보안 태그 사용

이 문서에서는 보안 태그를 만들고 Dataproc 클러스터에 연결한 다음 태그를 사용하여 클러스터 네트워킹을 보호하는 방법을 설명합니다.

보안 태그 사용의 이점

보안 태그는 Identity and Access Management 액세스 제어, 태그 상속, 단일 VPC 네트워크 바인딩을 비롯하여 네트워크 태그와 주요 차이점이 있으며, 다음과 같은 주요 이점을 제공합니다.

향상된 액세스 제어 및 보안

안전한 태그는 IAM 제어 액세스를 제공하여 네트워크 태그에 내재된 보안 문제를 해결합니다. 클러스터 액세스 권한이 있는 사용자가 수정할 수 있는 네트워크 태그와 달리 보안 태그는 승인되지 않은 태그 수정 및 그로 인한 원치 않는 방화벽 규칙 변경을 방지합니다.

IAM 정책에서 보안 태그를 사용하면 조건부 액세스 제어를 사용 설정하여 태그의 존재 여부에 따라 역할을 부여하거나 거부하여 보안을 강화할 수 있습니다.

간소화된 방화벽 관리

전역 및 리전 네트워크 방화벽 정책은 보안 태그를 지원합니다. 이 지원을 통해 공유 네트워크 전반에서 Dataproc의 방화벽 관리가 간소화됩니다.

VPC 방화벽 규칙과 달리 보안 태그로 강화된 네트워크 방화벽 정책을 사용하면 IAM 액세스 제어에 의해 모두 관리되는 여러 규칙을 효율적으로 그룹화하고 동시에 업데이트할 수 있습니다. 네트워크 태그를 활용하는 VPC 방화벽 규칙에 비해 보안 태그는 네트워크 방화벽 정책 내에서 향상된 보안 및 관리 기능을 제공합니다.

효율적인 관리를 위한 계층적 리소스 상속

보안 태그는 Google Cloud 계층 구조 내의 상위 리소스에서 상속됩니다. 이 상속은 태그를 상위 수준(예: 조직 수준)에서 정의하여 폴더 및 프로젝트와 같은 하위 리소스로 자동 전파되도록 함으로써 관리를 간소화합니다. 이렇게 하면 조직 전체에서 일관된 태그를 지정할 수 있습니다. 자세한 내용은 태그 상속을 참고하세요.

공유 및 피어링된 VPC 전반에서 네트워크 관리 개선

네트워크 태그는 지정된 VPC 네트워크 내 방화벽 규칙의 소스 또는 대상을 식별합니다. 보안 태그는 네트워크 방화벽 정책에서 인그레스 규칙의 소스를 지정하는 데 사용될 때 Dataproc 클러스터 VPC 네트워크와 피어링된 VPC 네트워크 모두에서 트래픽 소스를 식별합니다. 인그레스 또는 이그레스 규칙의 대상을 지정하는 데 보안 태그를 사용하는 경우 보안 태그는 자체 VPC 네트워크 내에서만 대상을 식별합니다.

Resource Manager 태그와 네트워크 태그의 차이점에 대한 자세한 내용은 태그와 네트워크 태그 비교를 참고하세요.

Resource Manager 태그와 라벨의 차이점에 대한 자세한 내용은 태그 및 라벨을 참고하세요.

제한사항

클러스터를 만들 때만 클러스터에 보안 태그를 연결할 수 있습니다.
보안 태그의 업데이트 및 삭제는 지원되지 않습니다.

필요한 역할

Dataproc 클러스터에 보안 태그를 만들고 연결하는 데 필요한 권한을 얻으려면 관리자에게 Resource Manage 태그에 다음 IAM 역할을 부여해 달라고 요청하세요.

태그 만들기: 태그 관리자(roles/resourcemanager.tagAdmin)
클러스터에 태그 연결: 태그 뷰어(roles/resourcemanager.tagViewer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

보안 태그 만들기

Dataproc 클러스터에 보안 태그를 연결하려면 먼저 지정된 키와 하나 이상의 값으로 Resource Manager 태그를 만들어야 합니다.

Dataproc 클러스터에 보안 태그 연결

보안 태그 TAG_KEY:TAG_VALUE 쌍을 지정하여 Dataproc 클러스터를 만듭니다.

Google Cloud CLI

Dataproc 클러스터를 만들고 클러스터에 보안 태그를 추가하려면 --resource-manager-tags 플래그와 함께 gcloud Dataproc clusters create 명령어를 실행합니다.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

다음을 바꿉니다.

CLUSTER_NAME: 새 클러스터의 이름입니다.
REGION: 클러스터를 찾을 Compute Engine 리전입니다.
TAG_KEY 및 TAG_VALUE: 내가 만든 Resource Manager 태그의 키와 값입니다. 쉼표로 구분된 목록을 지정하여 값이 다른 동일한 키 또는 키와 값이 다른 여러 개의 보안 태그를 연결할 수 있습니다.

REST

Dataproc 클러스터를 만들고 클러스터에 보안 태그를 추가하려면 clusters.create 요청의 일부로 resourceManagerTags 필드를 포함합니다.

다음은 클러스터에 "TAG_KEY":"TAG_VALUE" 보안 태그를 연결하는 것을 포함하는 cluster.create 요청의 샘플 JSON 본문입니다.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY": "TAG_VALUE"
      }
    }
  }
}

다음을 바꿉니다.

PROJECT_ID: Google Cloud 콘솔 대시보드의 프로젝트 정보 섹션에 나열된 프로젝트 ID입니다.
CLUSTER_NAME: 새 클러스터의 이름
TAG_KEY 및 TAG_VALUE: 내가 만든 Resource Manager 태그의 키와 값입니다. 동일한 키로 구성된 여러 보안 태그를 서로 다른 값 또는 서로 다른 키와 값으로 지정할 수 있습니다.

클러스터 네트워킹에 보안 태그 사용

보안 태그를 클러스터에 연결한 후 보안 태그를 사용하여 클러스터 네트워킹을 구성합니다.

보안 태그를 사용하여 방화벽 규칙을 정의합니다.
보안 태그를 사용하여 클러스터에 보안 태그를 만들고 연결하는 데 필요한 IAM 태그 관리자 TAG 뷰어 역할을 조건부로 부여하거나 거부합니다.

다음 단계

태그 자세히 알아보기
네트워크 태그 자세히 알아보기

보안 태그 사용 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.