Tags für Firewalls

Mit Tags können Sie Quellen und Ziele in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien definieren.

Tags unterscheiden sich von Netzwerktags. Netzwerktags sind einfache Strings, keine Schlüssel und Werte, und bieten keine Art der Zugriffssteuerung. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags und den jeweils unterstützten Produkten finden Sie unter Vergleich von Tags und Netzwerktags.

Spezifikationen

Tags haben die folgenden Spezifikationen:

  • Übergeordnete Ressource: Tags sind Ressourcen, die in einer Organisation- oder Projektressource erstellt wurden. Wenn Sie ein Tag erstellen, das in einer Netzwerk-Firewallrichtlinie verwendet werden soll, müssen Sie festlegen, welchem VPC-Netzwerk (Virtual Private Cloud) das Tag zugeordnet werden soll.
    • Die VPC-Netzwerke müssen zu einem Projekt innerhalb einer Organisation gehören. Wenn Sie keine Organisation haben, finden Sie weitere Informationen in der Onboarding-Anleitung für Organisationen.
  • Struktur und Format: Tags sind Ressourcen, die zwei Komponenten enthalten: einen Schlüssel und einen oder mehrere Werte.
    • Sie können in einer Organisation oder in einem Projekt maximal 1.000 Tag-Schlüssel erstellen.
    • Jeder Tag-Schlüssel kann maximal 1.000 Tag-Werte enthalten.
  • Zugriffssteuerung: IAM-Richtlinien (Identity and Access Management) bestimmen, welche IAM-Hauptkonten Tags erstellen und verwenden können. IAM-Hauptkonten mit der Tag-Administrator-Rolle können Tag-Definitionen erstellen. Neben anderen erforderlichen IAM-Berechtigungen können Sie einem Hauptkonto die Rolle „Tag-Nutzer“ zuweisen, damit es den Tag beim Erstellen von VMs verwenden und Netzwerk-Firewallrichtlinienregeln anwenden kann, die das Tag verwenden. Mit der Rolle "Tag-Nutzer" können Sie die Zuweisung von Netzwerk-Firewallrichtlinien für VMs an Anwendungsentwickler, Datenbankadministratoren oder operative Teams delegieren. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter IAM-Rollen.
  • Bindung an VMs: Jedes Tag kann an eine unbegrenzte Anzahl von VM-Instanzen angehängt werden. Sie können maximal 10 Tags pro Netzwerkschnittstelle (NIC) einer VM anhängen. Beispiel:
    • Wenn eine VM über eine einzelne NIC verfügt, können Sie bis zu 10 Tags anhängen. Jedes Tag muss mit demselben VPC-Netzwerk verknüpft sein, das von der einzelnen NIC der VM verwendet wird.
    • Wenn eine VM zwei NICs hat, können Sie bis zu 10 Tags anhängen, die mit dem von nic0 verwendeten VPC-Netzwerk verknüpft sind, und bis zu 10 Tags, die dem von nic1 verwendeten VPC-Netzwerk zugeordnet sind.
  • Firewallunterstützung: Nur Netzwerk-Firewallrichtlinien, einschließlich regionaler Firewallrichtlinien, unterstützen Tags. Weder hierarchische Firewallrichtlinien noch VPC-Firewallregeln unterstützen Tags.
  • Unterstützung für VPC-Netzwerk-Peering: Regeln für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie können Quellen im selben VPC-Netzwerk und in Peering-VPC-Netzwerken identifizieren.
    • Mit Dienstanbietern, die Dienste mit dem Zugriff auf private Dienste veröffentlichen, können ihre Kunden steuern, welche ihrer VM-Instanzen auf einen vom Dienstanbieter angebotenen Dienst zugreifen dürfen.
  • Tags, Ziele und Quellen: Tags verwenden die Netzwerkschnittstelle der VM als Identität des Absenders oder Empfängers:
    • Bei Regeln für eingehenden und ausgehenden Traffic in Netzwerk-Firewallrichtlinien können Sie mit dem Parameter --target-secure-tags die VM-Instanzen angeben, auf die die Regel angewendet wird. Bei Regeln für eingehenden Traffic definiert das Regelziel das Paketziel. Bei Regeln für ausgehenden Traffic definiert das Regelziel die Paketquelle. Weitere Informationen finden Sie unter Ziele.
    • Bei Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien können Sie Tags verwenden, um Quellen mit dem Parameter --src-secure-tags anzugeben. Weitere Informationen zu Tags in Quellparametern von Regeln für eingehenden Traffic finden Sie unter Wie sichere Quell-Tags Paketquellen implizieren.

Beispiel

Um die verschiedenen Funktionen von VM-Instanzen in einem Netzwerk darzustellen, kann ein Tag-Administrator ein Tag mit einem vm-function-Schlüssel und einer Liste möglicher Werte wie database, app-client und app-server erstellen. Der Tag-Administrator kann einen beliebigen Namen für den Tag-Schlüssel und seine Werte auswählen.

Weitere Informationen zum Erstellen und Verwenden von Tags finden Sie unter Tags erstellen und verwalten.

Vergleich von Tags und Netzwerktags

In der folgenden Tabelle werden die Unterschiede zwischen Tags und Netzwerktags zusammengefasst.

Attribut Tags Netzwerk-Tags
Übergeordnete Ressource Organisation oder Projekt Projekt
Struktur und Format Schlüssel mit bis zu 1.000 Werten Einfacher String
Zugriffssteuerung IAM verwenden Keine Zugriffssteuerungen
Instanzbindung Pro Netzwerkschnittstelle (einzelnes VPC-Netzwerk) Alle Netzwerkschnittstellen
Unterstützt von hierarchischen Firewallrichtlinien
Unterstützt von Netzwerk-Firewallrichtlinien
Unterstützt von VPC-Firewallregeln
VPC-Netzwerk-Peering
  • Wenn es verwendet wird, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, kann ein Tag Quellen im VPC-Netzwerk, auf das das Tag beschränkt ist, und in allen mit dem VPC-Netzwerk verbundenen Peer-VPC-Netzwerken, auf die das Tag beschränkt ist, identifizieren.
  • Bei der Angabe eines Ziels für eine Regel für eingehenden oder ausgehenden Traffic in einer Netzwerk-Firewallrichtlinie kann ein Tag nur Ziele im VPC-Netzwerk identifizieren, auf das das Tag beschränkt ist.
  • Bei Angabe einer Quelle für eine VPC-Firewallregel für eingehenden Traffic identifiziert ein Netzwerk-Tag nur Quellen innerhalb des VPC-Netzwerks, das in der VPC-Firewallregel angegeben ist.
  • Bei der Angabe eines Ziels für eine VPC-Firewallregel für eingehenden oder ausgehenden Traffic identifiziert ein Netzwerk-Tag nur Ziele innerhalb des in der VPC-Firewallregel angegebenen VPC-Netzwerks.

IAM-Rollen

Zum Erstellen und Verwalten von Tag-Schlüsseln und Tag-Werten benötigen Sie die Rolle „Tag-Administrator“ oder eine benutzerdefinierte Rolle mit entsprechenden Berechtigungen. Weitere Informationen finden Sie unter Tags verwalten.

Zum Verwalten von Tags auf einer VM benötigen Sie Folgendes:

  • Berechtigungen zur Verwendung des spezifischen Tags
  • Berechtigungen zum Verwalten des Tags auf einer bestimmten VM
Aufgabe Berechtigung Rolle
Tag verwenden Die folgenden Berechtigungen für das jeweilige Tag:
  • resourcemanager.tagValueBindings.create
  • resourcemanager.tagValueBindings.delete
Weisen Sie dem jeweiligen Tag die Rolle „Tag-Nutzer“ zu.
Tags auf einer VM verwalten Die folgenden Berechtigungen für die jeweilige VM:
  • compute.instances.createTagBinding
  • compute.instances.deleteTagBinding
Weisen Sie der jeweiligen VM eine der folgenden Rollen zu.

Viele Rollen enthalten die erforderlichen Berechtigungen. Dazu gehören:

  • Tag-Nutzer
  • Compute-Instanzadministrator (Version 1)
  • Compute-Administrator

Weitere Informationen zu Berechtigungen für Tags finden Sie unter Tags für Ressourcen verwalten. Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie in der Referenz für IAM-Berechtigungen.

Nächste Schritte

  • Informationen zum Gewähren von Berechtigungen für Tags und zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tags für Firewalls verwenden.