방화벽 태그

태그를 사용하면 전역 네트워크 방화벽 정책과 리전 네트워크 방화벽 정책에서 소스와 대상을 정의할 수 있습니다.

태그는 네트워크 태그와 다릅니다. 네트워크 태그는 키와 값이 아닌 간단한 문자열이며 어떤 종류의 액세스 제어도 제공하지 않습니다. 태그와 네트워크 태그의 차이점과 각 태그를 지원하는 제품에 대한 자세한 내용은 태그와 네트워크 태그 비교를 참조하세요.

사양

태그 사양은 다음과 같습니다.

상위 리소스: 태그는 조직 또는 프로젝트 리소스 내에서 생성된 리소스입니다. 네트워크 방화벽 정책에 사용할 태그를 만들 때 태그를 연결할 VPC 네트워크를 선택합니다.
- VPC 네트워크는 조직 내의 프로젝트에 속해야 합니다. 조직이 없는 경우 조직 온보딩 가이드를 참조하세요.
구조 및 형식: 태그는 2개 구성요소(키 및 1개 이상의 값)를 포함하는 리소스입니다.
- 조직 또는 프로젝트에서 최대 1,000개의 태그 키를 만들 수 있습니다.
- 각 태그 키에는 최대 1,000개의 태그 값이 있을 수 있습니다.
액세스 제어: IAM 정책은 태그를 만들고 사용할 수 있는 IAM 주 구성원을 결정합니다. 태그 관리자 역할이 있는 IAM 주 구성원은 태그 정의를 만들 수 있습니다. 다른 필수 IAM 권한과 함께 주 구성원에 태그 사용자 역할을 부여하면 사용자가 태그를 사용하여 VM을 만들고 태그를 사용하는 네트워크 방화벽 정책 규칙을 적용할 수 있습니다. 태그 사용자 역할을 부여하면 VM의 네트워크 방화벽 정책 할당을 애플리케이션 개발자, 데이터베이스 관리자 또는 운영 팀에 위임할 수 있습니다. 필요한 권한에 대한 자세한 내용은 IAM 역할을 참조하세요.
VM에 바인딩: 각 태그를 VM 인스턴스에 무제한으로 연결할 수 있습니다. VM의 네트워크 인터페이스(NIC)당 최대 10개의 태그를 연결할 수 있습니다. 예를 들면 다음과 같습니다.
- VM에 단일 NIC가 있으면 최대 10개의 태그를 연결할 수 있습니다. 각 태그는 VM의 단일 NIC에서 사용하는 것과 동일한 VPC 네트워크와 연결되어야 합니다.
- VM에 NIC가 2개 있는 경우 nic0에서 사용하는 VPC 네트워크와 연결된 태그를 최대 10개 및 nic1에서 사용하는 VPC 네트워크와 연결된 태그를 최대 10개 연결할 수 있습니다.
방화벽 지원: 리전별 방화벽 정책을 포함한 네트워크 방화벽 정책만 태그를 지원합니다. 계층식 방화벽 정책 또는 VPC 방화벽 규칙 모두 태그를 지원하지 않습니다.
- VPC 방화벽 규칙은 네트워크 태그를 지원합니다. 자세한 내용은 태그 및 네트워크 태그 비교를 참조하세요.
VPC 네트워크 피어링 지원: 네트워크 방화벽 정책의 인그레스 규칙은 동일한 VPC 네트워크 및 피어링된 VPC 네트워크의 소스를 식별할 수 있습니다.
- 비공개 서비스 액세스를 사용하여 서비스를 게시하는 서비스 제공업체는 고객으로 하여금 제공업체가 제공하는 서비스에 액세스할 수 있는 VM 인스턴스를 제어할 수 있도록 할 수 있습니다.
태그, 대상, 소스: 태그는 VM의 네트워크 인터페이스를 발신자 또는 수신자의 ID로 사용합니다.
- 네트워크 방화벽 정책의 인그레스 및 이그레스 규칙의 경우 --target-secure-tags 매개변수를 사용하여 규칙이 적용되는 VM 인스턴스를 지정할 수 있습니다. 인그레스 규칙의 경우 대상은 목적지를 정의하며, 이그레스 규칙의 경우 대상이 소스를 정의합니다.
- 네트워크 방화벽 정책의 인그레스 규칙의 경우 태그를 사용하여 --src-secure-tags 매개변수로 소스를 지정할 수 있습니다.
- 자세한 내용은 IP 주소로 태그 변환을 참조하세요.

예시

네트워크에서 VM 인스턴스의 다양한 기능을 나타내려면 태그 관리자는 vm-function 키와 database, app-client, app-server와 같은 값의 목록을 사용하여 태그를 만들면 됩니다. 태그 관리자는 태그 키 및 해당 값의 이름을 선택할 수 있습니다.

태그 생성 및 사용에 대한 자세한 내용은 태그 생성 및 관리를 참조하세요.

태그와 네트워크 태그 비교

다음 표에서는 태그와 네트워크 태그의 차이점을 요약해서 보여줍니다.

속성	태그	네트워크 태그
상위 리소스	조직 또는 프로젝트	프로젝트
구조와 형식	최대 1,000개의 값이 있는 키	단순 문자열
액세스 제어	IAM 사용	액세스 제어 없음
인스턴스 바인딩	네트워크 인터페이스별(단일 VPC 네트워크)	모든 네트워크 인터페이스
계층식 방화벽 정책에서 지원
네트워크 방화벽 정책에서 지원
VPC 방화벽 규칙에서 지원
VPC 네트워크 피어링	네트워크 방화벽 정책에서 인그레스 규칙의 소스를 지정하는 경우 태그는 태그 범위가 지정된 VPC 네트워크와 태그 범위가 지정된 VPC 네트워크와 연결된 모든 피어 VPC 네트워크에서 소스를 식별할 수 있습니다. 네트워크 방화벽 정책에서 인그레스 또는 이그레스 규칙의 대상을 지정하는 경우 태그는 태그 범위가 지정된 VPC 네트워크의 대상만 식별할 수 있습니다.	인그레스 VPC 방화벽 규칙의 소스를 지정하는 경우 네트워크 태그는 VPC 방화벽 규칙에 지정된 VPC 네트워크 내의 소스만 식별합니다. 인그레스 또는 이그레스 VPC 방화벽 규칙의 대상을 지정하는 경우 네트워크 태그는 VPC 방화벽 규칙에 지정된 VPC 네트워크 내의 대상만 식별합니다.

보안 태그를 IP 주소로 변환

타겟 매개변수의 보안 태그:

인그레스 규칙의 경우 인그레스 규칙의 대상 및 IP 주소를 참조하세요.
이그레스 규칙의 경우 이그레스 규칙의 대상 및 IP 주소를 참조하세요.

인그레스 규칙의 소스 매개변수에 있는 태그의 경우 소스 보안 태그가 패킷 소스를 암시하는 방법을 참조하세요.

IAM 역할

태그 키 및 태그 값을 만들고 관리하려면 태그 관리자 역할 또는 이에 상응하는 권한이 있는 커스텀 역할이 필요합니다. 자세한 내용은 태그 관리를 참조하세요.

VM에서 태그를 관리하려면 다음이 모두 필요합니다.

특정 태그 사용 권한
특정 VM에서 태그를 관리할 수 있는 권한

태스크	권한	역할
태그 사용	특정 태그에 대한 다음 권한: resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	특정 태그에 태그 사용자 역할을 부여합니다.
VM에서 태그 관리	특정 VM에 대한 다음 권한: compute.instances.createTagBinding compute.instances.deleteTagBinding	특정 VM에서 다음 역할 중 하나를 부여합니다. 다음과 같은 다양한 역할에 필요한 권한이 포함되어 있습니다. 태그 사용자 Compute 인스턴스 관리자(v1) Compute 관리자

태스크

권한

역할

태그 사용

특정 태그에 대한 다음 권한:

resourcemanager.tagValueBindings.create

resourcemanager.tagValueBindings.delete

특정 태그에 태그 사용자 역할을 부여합니다.

VM에서 태그 관리

특정 VM에 대한 다음 권한:

compute.instances.createTagBinding

compute.instances.deleteTagBinding

특정 VM에서 다음 역할 중 하나를 부여합니다.

다음과 같은 다양한 역할에 필요한 권한이 포함되어 있습니다.

태그 사용자

Compute 인스턴스 관리자(v1)

Compute 관리자

태그 권한에 대한 자세한 내용은 리소스의 태그 관리를 참조하세요. 특정 IAM 권한이 포함된 역할에 대한 자세한 내용은 IAM 권한 참조를 참조하세요.

다음 단계

태그에 권한을 부여하고 태그 키 및 값을 만들려면 방화벽에 태그 사용을 참조하세요.