As tags permitem definir origens e destinos nas políticas de firewall da rede global e regional.
As tags são diferentes das tags de rede. As tags de rede são strings simples, não chaves e valores, e não oferecem nenhum tipo de controle de acesso. Para conferir mais informações sobre as diferenças entre tags de rede e tags e quais produtos oferecem suporte a cada uma, consulte Comparação entre tags e tags de rede.
Especificações
As tags têm as seguintes especificações:
- Recurso pai: as tags são recursos criados em um recurso de organização ou projeto. Ao criar uma tag para usar em uma política de firewall de rede, você escolhe com qual
rede de nuvem privada virtual (VPC) a tag será associada.
- As redes VPC precisam pertencer a um projeto dentro de uma organização. Se você não tiver uma organização, consulte o guia de integração da organização.
- Estrutura e formato: as tags são recursos que contêm dois componentes: uma
chave e um ou mais valores.
- É possível criar, no máximo, mil chaves de tags em uma organização ou em um projeto.
- Cada chave de tag pode ter, no máximo, mil valores de tag.
- Controle de acesso: as políticas do Identity and Access Management (IAM) determinam quais principais do IAM podem criar e usar tags. Os principais do IAM com o papel de administrador de tags podem criar definições de tag. Além das outras permissões necessárias do IAM, conceder ao principal um papel de usuário de tags permite que esse usuário a utilize ao criar VMs e aplique regras de política de firewall de rede que a usem. Conceder o papel de usuário de tag permite que você delegue a atribuição de políticas de firewall da rede para VMs a desenvolvedores de aplicativos, administradores de bancos de dados ou equipes operacionais. Para mais informações sobre as permissões necessárias, consulte Papéis do IAM.
- Vinculação a VMs: cada tag pode ser anexada a um número ilimitado de
instâncias de VM. É possível anexar no máximo 10 tags por interface de rede (NIC, na sigla em inglês)
de uma VM. Por exemplo:
- Se uma VM tiver uma única NIC, será possível anexar até 10 tags. Cada tag precisa estar associada à mesma rede VPC usada pela única NIC da VM.
- Se uma VM tiver duas NICs, será possível anexar até 10 tags associadas à
rede VPC que é usada por
nic0e até 10 tags associadas à rede VPC que é usada pornic1.
- Suporte a firewall: apenas políticas de firewall de rede, incluindo políticas de
firewall regionais, aceitam tags. As políticas de firewall hierárquicas e
as regras de firewall da VPC não aceitam tags.
- As regras de firewall da VPC são compatíveis com tags de rede. Para mais detalhes, consulte Comparação de tags e tags de rede.
- Compatibilidade com peering de rede VPC: as regras de entrada em uma política de firewall
de rede podem identificar origens na mesma rede VPC e
nas redes VPC com peering.
- Os provedores de serviços que publicam serviços usando o acesso a serviços particulares podem permitir que os clientes controlem quais das instâncias de VM deles têm permissão para acessar um serviço oferecido pelo provedor.
- Tags, destinos e origens: as tags usam a interface de rede da VM como uma
identidade do remetente ou destinatário:
- Para regras de entrada e saída em políticas de firewall de rede, é possível usar
o parâmetro
--target-secure-tagspara especificar as instâncias de VM a que a regra se aplica. Para as regras de entrada, o destino define o destino. Para regras de saída, o destino define a origem. Para mais informações, consulte destinos. - Para regras de entrada em políticas de firewall de rede, é possível usar tags para
especificar origens com o parâmetro
--src-secure-tags. Para saber mais sobre as tags nos parâmetros de origem das regras de entrada, consulte Como proteger as tags que indicam origens de pacotes.
- Para regras de entrada e saída em políticas de firewall de rede, é possível usar
o parâmetro
Exemplo
Para representar as diferentes funções das instâncias de VM em uma rede, um administrador de tags pode criar uma tag com uma chave vm-function e uma lista de possíveis valores, como database, app-client e app-server. O administrador de tag pode escolher qualquer nome para a chave de tag e os valores dela.
Para conferir mais informações sobre como criar e usar tags, consulte Como criar e gerenciar tags.
Comparação de tags e tags de rede
A tabela a seguir resume as diferenças entre tags e tags de rede.
| Atributo | Tags | Tags de rede |
|---|---|---|
| Recurso pai | Organização ou projeto | Projeto |
| Estrutura e formato | Chave com até mil valores | String simples |
| Controle de acesso | Como usar o IAM | Nenhum controle de acesso |
| Vinculação de instâncias | Por interface de rede (rede VPC única) | Todas as interfaces de rede |
| Compatível com políticas hierárquicas de firewall | ||
| Compatível com políticas de firewall de rede | ||
| Compatível com regras de firewall da VPC | ||
| Peering de rede VPC |
|
|
Papéis IAM
Para criar e gerenciar chaves de tag e valores de tag, você precisa do papel de administrador de tags ou de um papel personalizado com permissões equivalentes. Para mais informações, consulte Administrar tags.
Para gerenciar tags em uma VM, você precisa ter o seguinte:
- Permissões para usar a tag específica
- Permissões para gerenciar a tag em uma VM específica
| Tarefa | Permissão | Papel |
|---|---|---|
| Usar uma tag | As seguintes permissões para a tag específica:
|
Conceda o papel de usuário da tag na tag específica. |
| Gerenciar uma tag em uma VM | As seguintes permissões para a VM específica:
|
Conceder um dos seguintes papéis na VM específica. Muitos papéis incluem as permissões necessárias, incluindo as seguintes:
|
Para saber mais sobre permissões para tags, consulte Gerenciar tags em recursos. Para mais informações sobre quais papéis incluem permissões do IAM específicas, consulte a Referência de permissões do IAM.
A seguir
- Para conceder permissões a tags e criar chaves e valores de tags, consulte Usar tags para firewalls.