Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Dataproc-Cluster anhängen und dann zum Sichern der Clusternetzwerke verwenden.
Vorteile der Verwendung sicherer Tags
Sichere Tags unterscheiden sich in wesentlichen Punkten von Netzwerk-Tags, darunter die IAM-Zugriffssteuerung (Identity and Access Management), die Tag-Übernahme und die Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden wichtigen Vorteile:
Verbesserte Zugriffssteuerung und Sicherheit
Sichere Tags beheben die Sicherheitsprobleme, die mit Netzwerk-Tags einhergehen, indem sie IAM-gesteuerten Zugriff ermöglichen. Im Gegensatz zu Netzwerktags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.
Durch die Verwendung sicherer Tags in IAM-Richtlinien wird die bedingte Zugriffssteuerung ermöglicht. Die Sicherheit wird dadurch erhöht, dass Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.
Vereinfachte Firewallverwaltung
Die globalen und regionalen Netzwerk-Firewallrichtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Dataproc in freigegebenen Netzwerken.
Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen geregelt werden. Im Vergleich zu VPC-Firewallregeln, in denen Netzwerk-Tags verwendet werden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.
Hierarchische Ressourcenübernahme für effiziente Verwaltung
Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen.
Durch diese Übernahme wird die Verwaltung vereinfacht, da Sie Tags auf einer höheren Ebene, z. B. auf Organisationsebene, definieren können, sodass sie automatisch auf untergeordnete Ressourcen wie Ordner und Projekte übertragen werden. So können Sie Tags in Ihrer gesamten Organisation einheitlich verwenden. Weitere Informationen finden Sie unter Tag-Übernahme.
Verbessertes Netzwerkmanagement für freigegebene und per Peering verbundene VPCs
Netzwerktags identifizieren Quellen oder Ziele in Firewallregeln innerhalb eines angegebenen VPC-Netzwerk. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, identifizieren sie Trafficquellen sowohl im VPC-Netzwerk des Dataproc-Clusters als auch in Peer-VPC-Netzwerken. Wenn sichere Tags verwendet werden, um Ziele für Regeln für eingehenden oder ausgehenden Traffic anzugeben, identifizieren sie Ziele nur im eigenen VPC-Netzwerk.
Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.
Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels finden Sie unter Tags und Labels.
Beschränkungen
Sie können einem Cluster nur bei der Clustererstellung sichere Tags zuweisen.
Das Aktualisieren und Löschen von sicheren Tags wird nicht unterstützt.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Resource Manager-Tags zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Anhängen sicherer Tags an einen Dataproc-Cluster benötigen:
Wenn Sie einem Dataproc-Cluster ein sicheres Tag zuweisen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem angegebenen Schlüssel und einem oder mehreren Werten erstellen.
Sichere Tags an den Dataproc-Cluster anhängen
Erstellen Sie einen Dataproc-Cluster und geben Sie das sichere Tag-Paar TAG_KEY:TAG_VALUE an.
Google Cloud CLI
Führen Sie zum Erstellen eines Dataproc-Clusters und zum Hinzufügen eines sicheren Tags zum Cluster den Befehl gcloud Dataproc clusters create mit dem Flag --resource-manager-tags aus.
gcloud dataproc clusters create CLUSTER_NAME \
--region REGION \
--resource-manager-tags=TAG_KEY=TAG_VALUE
TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des erstellten Resource Manager-Tags.
Sie können eine durch Kommas getrennte Liste angeben, um mehrere sichere Tags mit demselben Schlüssel und unterschiedlichen Werten oder mit unterschiedlichen Schlüsseln und Werten anzuhängen.
REST
Wenn Sie einen Dataproc-Cluster erstellen und dem Cluster ein sicheres Tag hinzufügen möchten, fügen Sie das Feld resourceManagerTags als Teil einer clusters.create-Anfrage hinzu.
Das Folgende ist ein Beispiel für den JSON-Text einer cluster.create-Anfrage, die das Anhängen eines "TAG_KEY":"TAG_VALUE"-Sicherheitstags an den Cluster umfasst:
PROJECT_ID: Ihre Projekt-ID, die im Abschnitt Projektinformationen in der Google Cloud -Konsole Dashboard aufgeführt ist.
CLUSTER_NAME ist der Name des neuen Clusters.
TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des erstellten Resource Manager-Tags.
Sie können mehrere sichere Tags angeben, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte enthalten.
Sichere Tags für die Clustervernetzung verwenden
Nachdem Sie einem Cluster sichere Tags zugewiesen haben, können Sie damit die Clusternetzwerke konfigurieren:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eSecure tags on Dataproc clusters enhance security by using IAM-controlled access, unlike network tags, preventing unauthorized modifications to firewall rules.\u003c/p\u003e\n"],["\u003cp\u003eSecure tags simplify firewall management by enabling the efficient grouping and updating of multiple rules across shared networks via network firewall policies, all governed by IAM access controls.\u003c/p\u003e\n"],["\u003cp\u003eSecure tags inherit from parent resources in the Google Cloud hierarchy, allowing for organization-wide consistency in tagging by propagating tags from higher levels to child resources.\u003c/p\u003e\n"],["\u003cp\u003eAttaching secure tags to a Dataproc cluster must be done at the time of cluster creation and requires the \u003ccode\u003eTag Administrator\u003c/code\u003e and \u003ccode\u003eTag Viewer\u003c/code\u003e IAM roles.\u003c/p\u003e\n"],["\u003cp\u003eSecure tags can be utilized to configure cluster networking, including defining firewall rules and conditionally granting or denying IAM roles.\u003c/p\u003e\n"]]],[],null,["This document describes how to create secure tags, attach them to a\nDataproc cluster, and then use the tags to secure cluster networking.\n| **Note:** In this document, [Resource Manager tags](/resource-manager/docs/tags/tags-overview) attached to Dataproc clusters are called `secure tags`.\n\nBenefits of using secure tags\n\nSecure tags have key differences from\n[network tags](/vpc/docs/add-remove-network-tags),\nincluding Identity and Access Management access control, tag inheritance,\nand single VPC network binding, which produce the following key benefits:\n\n\u003cbr /\u003e\n\nEnhanced access control and security Secure tags resolve the security issues inherent with network tags by providing IAM controlled access. Unlike network tags, which can be modified by a user with cluster access, secure tags prevent unauthorized modification of tags and the resulting unwanted changes to firewall rules.\u003cbr /\u003e\n\nUsing secure tags in IAM policies enable\n[conditional access control](/iam/docs/conditions-overview), strengthening\nsecurity by granting or denying roles based on the presence of tags.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nSimplified firewall management The [global](/firewall/docs/network-firewall-policies) and [regional](/firewall/docs/regional-firewall-policies) network firewall policies support secure tags. This support simplifies firewall management in Dataproc across shared networks.\n\n\u003cbr /\u003e\n\nUnlike VPC firewall rules, network firewall policies that are enhanced by secure\ntags enable efficient grouping and simultaneous updating of multiple rules, all\ngoverned by IAM access controls. Compared to VPC firewall rules\nthat utilize network tags, secure tags provide enhanced security and management\ncapabilities within network firewall policies.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nHierarchical resource inheritance for efficient management Secure tags inherit from parent resources within the Google Cloud hierarchy. This inheritance simplifies management by letting you define tags at a higher level---for example, at the organization level---so that they automatically propagate to child resources, such as folders and projects. This enables consistent tagging across your organization. For more information, see [Tag inheritance](/resource-manager/docs/tags/tags-overview#inheritance).\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nImproved network management across shared and peered VPCs Network tags identify sources or targets in firewall rules within a specified VPC network. Secure tags, when used to specify a source for an ingress rule in a network firewall policy, identify traffic sources in both the Dataproc cluster VPC network and peered VPC networks. When secure tags are used to specify targets for ingress or egress rules, they identify targets only within their own VPC network.\n\n\u003cbr /\u003e\n\nTo learn more about the differences between Resource Manager tags and network tags,\nsee\n[Comparison of Tags and network tags](/firewall/docs/tags-firewalls-overview#differences).\n\nTo learn more about the differences between Resource Manager tags and labels,\nsee\n[Tags and labels](/resource-manager/docs/tags/tags-overview#tags_and_labels).\n\nLimitations\n\n- You can attach secure tags to a cluster only at the time of cluster creation.\n- Updation and deletion of secure tags aren't supported.\n\nRequired roles\n\n\nTo get the permissions that\nyou need to create and attach secure tags to a Dataproc cluster,\n\nask your administrator to grant you the\nfollowing IAM roles on Resource Manager tags:\n\n- Create tags: [Tag Administrator](/iam/docs/roles-permissions/resourcemanager#resourcemanager.tagAdmin) (`roles/resourcemanager.tagAdmin`)\n- Attach tags to a custer: [Tag Viewer](/iam/docs/roles-permissions/resourcemanager#resourcemanager.tagViewer) (`roles/resourcemanager.tagViewer`)\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nYou might also be able to get\nthe required permissions through [custom\nroles](/iam/docs/creating-custom-roles) or other [predefined\nroles](/iam/docs/roles-overview#predefined).\n\nCreate a secure tag\n\nTo attach a secure tag to a Dataproc cluster, you must first\n[create a Resource Manager tag](/resource-manager/docs/tags/tags-creating-and-managing#creating)\nwith a specified key and one or more values.\n\nAttach secure tags to the Dataproc cluster\n\nCreate a Dataproc cluster, specifying the secure tag\n\u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e`:`\u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e pair. \n\nGoogle Cloud CLI\n\nTo create a Dataproc cluster and add a secure tag to the\ncluster, run the\n[gcloud Dataproc clusters create](/sdk/gcloud/reference/dataproc/clusters/create)\ncommand with the `--resource-manager-tags` flag. \n\n gcloud dataproc clusters create \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e \\\n --region \u003cvar translate=\"no\"\u003eREGION\u003c/var\u003e \\\n --resource-manager-tags=\u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e=\u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e: the name of the new cluster.\n\n- \u003cvar translate=\"no\"\u003eREGION\u003c/var\u003e: the\n [Compute Engine region](/compute/docs/regions-zones#available)\n in which to locate the cluster.\n\n- \u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e and \u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e: the key and a value of\n the [Resource Manager tag that you created](#create-a-secure-tag).\n You can specify a comma-separated list to attach multiple secure\n tags comprised of the same key with different values, or different keys\n and values.\n\nREST\n\nTo create a Dataproc cluster and add a secure tag to the\ncluster, include the\n[`resourceManagerTags`](/dataproc/docs/reference/rest/v1/ClusterConfig#GceClusterConfig.FIELDS.resource_manager_tags)\nfield as part of a\n[clusters.create](/dataproc/docs/reference/rest/v1/projects.regions.clusters/create)\nrequest.\n\nThe following is an sample JSON body of a `cluster.create` request that\nincludes attaching a `\"`\u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e`\":\"`\u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e`\"`\nsecure tag to the cluster: \n\n {\n \"clusterName\": \"\u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e\",\n \"config\": {\n \"gceClusterConfig\": {\n \"resourceManagerTags\": {\n \"\u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e\": \"\u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e\"\n }\n }\n }\n }\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: your project ID that is listed in the\n **Project info** section in the Google Cloud console\n [Dashboard](https://console.cloud.google.com/home/dashboard).\n\n- \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e: the name of the new cluster.\n\n- \u003cvar translate=\"no\"\u003eTAG_KEY\u003c/var\u003e and \u003cvar translate=\"no\"\u003eTAG_VALUE\u003c/var\u003e: the key and a value of\n the [Resource Manager tag that you created](#create-a-secure-tag).\n You can specify multiple secure tags comprised of the same key with\n different values or different keys and values.\n\nUse secure tags for cluster networking\n\nAfter attaching secure tags to a cluster, use secure tags to configure\ncluster networking:\n\n- Use secure tags to [define firewall rules](/dataproc/docs/concepts/configuring-clusters/network#firewall_requirements).\n- Use secure tags to [conditionally grant or deny](/iam/docs/conditions-overview) the IAM [Tag Administrator TAG viewer roles](#required-roles) needed to create and attach secure tags to a cluster.\n\nWhat's next\n\n- Learn more about [tags](/resource-manager/docs/tags/tags-overview).\n- Learn more about [network tags](/vpc/docs/add-remove-network-tags)."]]
