Tags para firewalls

As tags permitem definir origens e destinos nas políticas de firewall da rede global e regional.

As tags são diferentes das tags de rede. As tags de rede são strings simples, não chaves e valores, e não oferecem nenhum tipo de controle de acesso. Para conferir mais informações sobre as diferenças entre tags de rede e tags e quais produtos oferecem suporte a cada uma, consulte Comparação entre tags e tags de rede.

Especificações

As tags têm as seguintes especificações:

Recurso pai: as tags são recursos criados em um recurso de organização ou projeto. Ao criar uma tag para uso em uma política de firewall de rede, você escolhe a rede VPC associada a ela.
- As redes VPC precisam pertencer a um projeto dentro de uma organização. Se você não tiver uma organização, consulte o guia de integração da organização.
Estrutura e formato: as tags são recursos que contêm dois componentes: uma chave e um ou mais valores.
- É possível criar no máximo 1.000 chaves de tags em uma organização ou um projeto.
- Cada chave de tag pode ter, no máximo, mil valores de tag.
Controle de acesso: as políticas do IAM determinam quais principais do IAM podem criar e usar tags. Os principais do IAM com o papel de administrador de tags podem criar definições de tag. Além das outras permissões necessárias do IAM, conceder ao principal um papel de usuário de tags permite que esse usuário a utilize ao criar VMs e aplique regras de política de firewall de rede que a usem. Conceder o papel de usuário de tag permite que você delegue a atribuição de políticas de firewall da rede para VMs a desenvolvedores de aplicativos, administradores de bancos de dados ou equipes operacionais. Para mais informações sobre as permissões necessárias, consulte Papéis do IAM.
Vinculação a VMs: cada tag pode ser anexada a um número ilimitado de instâncias de VM. É possível anexar no máximo 10 tags por interface de rede (NIC, na sigla em inglês) de uma VM. Por exemplo:
- Se uma VM tiver uma única NIC, será possível anexar até 10 tags. Cada tag precisa estar associada à mesma rede VPC usada pela única NIC da VM.
- Se uma VM tiver duas NICs, será possível anexar até 10 tags associadas à rede VPC que é usada por nic0 e até 10 tags associadas à rede VPC que é usada por nic1.
Suporte a firewall: apenas políticas de firewall de rede, incluindo políticas de firewall regionais, aceitam tags. As políticas de firewall hierárquicas e as regras de firewall da VPC não aceitam tags.
- As regras de firewall da VPC são compatíveis com tags de rede. Para mais detalhes, consulte Comparação de tags e tags de rede.
Compatibilidade com peering de rede VPC: as regras de entrada em uma política de firewall de rede podem identificar origens na mesma rede VPC e nas redes VPC com peering.
- Os provedores de serviços que publicam serviços usando o acesso a serviços particulares podem permitir que os clientes controlem quais das instâncias de VM deles têm permissão para acessar um serviço oferecido pelo provedor.
Tags, destinos e origens: as tags usam a interface de rede da VM como uma identidade do remetente ou destinatário:
- Para regras de entrada e saída em políticas de firewall de rede, é possível usar o parâmetro --target-secure-tags para especificar as instâncias de VM a que a regra se aplica. Para as regras de entrada, o destino define o destino. Para regras de saída, o destino define a origem.
- Para regras de entrada em políticas de firewall de rede, é possível usar tags para especificar origens com o parâmetro --src-secure-tags.
- Para mais detalhes, consulte Como traduzir tags em endereços IP.

Exemplo

Para representar as diferentes funções das instâncias de VM em uma rede, um administrador de tags pode criar uma tag com uma chave vm-function e uma lista de possíveis valores, como database, app-client e app-server. O administrador de tag pode escolher qualquer nome para a chave de tag e os valores dela.

Para conferir mais informações sobre como criar e usar tags, consulte Como criar e gerenciar tags.

Comparação de tags e tags de rede

A tabela a seguir resume as diferenças entre tags e tags de rede.

Atributo	Tags	Tags de rede
Recurso pai	Organização ou projeto	Projeto
Estrutura e formato	Chave com até 1.000 valores	String simples
Controle de acesso	Como usar o IAM	Nenhum controle de acesso
Vinculação de instâncias	Por interface de rede (rede VPC única)	Todas as interfaces de rede
Compatível com políticas hierárquicas de firewall
Compatível com políticas de firewall de rede
Compatível com regras de firewall da VPC
Peering de rede VPC	Quando usada para especificar uma origem de uma regra de entrada em uma política de firewall de rede, uma tag pode identificar origens na rede VPC em que a tag está com escopo e em qualquer rede VPC com peering conectada à rede VPC que tem o escopo da tag. Quando usada para especificar um destino de uma regra de entrada ou saída em uma política de firewall da rede, uma tag só pode identificar destinos na rede VPC em que ela está com escopo.	Quando usada para especificar uma origem para uma regra de firewall de entrada da VPC, a tag de rede identifica apenas as origens na rede VPC especificada na regra de firewall da VPC. Quando usada para especificar um destino para uma regra de firewall da VPC de entrada ou saída, uma tag de rede identifica apenas destinos na rede VPC especificada na regra de firewall da VPC.

Conversão de tags seguras em endereços IP

Para tags seguras em parâmetros de destino:

Para regras de entrada, consulte Destinos e endereços IP para regras de entrada.
Para regras de saída, consulte Destinos e endereços IP para regras de saída.

Para tags em parâmetros de origem de regras de entrada, consulte Como as tags seguras de origem implicam origens de pacotes.

Papéis IAM

Para criar e gerenciar chaves de tag e valores de tag, você precisa do papel de administrador de tags ou de um papel personalizado com permissões equivalentes. Para mais informações, consulte Administrar tags.

Para gerenciar tags em uma VM, você precisa ter o seguinte:

Permissões para usar a tag específica
Permissões para gerenciar a tag em uma VM específica

Tarefa	Permissão	Papel
Usar uma tag	As seguintes permissões para a tag específica: resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	Conceda o papel de usuário da tag na tag específica.
Gerenciar uma tag em uma VM	As seguintes permissões para a VM específica: compute.instances.createTagBinding compute.instances.deleteTagBinding	Conceder um dos seguintes papéis na VM específica. Muitos papéis incluem as permissões necessárias, incluindo as seguintes: Usuário de tags administrador de instâncias do Compute (v1) Administrador do Compute

Tarefa

Permissão

Papel

Usar uma tag

As seguintes permissões para a tag específica:

resourcemanager.tagValueBindings.create

resourcemanager.tagValueBindings.delete

Conceda o papel de usuário da tag na tag específica.

Gerenciar uma tag em uma VM

As seguintes permissões para a VM específica:

compute.instances.createTagBinding

compute.instances.deleteTagBinding

Conceder um dos seguintes papéis na VM específica.

Muitos papéis incluem as permissões necessárias, incluindo as seguintes:

Usuário de tags

administrador de instâncias do Compute (v1)

Administrador do Compute

Para saber mais sobre permissões para tags, consulte Gerenciar tags em recursos. Para mais informações sobre quais papéis incluem permissões do IAM específicas, consulte a Referência de permissões do IAM.

A seguir

Para conceder permissões a tags e criar chaves e valores de tags, consulte Usar tags para firewalls.