タグを使用すると、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでソースとターゲットを定義できます。
タグはネットワーク タグとは異なります。ネットワーク タグは、キーと値ではなく、単純な文字列であり、いかなるアクセス制御も行いません。タグとネットワーク タグの違いと、それぞれのタグでサポートされるサービスについては、タグとネットワーク タグの比較をご覧ください。
仕様
タグの仕様は次のとおりです。
- 親リソース: タグは、組織またはプロジェクト リソースに作成されるリソースです。ネットワーク ファイアウォール ポリシーで使用するタグを作成するときに、タグを関連付ける Virtual Private Cloud(VPC)ネットワークを選択します。
- VPC ネットワークは、組織内のプロジェクトに属している必要があります。組織がない場合は、組織のオンボーディング ガイドをご覧ください。
- 構造と形式: タグは、2 つのコンポーネント(キーと 1 つ以上の値)を含むリソースです。
- 組織またはプロジェクトには、最大 1,000 個のタグキーを作成できます。
- 各タグキーには最大 1,000 個のタグ値を設定できます。
- アクセス制御: Identity and Access Management(IAM)ポリシーにより、タグを作成および使用できる IAM プリンシパルが決まります。タグ管理者のロールを持つ IAM プリンシパルは、タグの定義を作成できます。プリンシパルにその他の必要な IAM 権限とともにタグユーザーのロールを付与すると、そのユーザーは VM の作成時にタグを使用して、そのタグを使用するネットワーク ファイアウォール ポリシー ルールを適用できるようになります。タグユーザーのロールを付与すると、VM のネットワーク ファイアウォール ポリシーの割り当てをアプリケーション デベロッパー、データベース管理者、運用チームに委任できます。必要な権限の詳細については、IAM ロールをご覧ください。
- VM へのバインディング: 各タグは、任意の数の VM インスタンスに適用できます。VM のネットワーク インターフェース(NIC)ごとに最大 10 個のタグを適用できます。たとえば、次のような情報が得られます。
- VM に NIC が 1 つある場合、最大 10 個のタグを適用できます。各タグは、VM の単一の NIC で使用される VPC ネットワークに関連付けられている必要があります。
- VM に NIC が 2 つある場合は、
nic0の VPC ネットワークに関連付けられたタグを最大 10 個適用できます。また、nic1の VPC ネットワークに関連付けられたタグを最大 10 個適用できます。
- ファイアウォールのサポート: リージョン ファイアウォール ポリシーを含むネットワーク ファイアウォール ポリシーのみがタグをサポートします。階層型ファイアウォール ポリシーと VPC ファイアウォール ルールはタグをサポートしていません。
- VPC ファイアウォール ルールはネットワーク タグをサポートしています。詳細については、タグとネットワーク タグの比較をご覧ください。
- VPC ネットワーク ピアリングのサポート: ネットワーク ファイアウォール ポリシーの上り(内向き)ルールでは、同じ VPC ネットワークとピアリングされた VPC ネットワークの両方の送信元を識別できます。
- プライベート サービス アクセスを使用してサービスを公開するサービス プロバイダでは、プロバイダから提供されたサービスへのアクセスを許可する VM インスタンスの制御をユーザーに任せることができます。
- タグ、ターゲット、ソース: タグでは、送信者または受信者の ID として VM のネットワーク インターフェースを使用します。
- ネットワーク ファイアウォール ポリシーの上り(内向き)ルールと下り(外向き)ルールでは、
--target-secure-tagsパラメータを使用して、ルールが適用される VM インスタンスを指定できます。上り(内向き)ルールの場合、target は宛先を定義しますが、下り(外向き)ルールの場合は送信元を定義します。詳細については、ターゲットをご覧ください。 - ネットワーク ファイアウォール ポリシーの上り(内向き)ルールの場合、タグを使用して
--src-secure-tagsパラメータで送信元を指定できます。上り(内向き)ルールのソース パラメータのタグについては、ソースのセキュアタグでパケットソースを表す方法をご覧ください。
- ネットワーク ファイアウォール ポリシーの上り(内向き)ルールと下り(外向き)ルールでは、
例
ネットワーク内の VM インスタンスのさまざまな機能を表すため、タグ管理者は、vm-function キーと使用可能な値のリスト(database、app-client、app-server など)を使用してタグを作成できます。タグ管理者は、タグキーとその値に任意の名前を選択できます。
タグの作成と使用の詳細については、タグの作成と管理をご覧ください。
タグとネットワーク タグの比較
次の表に、タグとネットワーク タグの違いを示します。
| 属性 | タグ | ネットワーク タグ |
|---|---|---|
| 親リソース | 組織またはプロジェクト | プロジェクト |
| 構造と形式 | 最大 1,000 個の値を持つキー | シンプルな文字列 |
| アクセス制御 | IAM の使用 | アクセス制御なし |
| インスタンス バインディング | ネットワーク インターフェースごと(単一 VPC ネットワーク) | すべてのネットワーク インターフェース |
| 階層型ファイアウォール ポリシーでサポート | ||
| ネットワーク ファイアウォール ポリシーでサポート | ||
| VPC ファイアウォール ルールでサポート | ||
| VPC ネットワーク ピアリング |
|
|
IAM ロール
タグキーとタグ値を作成および管理するには、タグ管理者のロールまたは同等の権限を持つカスタムロールが必要です。詳細については、タグの管理をご覧ください。
VM のタグを管理するには、次の両方の権限が必要です。
- 特定のタグを使用する権限
- 特定の VM のタグを管理する権限
| タスク | 権限 | ロール |
|---|---|---|
| タグを使用する | 特定のタグに対する以下の権限。
|
特定のタグにタグユーザーのロールを付与します。 |
| VM のタグを管理する | 特定の VM に対する次の権限。
|
特定の VM で次のいずれかのロールを付与します。 多くのロールには、次のような必須権限が含まれています。
|
タグの権限の詳細については、リソースのタグの管理をご覧ください。特定の IAM 権限を含むロールの詳細については、IAM 権限のリファレンスをご覧ください。
次のステップ
- タグに権限を付与し、タグのキーと値を作成する。ファイアウォールにタグを使用するをご覧ください。