Tag per firewall

I tag consentono di definire le origini e i target nei criteri firewall di rete globali e nei criteri firewall di rete a livello di regione.

I tag sono diversi dai tag di rete. I tag di rete sono stringhe semplici, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per ulteriori informazioni sulle differenze tra i tag e i tag di rete e sui prodotti che supportano ciascuno di essi, consulta la sezione Confronto tra tag e tag di rete.

Specifiche

I tag hanno le seguenti specifiche:

Risorsa padre: i tag sono risorse create all'interno di una risorsa di organizzazione o progetto. Quando crei un Tag da utilizzare in un criterio firewall di rete, scegli la rete VPC a cui associare il tag.
- Le reti VPC devono appartenere a un progetto all'interno di un'organizzazione. Se non hai un'organizzazione, consulta la guida alle operazioni preliminari per le organizzazioni.
Struttura e formato: i tag sono risorse che contengono due componenti: una chiave e uno o più valori.
- Puoi creare un massimo di 1000 chiavi tag in un'organizzazione o in un progetto.
- Ogni chiave tag può avere un massimo di 1000 valori tag.
Controllo dell'accesso: i criteri IAM determinano quali entità IAM possono creare e utilizzare i tag. Le entità IAM con il ruolo Amministratore tag possono creare definizioni di tag. Insieme alle altre autorizzazioni IAM necessarie, la concessione a un'entità del ruolo Utente tag consente all'utente di utilizzare il tag quando crea VM e di applicare regole dei criteri del firewall di rete che utilizzano il tag. La concessione del ruolo Utente tag ti consente di delegare l'assegnazione dei criteri firewall di rete per le VM a sviluppatori di applicazioni, amministratori di database o team operativi. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Ruoli IAM.
Associazione alle VM: ogni tag può essere collegato a un numero illimitato di istanze VM. Puoi collegare un massimo di 10 tag per interfaccia di rete (NIC) di una VM. Ad esempio:
- Se una VM ha un singolo NIC, puoi collegare fino a 10 tag. Ogni tag deve essere associato alla stessa rete VPC utilizzata dal singolo NIC della VM.
- Se una VM ha due NIC, puoi collegare fino a 10 tag associati alla rete VPC utilizzata da nic0 e fino a 10 tag associati alla rete VPC utilizzata da nic1.
Supporto firewall: solo i criteri firewall di rete, inclusi i criteri firewall a livello di regione, supportano i tag. I tag non sono supportati né dai criteri firewall gerarchici né dalle regole firewall VPC.
- Le regole firewall VPC supportano i tag di rete. Per maggiori dettagli, consulta la sezione Confronto di tag e tag di rete.
Supporto del peering di rete VPC: le regole in entrata in un criterio firewall di rete possono identificare le origini sia nella stessa rete VPC sia nelle reti VPC in peering.
- I fornitori di servizi che pubblicano servizi utilizzando l'accesso privato ai servizi possono consentire ai propri clienti di controllare a quali delle loro istanze VM è consentito accedere a un servizio offerto dal provider.
Tag, destinazioni e origini:i tag utilizzano l'interfaccia di rete della VM come identità del mittente o del destinatario:
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il parametro --target-secure-tags per specificare le istanze VM a cui si applica la regola. Per le regole in entrata, la destinazione definisce la destinazione; per le regole in uscita, la destinazione definisce l'origine.
- Per le regole in entrata nei criteri firewall di rete, puoi utilizzare i tag per specificare le origini con il parametro --src-secure-tags.
- Per maggiori dettagli, consulta Traduzione di tag in indirizzi IP.

Esempio

Per rappresentare le diverse funzioni delle istanze VM in una rete, un amministratore di Tag può creare un Tag con una chiave vm-function e un elenco di possibili valori come database, app-client e app-server. L'amministratore di Tag può scegliere qualsiasi nome per la chiave Tag e i relativi valori.

Per ulteriori informazioni sulla creazione e sull'utilizzo dei tag, consulta Creazione e gestione dei tag.

Confronto tra tag e tag di rete

La seguente tabella riassume le differenze tra tag e tag di rete.

Attributo	Tag	Tag di rete
Risorsa padre	Organizzazione o progetto	Progetto
Struttura e formato	Chiave con un massimo di 1000 valori	Stringa semplice
Controllo dell'accesso	Utilizzo di IAM	Nessun controllo dell'accesso
Associazione di istanze	Per interfaccia di rete (singola rete VPC)	Tutte le interfacce di rete
Supportato da criteri firewall gerarchici
Supportato dai criteri firewall di rete
Supportato dalle regole firewall VPC
Peering di rete VPC	Se utilizzato per specificare un'origine per una regola in entrata in un criterio firewall di rete, un tag può identificare le origini sia nella rete VPC a cui è limitato l'ambito del tag sia in qualsiasi rete VPC peer collegata alla rete VPC a cui è limitato l'ambito del tag. Se utilizzato per specificare una destinazione per una regola in entrata o in uscita in un criterio firewall di rete, un tag può identificare solo le destinazioni nella rete VPC a cui è limitato l'ambito.	Se utilizzato per specificare un'origine per una regola firewall VPC in entrata, un tag di rete identifica solo le origini all'interno della rete VPC specificata nella regola firewall VPC. Quando viene utilizzato per specificare una destinazione per una regola firewall VPC in entrata o in uscita, un tag di rete identifica solo le destinazioni all'interno della rete VPC specificata nella regola firewall VPC.

Traduzione di tag sicuri in indirizzi IP

Per i tag protetti nei parametri di destinazione:

Per le regole in entrata, consulta Destinazioni e indirizzi IP per le regole in entrata.
Per le regole in uscita, consulta Destinazioni e indirizzi IP per le regole in uscita.

Per i tag nei parametri di origine delle regole in entrata, consulta In che modo i tag protetti di origine implicano le origini a pacchetto.

Ruoli IAM

Per creare e gestire le chiavi tag e i valori dei tag, devi disporre del ruolo Amministratore di tag o di un ruolo personalizzato con autorizzazioni equivalenti. Per ulteriori informazioni, consulta Amministrazione dei tag.

Per gestire i tag su una VM, sono necessarie entrambe le seguenti caratteristiche:

Autorizzazioni per utilizzare il tag specifico
Autorizzazioni per gestire il tag su una VM specifica

Attività	Autorizzazione	Ruolo
Utilizza un tag	Le seguenti autorizzazioni per il tag specifico: resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	Concedi il ruolo Utente tag per il tag specifico.
Gestisci un tag su una VM	Le seguenti autorizzazioni per la VM specifica: compute.instances.createTagBinding compute.instances.deleteTagBinding	Concedi uno dei seguenti ruoli sulla VM specifica. Molti ruoli includono le autorizzazioni richieste, tra cui: Utente tag Amministratore istanze Compute (v1) Amministratore Compute

Attività

Autorizzazione

Ruolo

Utilizza un tag

Le seguenti autorizzazioni per il tag specifico:

resourcemanager.tagValueBindings.create

resourcemanager.tagValueBindings.delete

Concedi il ruolo Utente tag per il tag specifico.

Gestisci un tag su una VM

Le seguenti autorizzazioni per la VM specifica:

compute.instances.createTagBinding

compute.instances.deleteTagBinding

Concedi uno dei seguenti ruoli sulla VM specifica.

Molti ruoli includono le autorizzazioni richieste, tra cui:

Utente tag

Amministratore istanze Compute (v1)

Amministratore Compute

Per ulteriori informazioni sulle autorizzazioni per i tag, consulta Gestione dei tag nelle risorse. Per ulteriori informazioni su quali ruoli includono autorizzazioni IAM specifiche, consulta il riferimento sulle autorizzazioni IAM.

Passaggi successivi

Per concedere le autorizzazioni ai Tag e creare chiavi e valori dei Tag, consulta Utilizzare i tag per i firewall.