Las etiquetas te permiten definir fuentes y destinos en las políticas de firewall de red globales y las políticas de firewall regionales.
Las etiquetas son diferentes de las etiquetas de red. Las etiquetas de red son strings simples, no claves y valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, y qué productos admiten cada una, consulta Comparación de las etiquetas de Resource Manager y las etiquetas de red.
Especificaciones
Las etiquetas tienen las siguientes especificaciones:
- Recurso superior: Las etiquetas son recursos creados dentro de un recurso de
organización o de
proyecto. Cuando
creas una etiqueta para usar en una política de firewall de red, eliges con qué
red de nube privada virtual (VPC) asociar la etiqueta.
- Las redes de VPC deben pertenecer a un proyecto dentro de una organización. Si no tienes una organización, consulta la guía de integración de la organización.
- Estructura y formato: las etiquetas son recursos que contienen dos componentes: una
clave y uno o más valores.
- Puedes crear un máximo de 1,000 claves de etiquetas en una organización o un proyecto.
- Cada clave de etiqueta puede tener un máximo de 1,000 valores de etiqueta.
- Control de acceso: Las políticas de Identity and Access Management (IAM) determinan qué principales de IAM pueden crear y usar etiquetas. Los principales de IAM con el rol de administrador de etiquetas pueden crear definiciones de etiquetas. Junto con otros permisos de IAM necesarios, otorgar a un principal el rol de usuario de etiquetas permite que el usuario use la etiqueta cuando cree VMs y aplique reglas de política de firewall de red que usen la etiqueta. Otorgar el rol de usuario de etiquetas te permite delegar la asignación de políticas de firewall de red para VMs a los desarrolladores de aplicaciones, los administradores de bases de datos o los equipos operativos. Para obtener más información sobre los permisos necesarios, consulta Roles de IAM.
- Vinculación a las VMs: Cada etiqueta se puede adjuntar a una cantidad ilimitada de instancias de VM. Puedes adjuntar un máximo de 10 etiquetas por interfaz de red (NIC) de una VM. Por ejemplo:
- Si una VM tiene una sola NIC, puedes adjuntar hasta 10 etiquetas. Cada etiqueta debe estar asociada con la misma red de VPC que usa la NIC única de la VM.
- Si una VM tiene dos NIC, puedes adjuntar hasta 10 etiquetas asociadas con la red de VPC que usa
nic0
y hasta 10 etiquetas asociadas con la red de VPC que usanic1
.
- Compatibilidad con firewall: Solo las políticas de firewall de red, incluidas las políticas de firewall regionales, admiten etiquetas. Ni las políticas de firewall jerárquicas ni las reglas de firewall de VPC admiten etiquetas.
- Las reglas de firewall de VPC admiten etiquetas de red. Para obtener más detalles, consulta Comparación de etiquetas y etiquetas de red.
- Compatibilidad con el intercambio de tráfico entre redes de VPC: Las reglas de entrada en una política de firewall de red pueden identificar las fuentes en la misma red de VPC y en las mismas redes de VPC con intercambio de tráfico.
- Los proveedores de servicios que publican servicios mediante el acceso privado a servicios pueden permitir que sus clientes controlen cuál de sus instancias de VM puede acceder a un servicio que ofrece el proveedor.
- Etiquetas, destinos y fuentes: Las etiquetas usan la interfaz de red de la VM como una identidad del remitente o destinatario:
- Para las reglas de entrada y salida en las políticas de firewall de red, puedes usar el parámetro
--target-secure-tags
a fin de especificar las instancias de VM a las que se aplica la regla. Para las reglas de entrada, el destino define la ubicación objetivo. Para las reglas de salida, el destino define el origen. Para obtener más información, consulta Destinos. - Para las reglas de entrada en las políticas de firewall de red, puedes usar etiquetas a fin de especificar fuentes con el parámetro
--src-secure-tags
. Para obtener más información sobre las etiquetas en los parámetros de origen de las reglas de entrada, consulta Cómo las etiquetas seguras de origen implican los orígenes de los paquetes.
- Para las reglas de entrada y salida en las políticas de firewall de red, puedes usar el parámetro
Ejemplo
Para representar las diferentes funciones de las instancias de VM en una red, un administrador de etiquetas puede crear una etiqueta con una clave vm-function y una lista de valores posibles, como vm-function, vm-function y vm-function. El administrador de etiquetas puede elegir cualquier nombre para la clave de la etiqueta y sus valores.
Para obtener más información sobre cómo crear y usar etiquetas, consulta Crea y administra etiquetas.
Comparación de etiquetas y etiquetas de red
En la siguiente tabla, se resumen las diferencias entre las etiquetas y las etiquetas de red.
Atributo | Etiquetas | Etiquetas de red |
---|---|---|
Recurso superior | Organización o proyecto | Proyecto |
Estructura y formato | Clave con hasta 1,000 valores | String simple |
Control de acceso | Usar IAM | No hay controles de acceso |
Vinculación de instancias | Por interfaz de red (una sola red de VPC) | Todas las interfaces de red |
Compatible con las políticas de firewall jerárquicas | ||
Compatible con las políticas de firewall de red | ||
Compatible con las reglas de firewall de VPC | ||
Intercambio de tráfico entre redes de VPC |
|
|
Funciones de IAM
Para crear y administrar claves de etiquetas y valores de etiquetas, necesitas el rol de administrador de etiquetas o un rol personalizado con permisos equivalentes. Para obtener más información, consulta Administra etiquetas.
Para administrar etiquetas en una VM, necesitas lo siguiente:
- Permisos para usar la etiqueta específica
- Permisos para administrar la etiqueta en una VM específica
Tarea | Permiso | Rol |
---|---|---|
Usa una etiqueta | Los siguientes permisos para la etiqueta específica:
|
Otorga el rol de usuario de etiquetas a la etiqueta específica. |
Administra una etiqueta en una VM | Los siguientes permisos para la VM específica:
|
Otorga uno de los siguientes roles en la VM específica. Muchos roles incluyen los permisos necesarios, incluidos los siguientes:
|
Para obtener más información sobre los permisos de las etiquetas, consulta Administra etiquetas en los recursos. Para obtener más información sobre qué roles incluyen permisos específicos de IAM, consulta Referencia de permisos de IAM.
¿Qué sigue?
- A fin de otorgar permisos a las etiquetas y crear claves y valores de etiqueta, consulta Usa etiquetas para firewalls.