Tag memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional.
Tag berbeda dengan tag jaringan. Tag jaringan adalah string sederhana, bukan kunci dan nilai, dan tidak menawarkan kontrol akses apa pun. Untuk informasi selengkapnya tentang perbedaan antara Tag dan tag jaringan serta produk yang mendukung masing-masing, lihat Perbandingan Tag dan tag jaringan.
Spesifikasi
Tag memiliki spesifikasi berikut:
- Resource induk: Tag adalah resource yang dibuat dalam resource
organisasi atau
project. Saat membuat Tag untuk digunakan dalam kebijakan firewall jaringan, Anda memilih jaringan Virtual Private Cloud (VPC) yang akan dikaitkan dengan Tag.
- Jaringan VPC harus milik project dalam organisasi. Jika Anda tidak memiliki organisasi, lihat panduan aktivasi organisasi.
- Struktur dan format: Tag adalah resource yang berisi dua komponen: kunci dan satu atau beberapa nilai.
- Anda dapat membuat maksimal 1.000 Kunci tag di organisasi atau project.
- Setiap kunci Tag dapat memiliki maksimum 1.000 nilai Tag.
- Kontrol akses: Kebijakan Identity and Access Management (IAM) menentukan prinsipal IAM yang dapat membuat dan menggunakan Tag. Akun utama IAM dengan peran Tag Administrator dapat membuat definisi Tag. Bersama dengan izin IAM lainnya yang diperlukan, memberikan peran Pengguna Tag kepada akun utama memungkinkan pengguna tersebut menggunakan Tag saat membuat VM dan menerapkan aturan kebijakan firewall jaringan yang menggunakan Tag. Dengan memberikan peran Pengguna Tag, Anda dapat mendelegasikan penetapan kebijakan firewall jaringan untuk VM kepada developer aplikasi, administrator database, atau tim operasional. Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan, lihat Peran IAM.
- Mengikat ke VM: Setiap Tag dapat dilampirkan ke sejumlah instance VM yang tidak terbatas. Anda dapat melampirkan maksimum 10 Tag per antarmuka jaringan (NIC) VM. Misalnya:
- Jika VM memiliki satu NIC, Anda dapat melampirkan hingga 10 Tag. Setiap Tag harus dikaitkan dengan jaringan VPC yang sama yang digunakan oleh satu NIC VM.
- Jika VM memiliki dua NIC, Anda dapat melampirkan hingga 10 Tag yang terkait dengan jaringan VPC yang digunakan oleh
nic0dan hingga 10 Tag yang terkait dengan jaringan VPC yang digunakan olehnic1.
- Dukungan firewall: Hanya kebijakan firewall jaringan, termasuk kebijakan
firewall regional, yang mendukung Tag. Kebijakan firewall hierarkis maupun aturan firewall VPC tidak mendukung Tag.
- Aturan firewall VPC mendukung tag jaringan. Untuk mengetahui detailnya, lihat Perbandingan Tag dan tag jaringan.
- Dukungan Peering Jaringan VPC: Aturan ingress dalam kebijakan
firewall jaringan dapat mengidentifikasi sumber di jaringan VPC yang sama dan jaringan VPC yang di-peer.
- Penyedia layanan yang memublikasikan layanan menggunakan akses layanan pribadi dapat mengizinkan pelanggan mereka mengontrol instance VM mana yang diizinkan untuk mengakses layanan yang ditawarkan oleh penyedia.
- Tag, target, dan sumber: Tag menggunakan antarmuka jaringan VM sebagai
identitas pengirim atau penerima:
- Untuk aturan masuk dan keluar dalam kebijakan firewall jaringan, Anda dapat menggunakan
parameter
--target-secure-tagsuntuk menentukan instance VM tempat aturan berlaku. Untuk aturan masuk, target menentukan tujuan; untuk aturan keluar, target menentukan sumber. Untuk mengetahui informasi selengkapnya, lihat Target. - Untuk aturan masuk dalam kebijakan firewall jaringan, Anda dapat menggunakan Tag untuk menentukan sumber dengan parameter
--src-secure-tags. Untuk mempelajari Tag dalam parameter sumber aturan masuk lebih lanjut, lihat Cara tag keamanan sumber menyiratkan sumber paket.
- Untuk aturan masuk dan keluar dalam kebijakan firewall jaringan, Anda dapat menggunakan
parameter
Contoh
Untuk merepresentasikan berbagai fungsi instance VM dalam jaringan, administrator Tag dapat membuat Tag dengan kunci vm-function dan daftar kemungkinan nilai seperti database, app-client, dan app-server. Administrator Tag dapat memilih nama apa pun untuk kunci Tag dan nilainya.
Untuk mengetahui detail selengkapnya tentang cara membuat dan menggunakan Tag, lihat Membuat dan mengelola tag.
Perbandingan Tag dan tag jaringan
Tabel berikut merangkum perbedaan antara Tag dan tag jaringan.
| Atribut | Tag | Tag jaringan |
|---|---|---|
| Resource induk | Organisasi atau project | Project |
| Struktur dan format | Kunci dengan maksimal 1.000 nilai | String sederhana |
| Kontrol akses | Menggunakan IAM | Tidak ada kontrol akses |
| Binding instance | Per antarmuka jaringan (jaringan VPC tunggal) | Semua antarmuka jaringan |
| Didukung oleh kebijakan firewall hierarkis | ||
| Didukung oleh kebijakan firewall jaringan | ||
| Didukung oleh aturan firewall VPC | ||
| Peering Jaringan VPC |
|
|
Peran IAM
Untuk membuat dan mengelola Kunci tag dan Nilai tag, Anda memerlukan peran Tag Administrator atau peran kustom dengan izin yang setara. Untuk mengetahui informasi selengkapnya, lihat Mengelola tag.
Untuk mengelola Tag di VM, Anda memerlukan kedua hal berikut:
- Izin untuk menggunakan Tag tertentu
- Izin untuk mengelola Tag di VM tertentu
| Tugas | Izin | Peran |
|---|---|---|
| Menggunakan Tag | Izin berikut untuk Tag tertentu:
|
Berikan peran Tag User pada Tag tertentu. |
| Mengelola Tag di VM | Izin berikut untuk VM tertentu:
|
Berikan salah satu peran berikut di VM tertentu. Banyak peran menyertakan izin yang diperlukan, termasuk yang berikut ini:
|
Untuk informasi selengkapnya tentang izin untuk Tag, lihat Mengelola Tag di resource. Untuk mengetahui informasi selengkapnya tentang peran yang menyertakan izin IAM tertentu, lihat referensi izin IAM.
Langkah berikutnya
- Untuk memberikan izin ke Tag dan membuat kunci serta nilai Tag, lihat Menggunakan Tag untuk firewall.