Etiquetas para los firewalls

Las etiquetas te permiten definir las fuentes y los destinos en las políticas de firewall de red y las políticas de firewall regionales.

Las etiquetas son diferentes de las etiquetas de red. Las etiquetas de red son strings simples, no claves y valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, y qué productos admiten cada una, consulta Comparación de las etiquetas de Resource Manager y las etiquetas de red.

Especificaciones

Las etiquetas tienen las siguientes especificaciones:

• Recurso superior: Las etiquetas son recursos creados dentro de un recurso de organización o de proyecto. Cuando creas una etiqueta para usar en una política de firewall de red, eliges con qué red de VPC asociar la etiqueta.
  • Las redes de VPC deben pertenecer a un proyecto dentro de una organización. Si no tienes una organización, consulta la guía de integración de la organización.
• Estructura y formato: las etiquetas son recursos que contienen dos componentes: una clave y uno o más valores.
  • Puedes crear un máximo de 1,000 claves de etiquetas en una organización o un proyecto.
  • Cada clave de etiqueta puede tener un máximo de 1,000 valores de etiqueta.
• Control de acceso: Las políticas de IAM determinan qué principales de IAM pueden crear y usar etiquetas. Los principales de IAM con el rol de administrador de etiquetas pueden crear definiciones de etiquetas. Junto con otros permisos de IAM necesarios, otorgar a un principal el rol de usuario de etiquetas permite que el usuario use la etiqueta cuando cree VMs y aplique reglas de política de firewall de red que usen la etiqueta. Otorgar el rol de usuario de etiquetas te permite delegar la asignación de políticas de firewall de red para VMs a los desarrolladores de aplicaciones, los administradores de bases de datos o los equipos operativos. Para obtener más información sobre los permisos necesarios, consulta Roles de IAM.
• Vinculación a las VMs: Cada etiqueta se puede adjuntar a una cantidad ilimitada de instancias de VM. Puedes adjuntar un máximo de 10 etiquetas por interfaz de red (NIC) de una VM. Por ejemplo:
  • Si una VM tiene una sola NIC, puedes adjuntar hasta 10 etiquetas. Cada etiqueta debe estar asociada con la misma red de VPC que usa la NIC única de la VM.
  • Si una VM tiene dos NIC, puedes adjuntar hasta 10 etiquetas asociadas con la red de VPC que usa nic0 y hasta 10 etiquetas asociadas con la red de VPC que usa nic1.
• Compatibilidad con firewall: Solo las políticas de firewall de red, incluidas las políticas de firewall regionales, admiten etiquetas. Ni las políticas de firewall jerárquicas ni las reglas de firewall de VPC admiten etiquetas.
  • Las reglas de firewall de VPC admiten etiquetas de red. Para obtener más detalles, consulta Comparación de etiquetas y etiquetas de red.
• Compatibilidad con el intercambio de tráfico entre redes de VPC: Las reglas de la política de firewall de red que se aplican a una red de VPC también se aplican a una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC.
  • Los proveedores de servicios que publican servicios mediante el acceso privado a servicios pueden permitir que sus clientes controlen cuál de sus instancias de VM puede acceder a un servicio que ofrece el proveedor.
• Etiquetas, destinos y fuentes: Las etiquetas usan la interfaz de red de la VM como una identidad del remitente o destinatario:
  • Para las reglas de entrada y salida en las políticas de firewall de red, puedes usar el parámetro --target-secure-tags a fin de especificar las instancias de VM a las que se aplica la regla. Para las reglas de entrada, el destino define la ubicación objetivo. Para las reglas de salida, el destino define el origen.
  • Para las reglas de entrada en las políticas de firewall de red, puedes usar etiquetas a fin de especificar fuentes con el parámetro --src-secure-tags.
  • Para obtener más información, consulta Traducir etiquetas a direcciones IP.

Ejemplo

Para representar las diferentes funciones de las instancias de VM en una red, un administrador de etiquetas puede crear una etiqueta con una clave vm-function y una lista de valores posibles, como database, app-client y app-server. El administrador de etiquetas puede elegir cualquier nombre para la clave de la etiqueta y sus valores.

Para obtener más información sobre cómo crear y usar etiquetas, consulta Crea y administra etiquetas.

Comparación de etiquetas y etiquetas de red

En la siguiente tabla, se resumen las diferencias entre las etiquetas y las etiquetas de red.

Atributo	Etiquetas	Etiquetas de red
Recurso superior	Organización o proyecto	Proyecto
Estructura y formato	Clave con hasta 1,000 valores	String simple
Control de acceso	Usar IAM	No hay controles de acceso
Vinculación de instancias	Por interfaz de red (una sola red de VPC)	Todas las interfaces de red
Compatible con las políticas de firewall jerárquicas
Compatible con las políticas de firewall de red
Compatible con las reglas de firewall de VPC
Intercambio de tráfico entre redes de VPC	Cuando se usa con el fin de especificar un origen para una regla de entrada en una política de firewall de red, una etiqueta puede identificar los orígenes en la red de VPC a la que tiene alcance la etiqueta y en cualquier red de VPC de intercambio de tráfico conectada a la red de VPC a la que se limita la etiqueta. Cuando se usa con el fin de especificar un objetivo para una regla de entrada o salida en una política de firewall de red, una etiqueta solo puede identificar objetivos en la red de VPC a la que tiene alcance la etiqueta.	Cuando se usa con el fin de especificar un origen para una regla de firewall de VPC de entrada, una etiqueta de red solo identifica los orígenes dentro de la red de VPC especificada en la regla de firewall de VPC. Cuando se usa a fin de especificar un destino para una regla de firewall de VPC de entrada o salida, una etiqueta de red solo identifica objetivos dentro de la red de VPC especificada en la regla de firewall de VPC.

Traduce etiquetas seguras a direcciones IP

Para las etiquetas seguras en los parámetros de destino:

• Para las reglas de entrada, consulta Objetivos y direcciones IP en reglas de entrada.

• Para las reglas de salida, consulta Objetivos y direcciones IP para reglas de salida.

Para las etiquetas en parámetros de origen de reglas de entrada, consulta Cómo las etiquetas seguras de origen implican las fuentes de paquetes.

Roles de IAM

Para crear y administrar claves de etiquetas y valores de etiquetas, necesitas el rol de administrador de etiquetas o un rol personalizado con permisos equivalentes. Para obtener más información, consulta Administra etiquetas.

Para administrar etiquetas en una VM, necesitas lo siguiente:

• Permisos para usar la etiqueta específica
• Permisos para administrar la etiqueta en una VM específica

Tarea	Permiso	Rol
Usa una etiqueta	Los siguientes permisos para la etiqueta específica: resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	Otorga el rol de usuario de etiquetas a la etiqueta específica.
Administra una etiqueta en una VM	Los siguientes permisos para la VM específica: compute.instances.createTagBinding compute.instances.deleteTagBinding	Otorga uno de los siguientes roles en la VM específica. Muchos roles incluyen los permisos necesarios, incluidos los siguientes: Usuario de etiquetas Administrador de instancias de Compute (v1) Administrador de Compute

Para obtener más información sobre los permisos de las etiquetas, consulta Administra etiquetas en los recursos. Para obtener más información sobre qué roles incluyen permisos específicos de IAM, consulta Referencia de permisos de IAM.

¿Qué sigue?

• A fin de otorgar permisos a las etiquetas y crear claves y valores de etiqueta, consulta Usa etiquetas para firewalls.