Etiquetas para los firewalls
Las etiquetas te permiten definir las fuentes y los destinos en las políticas de firewall de red y las políticas de firewall regionales.
Las etiquetas son diferentes de las etiquetas de red. Las etiquetas de red son strings simples, no claves y valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, y qué productos admiten cada una, consulta Comparación de las etiquetas de Resource Manager y las etiquetas de red.
Especificaciones
Las etiquetas tienen las siguientes especificaciones:
- Recurso superior: Las etiquetas son recursos creados dentro de un recurso de organización o de proyecto. Cuando creas una etiqueta para usar en una política de firewall de red, eliges con qué red de VPC asociar la etiqueta.
- Las redes de VPC deben pertenecer a un proyecto dentro de una organización. Si no tienes una organización, consulta la guía de integración de la organización.
- Estructura y formato: las etiquetas son recursos que contienen dos componentes: una clave y uno o más valores.
- Puedes crear un máximo de 1,000 claves de etiquetas en una organización o un proyecto.
- Cada clave de etiqueta puede tener un máximo de 1,000 valores de etiqueta.
- Control de acceso: Las políticas de IAM determinan qué principales de IAM pueden crear y usar etiquetas. Los principales de IAM con el rol de administrador de etiquetas pueden crear definiciones de etiquetas. Junto con otros permisos de IAM necesarios, otorgar a un principal el rol de usuario de etiquetas permite que el usuario use la etiqueta cuando cree VMs y aplique reglas de política de firewall de red que usen la etiqueta. Otorgar el rol de usuario de etiquetas te permite delegar la asignación de políticas de firewall de red para VMs a los desarrolladores de aplicaciones, los administradores de bases de datos o los equipos operativos. Para obtener más información sobre los permisos necesarios, consulta Roles de IAM.
- Vinculación a las VMs: Cada etiqueta se puede adjuntar a una cantidad ilimitada de instancias de VM. Puedes adjuntar un máximo de 10 etiquetas por interfaz de red (NIC) de una VM. Por ejemplo:
- Si una VM tiene una sola NIC, puedes adjuntar hasta 10 etiquetas. Cada etiqueta debe estar asociada con la misma red de VPC que usa la NIC única de la VM.
- Si una VM tiene dos NIC, puedes adjuntar hasta 10 etiquetas asociadas con la red de VPC que usa
nic0
y hasta 10 etiquetas asociadas con la red de VPC que usanic1
.
- Compatibilidad con firewall: Solo las políticas de firewall de red, incluidas las políticas de firewall regionales, admiten etiquetas. Ni las políticas de firewall jerárquicas ni las reglas de firewall de VPC admiten etiquetas.
- Las reglas de firewall de VPC admiten etiquetas de red. Para obtener más detalles, consulta Comparación de etiquetas y etiquetas de red.
- Compatibilidad con el intercambio de tráfico entre redes de VPC: Las reglas de la política de firewall de red que se aplican a una red de VPC también se aplican a una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC.
- Los proveedores de servicios que publican servicios mediante el acceso privado a servicios pueden permitir que sus clientes controlen cuál de sus instancias de VM puede acceder a un servicio que ofrece el proveedor.
- Etiquetas, destinos y fuentes: Las etiquetas usan la interfaz de red de la VM como una identidad del remitente o destinatario:
- Para las reglas de entrada y salida en las políticas de firewall de red, puedes usar el parámetro
--target-secure-tags
a fin de especificar las instancias de VM a las que se aplica la regla. Para las reglas de entrada, el destino define la ubicación objetivo. Para las reglas de salida, el destino define el origen. - Para las reglas de entrada en las políticas de firewall de red, puedes usar etiquetas a fin de especificar fuentes con el parámetro
--src-secure-tags
. - Para obtener más información, consulta Traducir etiquetas a direcciones IP.
- Para las reglas de entrada y salida en las políticas de firewall de red, puedes usar el parámetro
Ejemplo
Para representar las diferentes funciones de las instancias de VM en una red, un administrador de etiquetas puede crear una etiqueta con una clave vm-function y una lista de valores posibles, como database, app-client y app-server. El administrador de etiquetas puede elegir cualquier nombre para la clave de la etiqueta y sus valores.
Para obtener más información sobre cómo crear y usar etiquetas, consulta Crea y administra etiquetas.
Comparación de etiquetas y etiquetas de red
En la siguiente tabla, se resumen las diferencias entre las etiquetas y las etiquetas de red.
Atributo | Etiquetas | Etiquetas de red |
---|---|---|
Recurso superior | Organización o proyecto | Proyecto |
Estructura y formato | Clave con hasta 1,000 valores | String simple |
Control de acceso | Usar IAM | No hay controles de acceso |
Vinculación de instancias | Por interfaz de red (una sola red de VPC) | Todas las interfaces de red |
Compatible con las políticas de firewall jerárquicas | ||
Compatible con las políticas de firewall de red | ||
Compatible con las reglas de firewall de VPC | ||
Intercambio de tráfico entre redes de VPC |
|
|
Traduce etiquetas seguras a direcciones IP
Para las etiquetas seguras en los parámetros de destino:
Para las reglas de entrada, consulta Objetivos y direcciones IP en reglas de entrada.
Para las reglas de salida, consulta Objetivos y direcciones IP para reglas de salida.
Para las etiquetas en parámetros de origen de reglas de entrada, consulta Cómo las etiquetas seguras de origen implican las fuentes de paquetes.
Roles de IAM
Para crear y administrar claves de etiquetas y valores de etiquetas, necesitas el rol de administrador de etiquetas o un rol personalizado con permisos equivalentes. Para obtener más información, consulta Administra etiquetas.
Para administrar etiquetas en una VM, necesitas lo siguiente:
- Permisos para usar la etiqueta específica
- Permisos para administrar la etiqueta en una VM específica
Tarea | Permiso | Rol |
---|---|---|
Usa una etiqueta | Los siguientes permisos para la etiqueta específica:
|
Otorga el rol de usuario de etiquetas a la etiqueta específica. |
Administra una etiqueta en una VM | Los siguientes permisos para la VM específica:
|
Otorga uno de los siguientes roles en la VM específica. Muchos roles incluyen los permisos necesarios, incluidos los siguientes:
|
Para obtener más información sobre los permisos de las etiquetas, consulta Administra etiquetas en los recursos. Para obtener más información sobre qué roles incluyen permisos específicos de IAM, consulta Referencia de permisos de IAM.
¿Qué sigue?
- A fin de otorgar permisos a las etiquetas y crear claves y valores de etiqueta, consulta Usa etiquetas para firewalls.