Apache Spark sia nelle reti VPC con peering. Quando i tag sicuri vengono utilizzati per specificare le destinazioni per le regole in entrata o in uscita, identificano le destinazioni solo all'interno della propria rete VPC.

Per saperne di più sulle differenze tra i tag Resource Manager e i tag di rete, consulta Confronto tra tag e tag di rete.

Per saperne di più sulle differenze tra tag ed etichette di Resource Manager, consulta Tag ed etichette.

Prima di iniziare

Per eseguire gli esempi riportati in questa pagina sono necessari determinati ruoli IAM. A seconda delle policy dell'organizzazione, questi ruoli potrebbero essere già stati concessi. Per controllare le concessioni dei ruoli, consulta Devi concedere i ruoli?.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Ruolo utente

Per ottenere le autorizzazioni necessarie per creare tag, chiedi all'amministratore di concederti il ruolo IAM Tag Administrator (roles/resourcemanager.tagAdmin) sui tag di Resource Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Ruolo service account

Per assicurarti che il service account dell'agente di servizio Managed Service for Apache Spark disponga delle autorizzazioni necessarie per collegare tag sicuri a un cluster Managed Service for Apache Spark, chiedi all'amministratore di concedere il ruolo IAM agente di servizio Managed Service for Apache Spark (roles/dataproc.serviceAgent) al service account di servizio dell'agente di servizio Managed Service for Apache Spark sul progetto.

Limitazioni

Puoi collegare tag sicuri a un cluster solo al momento della creazione del cluster.
L'aggiornamento e l'eliminazione dei tag sicuri non sono supportati.

Creare un tag protetto

Per collegare un tag sicuro a un cluster Managed Service for Apache Spark, devi prima creare un tag Resource Manager con una chiave specificata e uno o più valori.

Collega tag sicuri al cluster Managed Service for Apache Spark

Crea un cluster Managed Service for Apache Spark specificando la coppia di tag sicuri TAG_KEY:TAG_VALUE.

Google Cloud CLI

Per creare un cluster Managed Service for Apache Spark e aggiungere un tag sicuro al cluster, esegui il comando gcloud Managed Service for Apache Spark clusters create con il flag --resource-manager-tags.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

CLUSTER_NAME: il nome del nuovo cluster.
REGION: la regione di Compute Engine in cui si trova il cluster.
TAG_KEY e TAG_VALUE: la chiave e un valore del tag Resource Manager che hai creato. Le chiavi tag possono essere specificate nel formato con o senza spazio dei nomi, come segue:
- Formato dello spazio dei nomi: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  Esempio:
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- Formato senza spazio dei nomi: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  Esempio:
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - Puoi specificare un elenco separato da virgole per allegare più tag sicuri composti dalla stessa chiave con valori diversi o da chiavi e valori diversi.
  - Devi fornire tutte le coppie chiave-valore dei tag nel formato con spazio dei nomi o senza spazio dei nomi. Se vengono utilizzati entrambi i formati, viene generato un errore.

REST

Per creare un cluster Managed Service for Apache Spark e aggiungere un tag sicuro al cluster, includi il campo resourceManagerTags come parte di una richiesta clusters.create che includa l'allegato di un tag sicuro "TAG_KEY":"TAG_VALUE" al cluster.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}