"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

보안 태그 사용

이 문서에서는 보안 태그를 만들고 Managed Service for Apache Spark 클러스터에 연결한 다음 태그를 사용하여 클러스터 네트워킹을 보호하는 방법을 설명합니다.

보안 태그 사용의 이점

보안 태그는 Identity and Access Management 액세스 제어, 태그 상속, 단일 VPC 네트워크 바인딩을 비롯하여 네트워크 태그와 주요 차이점이 있으며, 다음과 같은 주요 이점을 제공합니다.

향상된 액세스 제어 및 보안

안전한 태그는 IAM 제어 액세스를 제공하여 네트워크 태그에 내재된 보안 문제를 해결합니다. 클러스터 액세스 권한이 있는 사용자가 수정할 수 있는 네트워크 태그와 달리 보안 태그는 승인되지 않은 태그 수정 및 그로 인한 원치 않는 방화벽 규칙 변경을 방지합니다.

IAM 정책에서 보안 태그를 사용하면 조건부 액세스 제어를 사용 설정하여 태그의 존재 여부에 따라 역할을 부여하거나 거부하여 보안을 강화할 수 있습니다.

간소화된 방화벽 관리

전역 및 리전 네트워크 방화벽 정책은 보안 태그를 지원합니다. 이 지원을 통해 공유 네트워크 전반에서 Managed Service for Apache Spark의 방화벽 관리가 간소화됩니다.

VPC 방화벽 규칙과 달리 보안 태그로 강화된 네트워크 방화벽 정책을 사용하면 IAM 액세스 제어에 의해 모두 관리되는 여러 규칙을 효율적으로 그룹화하고 동시에 업데이트할 수 있습니다. 네트워크 태그를 활용하는 VPC 방화벽 규칙에 비해 보안 태그는 네트워크 방화벽 정책 내에서 향상된 보안 및 관리 기능을 제공합니다.

효율적인 관리를 위한 계층적 리소스 상속

보안 태그는 Google Cloud 계층 구조 내의 상위 리소스에서 상속됩니다. 이 상속은 태그를 상위 수준(예: 조직 수준)에서 정의하여 폴더 및 프로젝트와 같은 하위 리소스로 자동 전파되도록 함으로써 관리를 간소화합니다. 이렇게 하면 조직 전체에서 일관된 태그를 지정할 수 있습니다. 자세한 내용은 태그 상속을 참고하세요.

공유 및 피어링된 VPC 전반에서 네트워크 관리 개선

네트워크 태그는 지정된 VPC 네트워크 내 방화벽 규칙의 소스 또는 대상을 식별합니다. 보안 태그는 네트워크 방화벽 정책에서 인그레스 규칙의 소스를 지정하는 데 사용될 때 Managed Service for Apache Spark 클러스터 VPC 네트워크와 피어링된 VPC 네트워크 모두에서 트래픽 소스를 식별합니다. 인그레스 또는 이그레스 규칙의 대상을 지정하는 데 보안 태그를 사용하는 경우 보안 태그는 자체 VPC 네트워크 내에서만 대상을 식별합니다.

Resource Manager 태그와 네트워크 태그의 차이점에 대한 자세한 내용은 태그와 네트워크 태그 비교를 참고하세요.

Resource Manager 태그와 라벨의 차이점에 대한 자세한 내용은 다음 태그 및 라벨을 참고하세요.

시작하기 전에

이 페이지의 예시를 실행하려면 특정 IAM 역할이 필요합니다. 조직 정책에 따라 이러한 역할이 이미 부여되었을 수 있습니다. 역할 부여를 확인하려면 역할을 부여해야 하나요?를 참고하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참고하세요.

사용자 역할

태그를 만드는 데 필요한 권한을 얻으려면 관리자에게 Resource Manager 태그에 대한 태그 관리자 (roles/resourcemanager.tagAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참고하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

서비스 계정 역할

Managed Service for Apache Spark 서비스 에이전트 서비스 계정 에 보안 태그를 Managed Service for Apache Spark 클러스터에 연결하는 데 필요한 권한이 있는지 확인하려면 관리자에게 Managed Service for Apache Spark 서비스 에이전트 역할 (roles/dataproc.serviceAgent) IAM 역할을 프로젝트의 Managed Service for Apache Spark 서비스 에이전트 서비스 계정 에 부여해 달라고 요청하세요.

제한사항

클러스터를 만들 때만 클러스터에 보안 태그를 연결할 수 있습니다.
보안 태그의 업데이트 및 삭제는 지원되지 않습니다.

보안 태그 만들기

Managed Service for Apache Spark 클러스터에 보안 태그를 연결하려면 먼저 지정된 키와 하나 이상의 값으로 Resource Manager 태그 를 만들어야 합니다.

Managed Service for Apache Spark 클러스터에 보안 태그 연결

보안 태그 TAG_KEY:TAG_VALUE 쌍을 지정하여 Managed Service for Apache Spark 클러스터를 만듭니다.

Google Cloud CLI

Managed Service for Apache Spark 클러스터를 만들고 클러스터에 보안 태그를 추가하려면 gcloud Managed Service for Apache Spark clusters create 명령어를 --resource-manager-tags 플래그와 함께 실행합니다.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

다음을 바꿉니다.

CLUSTER_NAME: 새 클러스터의 이름입니다.
REGION: 클러스터를 찾을 Compute Engine 리전입니다.
TAG_KEY 및 TAG_VALUE: 내가 만든 Resource Manager 태그의 키와 값입니다. 태그 키는 다음과 같이 네임스페이스화된 형식 또는 네임스페이스화되지 않은 형식으로 지정할 수 있습니다.
- 네임스페이스 형식: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  예:
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- 네임스페이스화되지 않은 형식: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  예:
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - 쉼표로 구분된 목록을 지정하여 값이 다른 동일한 키 또는 키와 값이 다른 여러 개의 보안 태그를 연결할 수 있습니다.
  - 네임스페이스화된 형식 또는 네임스페이스화되지 않은 형식으로 모든 태그 키-값 쌍을 제공해야 합니다. 두 형식을 모두 사용하면 오류가 생성됩니다.

REST

Managed Service for Apache Spark 클러스터를 만들고 클러스터에 보안 태그를 추가하려면 클러스터에 보안 태그 연결을 포함하는 clusters.create 요청의 일부로 resourceManagerTags 필드를 포함합니다."TAG_KEY":"TAG_VALUE"

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}