Tags pour les pare-feu

Les tags vous permettent de définir des sources et des cibles dans les règles de pare-feu réseau globales et dans les règles de pare-feu réseau régionales.

Les tags sont différents des tags réseau. Les tags réseau sont des chaînes simples, non des clés et des valeurs, et n'offrent aucun type de contrôle d'accès. Pour en savoir plus sur les différences entre les tags et les tags réseau, ainsi que sur les produits compatibles, consultez la section Comparaison des tags et des tags réseau.

Spécifications

Les tags sont soumis aux spécifications suivantes :

• Ressource parente : les tags sont des ressources créées dans une ressource d'organisation ou de projet. Lorsque vous créez un tag à utiliser dans une stratégie de pare-feu de réseau, vous choisissez le réseau cloud privé virtuel (VPC) auquel associer le tag.
  • Les réseaux VPC doivent appartenir à un projet au sein d'une organisation. Si vous ne voyez pas d'organisation, consultez le guide d'intégration des organisations.
• Structure et format : les tags sont des ressources qui contiennent deux composants : une clé et une ou plusieurs valeurs.
  • Vous pouvez créer jusqu'à 1 000 clés de tag dans une organisation ou un projet.
  • Chaque clé de tag peut compter jusqu'à 1 000 valeurs de tags.
• Contrôle des accès : les stratégies IAM (Identity and Access Management) déterminent quels comptes principaux IAM peuvent créer et utiliser des tags. Les comptes principaux IAM dotés du rôle "Administrateur de tags" peuvent créer des définitions de tags. En plus des autres autorisations IAM nécessaires, l'attribution d'un rôle "Utilisateur de tags" à un compte principal lui permet d'utiliser le tag lorsqu'il crée des VM, et d'appliquer des règles de stratégie de pare-feu réseau qui utilisent le tag. L'attribution du rôle "Utilisateur de tags" vous permet de déléguer l'attribution de stratégies de pare-feu de réseau pour les VM aux développeurs d'applications, aux administrateurs de base de données ou aux équipes opérationnelles. Pour en savoir plus sur les autorisations requises, consultez la page Rôles IAM.
• Liaison à des VM : chaque tag peut être associé à un nombre illimité d'instances de VM. Vous pouvez associer au maximum 10 tags par interface réseau (carte d'interface réseau) d'une VM. Exemple :
  • Si une VM possède une carte d'interface réseau unique, vous pouvez associer jusqu'à 10 tags. Chaque tag doit être associé au même réseau VPC que celui utilisé par la carte d'interface réseau unique de la VM.
  • Si une VM possède deux cartes d'interface réseau, vous pouvez associer jusqu'à 10 tags associés au réseau VPC utilisé par nic0 et jusqu'à 10 tags associés au réseau VPC utilisé par nic1.
• Compatibilité avec les pare-feu : seules les stratégies de pare-feu de réseau, y compris les stratégies de pare-feu régionales, acceptent les tags. Ni les stratégies de pare-feu hiérarchiques, ni les règles de pare-feu VPC ne sont compatibles avec les tags.
  • Les règles de pare-feu VPC sont compatibles avec les tags réseau. Pour en savoir plus, consultez la section Comparaison des tags et des tags réseau.
• Compatibilité avec l'appairage de réseaux VPC : les règles d'entrée d'une stratégie de pare-feu de réseau peuvent identifier les sources du même réseau VPC et des mêmes réseaux VPC appairés.
  • Les fournisseurs de services qui publient des services à l'aide de l'accès aux services privés peuvent permettre à leurs clients de contrôler les instances de VM qui sont autorisées à accéder à un service proposé par le fournisseur.
• Tags, cibles et sources : les tags utilisent l'interface réseau de la VM comme identité de l'expéditeur ou du destinataire :
  • Pour les règles d'entrée et de sortie dans les règles de pare-feu de réseau, vous pouvez utiliser le paramètre --target-secure-tags pour spécifier les instances de VM auxquelles la règle s'applique. Pour les règles d'entrée, la cible définit la destination. pour les règles de sortie, la cible définit la source. Pour en savoir plus, consultez la section Cibles.
  • Pour les règles d'entrée dans les règles de pare-feu de réseau, vous pouvez utiliser des tags pour spécifier des sources avec le paramètre --src-secure-tags. Pour en savoir plus sur les tags dans les paramètres sources des règles d'entrée, consultez la section Comment les tags sécurisés sources impliquent des sources de paquets.

Exemple

Pour représenter les différentes fonctions des instances de VM d'un réseau, vous pouvez créer un tag avec une clé vm-function et une liste des valeurs possibles, telles que database, app-client et app-server. L'administrateur peut choisir n'importe quel nom pour la clé de tag et ses valeurs.

Pour en savoir plus sur la création et l'utilisation des tags, consultez la page Créer et gérer des tags.

Comparaison des tags et des tags réseau

Le tableau suivant récapitule les différences entre les tags et les tags réseau.

Attribut	Tags	Tags réseau
Ressource parente	Organisation ou projet	Projet
Structure et format	Clé contenant jusqu'à 1 000 valeurs	Chaîne simple
Contrôle des accès	Utiliser Cloud IAM	Aucun contrôle des accès
Liaison d'instances	Par interface réseau (réseau VPC unique)	Toutes les interfaces réseau
Compatible avec les stratégies de pare-feu hiérarchiques
Compatible avec les stratégies de pare-feu de réseau
Compatible avec les règles de pare-feu VPC
Appairage de réseaux VPC	Lorsqu'il est utilisé pour spécifier une source pour une règle d'entrée dans une stratégie de pare-feu de réseau, un tag peut identifier des sources dans le réseau VPC auquel le tag est associé, ainsi que dans tous les réseaux VPC appairés connectés sur le réseau VPC auquel le tag est associé. Lorsqu'il est utilisé pour spécifier une cible pour une règle d'entrée ou de sortie dans une stratégie de pare-feu de réseau, un tag ne peut identifier que les cibles du réseau VPC auquel le tag est associé.	Lorsqu'il est utilisé pour spécifier une source pour une règle de pare-feu VPC entrant, un tag réseau identifie uniquement les sources du réseau VPC spécifié dans la règle de pare-feu VPC. Lorsqu'il est utilisé pour spécifier une cible pour une règle de pare-feu d'entrée ou de sortie VPC, un tag réseau n'identifie que les cibles du réseau VPC spécifié dans la règle de pare-feu VPC.

Rôles IAM

Pour créer et gérer des clés et des valeurs de tags, vous devez disposer du rôle "Administrateur de tags" ou d'un rôle personnalisé avec des autorisations équivalentes. Pour en savoir plus, consultez la page Gérer les tags.

Pour gérer les tags d'une VM, vous avez besoin des deux éléments suivants :

• Autorisations d'utiliser le tag spécifique
• Autorisations de gérer le tag sur une VM spécifique

Tâche	Autorisation	Rôle
Utiliser un tag	Les autorisations suivantes pour le tag spécifique : resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	Accordez le rôle "Utilisateur de tags" sur le tag spécifique.
Gérer un tag sur une VM	Les autorisations suivantes pour la VM spécifique : compute.instances.createTagBinding compute.instances.deleteTagBinding	Accordez l'un des rôles suivants sur la VM spécifique. Plusieurs rôles incluent les autorisations requises, y compris : Utilisateur de tags Administrateur d'instances Compute (v1) Administrateur de Compute

Pour en savoir plus sur les autorisations pour les tags, consultez la page Gérer les tags sur les ressources. Pour en savoir plus sur les rôles incluant des autorisations IAM spécifiques, consultez la documentation de référence sur les autorisations IAM.

Étapes suivantes

• Pour accorder des autorisations aux tags et créer des clés et des valeurs de tags, consultez la section Utiliser des tags pour les pare-feu.