I tag consentono di definire origini e target nei criteri firewall di rete globali e nei criteri firewall di rete regionali.
I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per ulteriori informazioni sulle differenze tra tag e tag di rete e su quali prodotti li supportano, consulta Confronto tra tag e tag di rete.
Specifiche
I tag hanno le seguenti specifiche:
- Risorsa padre: i tag sono risorse create all'interno di una risorsa di organizzazione o progetto. Quando crei un tag da utilizzare in un criterio firewall di rete, scegli la rete Virtual Private Cloud (VPC) a cui associare il tag.
- Le reti VPC devono appartenere a un progetto all'interno di un'organizzazione. Se non hai un'organizzazione, consulta la guida alle operazioni preliminari dell'organizzazione.
- Struttura e formato: i tag sono risorse che contengono due componenti: una chiave e uno o più valori.
- Puoi creare un massimo di 1000 chiavi tag in un'organizzazione o in un progetto.
- Ogni chiave tag può avere un massimo di 1000 valori tag.
- Controllo dell'accesso: i criteri di Identity and Access Management (IAM) determinano quali entità IAM possono creare e utilizzare tag. Le entità IAM con il ruolo di amministratore tag possono creare definizioni di tag. Oltre ad altre autorizzazioni IAM necessarie, la concessione a un'entità del ruolo Utente tag consente all'utente di utilizzare il tag durante la creazione delle VM e l'applicazione di regole dei criteri firewall di rete che utilizzano il tag. La concessione del ruolo Tag User consente di delegare l'assegnazione dei criteri firewall di rete per le VM a sviluppatori di applicazioni, amministratori di database o team operativi. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Ruoli IAM.
- Associazione alle VM:ogni tag può essere collegato a un numero illimitato di
istanze VM. Puoi collegare un massimo di 10 tag per interfaccia di rete (NIC) di una VM. Ad esempio:
- Se una VM ha un singolo NIC, puoi collegare fino a 10 tag. Ogni tag deve essere associato alla stessa rete VPC utilizzata dal singolo NIC della VM.
- Se una VM ha due NIC, puoi collegare fino a 10 tag associati alla rete VPC utilizzata da
nic0
e fino a 10 tag associati alla rete VPC utilizzata danic1
.
- Supporto firewall:solo i criteri firewall di rete, inclusi i criteri firewall regionali, supportano i tag. Né i criteri firewall gerarchici né le regole
firewall VPC supportano i tag.
- Le regole firewall VPC supportano i tag di rete. Per maggiori dettagli, consulta la sezione Confronto tra tag e tag di rete.
- Supporto del peering di rete VPC:le regole in entrata in un criterio firewall di rete possono identificare origini sia nella stessa rete VPC sia nelle reti VPC in peering.
- I fornitori di servizi che pubblicano servizi utilizzando l'accesso privato ai servizi possono consentire ai propri clienti di controllare quali delle loro istanze VM sono autorizzate ad accedere a un servizio offerto dal provider.
- Tag, destinazioni e origini: i tag utilizzano l'interfaccia di rete della VM come identità del mittente o del destinatario:
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il parametro
--target-secure-tags
per specificare le istanze VM a cui si applica la regola. Per le regole in entrata, il target definisce la destinazione; per le regole in uscita, la destinazione definisce l'origine. - Per le regole in entrata nei criteri firewall di rete, puoi utilizzare i tag per specificare le origini con il parametro
--src-secure-tags
. - Per ulteriori dettagli, consulta Traduzione di tag in indirizzi IP.
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il parametro
Esempio
Per rappresentare le diverse funzioni delle istanze VM in una rete, un amministratore di Tag può creare un tag con una chiave vm-function e un elenco di possibili valori come database, app-client e app-server. L'amministratore del tag può scegliere qualsiasi nome per la chiave tag e i relativi valori.
Per ulteriori informazioni sulla creazione e sull'utilizzo dei tag, consulta Creazione e gestione dei tag.
Confronto tra tag e tag di rete
La tabella seguente riassume le differenze tra i tag e i tag di rete.
Attributo | Tag | Tag di rete |
---|---|---|
Risorsa padre | Organizzazione o progetto | Progetto |
Struttura e formato | Chiave con un massimo di 1000 valori | Stringa semplice |
Controllo dell'accesso | Utilizzo di IAM | Nessun controllo dell'accesso |
Associazione istanze | Per interfaccia di rete (singola rete VPC) | Tutte le interfacce di rete |
Supportato da criteri firewall gerarchici | ||
Supportata dai criteri firewall di rete | ||
Supportata dalle regole firewall VPC | ||
Peering di rete VPC |
|
|
Traduzione di tag sicuri in indirizzi IP
Per i tag sicuri nei parametri target:
Per le regole in entrata, vedi Destinazioni e indirizzi IP per le regole in entrata.
Per le regole in uscita, vedi Destinazioni e indirizzi IP per le regole in uscita.
Per i tag nei parametri di origine delle regole in entrata, consulta In che modo i tag di origine sicuri implicano l'origine dei pacchetti.
Ruoli IAM
Per creare e gestire chiavi tag e valori tag, devi disporre del ruolo Amministratore tag o di un ruolo personalizzato con autorizzazioni equivalenti. Per ulteriori informazioni, consulta Gestire i tag.
Per gestire i tag su una VM, sono necessari entrambi:
- Autorizzazioni per utilizzare il tag specifico
- Autorizzazioni per gestire il tag su una VM specifica
Attività | Autorizzazione | Ruolo |
---|---|---|
Utilizza un Tag | Le seguenti autorizzazioni per lo specifico tag:
|
Concedi il ruolo Utente tag per il tag specifico. |
Gestire un tag su una VM | Le seguenti autorizzazioni per la VM specifica:
|
Concedi uno dei seguenti ruoli sulla VM specifica. Molti ruoli includono le autorizzazioni richieste, tra cui:
|
Per ulteriori informazioni sulle autorizzazioni relative ai tag, consulta Gestire i tag sulle risorse. Per ulteriori informazioni su quali ruoli includono autorizzazioni IAM specifiche, consulta la documentazione di riferimento sulle autorizzazioni IAM.
Passaggi successivi
- Per concedere le autorizzazioni ai tag e creare chiavi e valori dei tag, consulta Utilizzare i tag per i firewall.