Tag memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional.
Tag berbeda dari tag jaringan. Tag jaringan adalah string sederhana, bukan kunci dan nilai, dan tidak menawarkan jenis kontrol akses apa pun. Untuk mengetahui informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan serta produk yang mendukung masing-masing tag, lihat Perbandingan Tag dan tag jaringan.
Spesifikasi
Tag memiliki spesifikasi berikut:
- Resource induk: Tag adalah resource yang dibuat dalam resource organisasi atau project. Saat membuat Tag untuk digunakan dalam kebijakan firewall jaringan, Anda memilih jaringan VPC yang akan dikaitkan dengan Tag tersebut.
- Jaringan VPC harus merupakan bagian dari project dalam organisasi. Jika Anda tidak memiliki organisasi, lihat panduan orientasi organisasi.
- Struktur dan format: Tag adalah resource yang berisi dua komponen: kunci dan satu atau beberapa nilai.
- Anda dapat membuat maksimum 1.000 Kunci tag di satu organisasi atau project.
- Setiap kunci Tag dapat memiliki maksimum 1.000 nilai Tag.
- Kontrol akses: Kebijakan IAM menentukan akun utama IAM yang dapat membuat dan menggunakan Tag. Akun utama IAM dengan peran Administrator Tag dapat membuat definisi Tag. Bersama dengan izin IAM lain yang diperlukan, memberikan peran Tag User kepada akun utama akan memungkinkan pengguna tersebut menggunakan Tag saat membuat VM dan menerapkan aturan kebijakan firewall jaringan yang menggunakan Tag tersebut. Dengan memberikan peran Tag User, Anda dapat mendelegasikan penetapan kebijakan firewall jaringan untuk VM kepada developer aplikasi, administrator database, atau tim operasional. Untuk mengetahui informasi lebih lanjut tentang izin yang diperlukan, lihat Peran IAM.
- Binding ke VM: Setiap Tag dapat dilampirkan ke instance VM dalam jumlah yang tidak terbatas. Anda dapat memasang maksimal 10 Tag per antarmuka jaringan (NIC)
VM. Misalnya:
- Jika VM memiliki satu NIC, Anda dapat memasang hingga 10 Tag. Setiap Tag harus dikaitkan dengan jaringan VPC yang sama yang digunakan oleh satu NIC VM.
- Jika VM memiliki dua NIC, Anda dapat memasang hingga 10 Tag yang terkait dengan jaringan VPC yang digunakan oleh
nic0dan hingga 10 Tag yang terkait dengan jaringan VPC yang digunakan olehnic1.
- Dukungan firewall: Hanya kebijakan firewall jaringan, termasuk kebijakan firewall regional, yang mendukung Tag. Kebijakan firewall hierarkis maupun aturan firewall VPC tidak mendukung Tag.
- Aturan firewall VPC mendukung tag jaringan. Untuk mengetahui detailnya, lihat Perbandingan Tag dan tag jaringan.
- Dukungan Peering Jaringan VPC: Aturan traffic masuk dalam kebijakan firewall jaringan dapat mengidentifikasi sumber di jaringan VPC yang sama dan jaringan VPC yang di-peering.
- Penyedia layanan yang memublikasikan layanan menggunakan akses layanan pribadi dapat memungkinkan pelanggan mengontrol instance VM mana yang diizinkan untuk mengakses layanan yang ditawarkan oleh penyedia.
- Tag, target, dan sumber: Tag menggunakan antarmuka jaringan VM sebagai identitas pengirim atau penerima:
- Untuk aturan masuk dan keluar dalam kebijakan firewall jaringan, Anda dapat menggunakan parameter
--target-secure-tagsuntuk menentukan instance VM tempat aturan tersebut diterapkan. Untuk aturan masuk, target menentukan tujuan; untuk aturan traffic keluar, target menentukan sumber. - Untuk aturan masuk dalam kebijakan firewall jaringan, Anda dapat menggunakan Tag untuk menentukan sumber dengan parameter
--src-secure-tags. - Untuk detail selengkapnya, lihat Menerjemahkan Tag ke alamat IP.
- Untuk aturan masuk dan keluar dalam kebijakan firewall jaringan, Anda dapat menggunakan parameter
Contoh
Untuk merepresentasikan berbagai fungsi instance VM dalam jaringan, administrator Tag dapat membuat Tag dengan kunci vm-function dan daftar kemungkinan nilai seperti database, app-client, dan app-server. Administrator Tag dapat memilih nama apa pun untuk kunci Tag dan nilainya.
Untuk mengetahui detail selengkapnya tentang membuat dan menggunakan Tag, lihat Membuat dan mengelola tag.
Perbandingan Tag dan tag jaringan
Tabel berikut merangkum perbedaan antara Tag dan tag jaringan.
| Atribut | Tag | Network tags |
|---|---|---|
| Referensi orang tua | Organisasi atau project | Project |
| Struktur dan format | Kunci dengan maksimal 1.000 nilai | String sederhana |
| Kontrol akses | Menggunakan IAM | Tidak ada kontrol akses |
| Pengikatan instance | Per antarmuka jaringan (jaringan VPC tunggal) | Semua antarmuka jaringan |
| Didukung oleh kebijakan firewall hierarkis | ||
| Didukung oleh kebijakan firewall jaringan | ||
| Didukung oleh aturan firewall VPC | ||
| Peering Jaringan VPC |
|
|
Menerjemahkan Tag aman ke alamat IP
Untuk tag aman di parameter target:
Untuk aturan masuk, lihat Target dan alamat IP untuk aturan masuk.
Untuk mengetahui aturan traffic keluar, lihat Target dan alamat IP untuk aturan traffic keluar.
Untuk Tag dalam parameter sumber aturan masuk, lihat Cara tag aman sumber menyiratkan sumber paket.
Peran IAM
Untuk membuat dan mengelola Kunci tag dan nilai Tag, Anda memerlukan peran Administrator Tag atau peran khusus dengan izin yang setara. Untuk mengetahui informasi selengkapnya, lihat Mengelola tag.
Untuk mengelola Tag di VM, Anda memerlukan kedua hal berikut:
- Izin untuk menggunakan Tag tertentu
- Izin untuk mengelola Tag pada VM tertentu
| Tugas | Izin | Peran |
|---|---|---|
| Gunakan Tag | Izin berikut untuk Tag tertentu:
|
Berikan peran Tag User pada Tag tertentu. |
| Mengelola Tag di VM | Izin berikut untuk VM tertentu:
|
Berikan salah satu peran berikut di VM tertentu. Banyak peran yang mencakup izin yang diperlukan, termasuk yang berikut ini:
|
Untuk informasi selengkapnya tentang izin Tag, lihat Mengelola Tag pada resource. Untuk mengetahui informasi selengkapnya tentang peran yang menyertakan izin IAM tertentu, lihat referensi izin IAM.
Langkah selanjutnya
- Untuk memberikan izin ke Tag serta membuat kunci dan nilai Tag, lihat Menggunakan Tag untuk firewall.