防火墙标记

通过标记，您可以在网络防火墙政策和区域防火墙政策中定义来源和目标。

标记与网络标记不同。网络标记是简单的字符串，而不是键和值，不提供任何类型的访问权限控制。如需详细了解标记和网络标记之间的区别以及支持这两种标记的产品，请参阅标记与网络标记的比较。

规格

标记具有以下规范：

父级资源：标记是在组织或项目资源中创建的资源。创建用于网络防火墙政策的标记时，您可以选择与该标记关联的 VPC 网络。
- VPC 网络必须属于组织内的一个项目。如果您没有组织，请参阅组织新手入门指南。
结构和格式：标记是包含两个组成部分的资源：一个键和一个或多个值。
- 您最多可以在一个组织或项目中创建 1,000 个标记键。
- 每个标记键最多可以有 1,000 个标记值。
访问权限控制：IAM 政策决定了哪些 IAM 主帐号可以创建和使用标记。具有 Tag Administrator 角色的 IAM 主帐号可以创建标记定义。除了其他必要的 IAM 权限之外，向主帐号授予 Tag User 角色后，该用户还可以在创建虚拟机时使用标记以及应用使用标记的网络防火墙政策规则。通过授予 Tag User 角色，您可以将虚拟机的网络防火墙政策分配委派给应用开发者、数据库管理员或运营团队。如需详细了解所需权限，请参阅 IAM 角色。
绑定到虚拟机：每个标记可附加到不限数量的虚拟机实例。您最多可以为虚拟机的每个网络接口 (NIC) 附加 10 个标记。例如：
- 如果虚拟机具有单个 NIC，则最多可以附加 10 个标记。每个标记必须与虚拟机的单个 NIC 使用的 VPC 网络关联。
- 如果虚拟机具有两个 NIC，则最多可以附加 10 个与 nic0 使用的 VPC 网络关联的标记，并且最多可以附加 10 个与 nic1 使用的 VPC 网络关联的标记。
防火墙支持：只有网络防火墙政策（包括区域防火墙政策）支持标记。分层防火墙政策和 VPC 防火墙规则均不支持标记。
- VPC 防火墙规则支持网络标记。如需了解详情，请参阅标记和网络标记的比较。
VPC 网络对等互连支持：适用于 VPC 网络的网络防火墙政策规则也适用于使用 VPC 网络对等互连连接的 VPC 网络。
- 使用专用服务访问通道发布服务的服务提供商可让其客户控制哪些虚拟机实例可以访问该提供商提供的服务。
标记、目标和来源：标记使用虚拟机的网络接口作为发送者或接收者的身份：
- 对于网络防火墙政策中的入站和出站规则，您可以使用 --target-secure-tags 参数指定要应用该规则的虚拟机实例。对于入站规则，目标定义了目的地；对于出站规则，目标定义了来源。
- 对于网络防火墙政策中的入站规则，您可以使用标记，通过 --src-secure-tags 参数指定来源。
- 如需了解详情，请参阅将标记转换为 IP 地址。

示例

如需表示网络中虚拟机实例的不同功能，标记管理员可以创建一个标记，其键为 vm-function，可能的值为 database、app-client 和 app-server。标记管理员可以为标记键或其值选择任何名称。

如需详细了解如何创建和使用标记，请参阅创建和管理标记。

标记和网络标记的比较

下表总结了标记和网络标记之间的差异。

属性	标记	网络标记
父级资源	组织或项目	项目
结构和格式	最多具有 1,000 个值的键	简单字符串
访问权限控制机制	使用 IAM	无访问权限控制
实例绑定	每个网络接口（单个 VPC 网络）	所有网络接口
受分层防火墙政策支持
受网络防火墙政策支持
受 VPC 防火墙规则支持
VPC 网络对等互连	当使用标记为网络防火墙政策中的入站规则指定来源时，标记可以识别其范围限定为的 VPC 网络以及与其范围限定为的 VPC 网络连接的任何对等互连 VPC 网络中的来源。当使用标记为网络防火墙政策中的入站或出站规则指定目标时，标记只能识别其范围限定为的 VPC 网络中的目标。	当使用网络标记为入站 VPC 防火墙规则指定来源时，网络标记仅识别 VPC 防火墙规则中指定的 VPC 网络内的来源。当使用网络标记为入站或出站 VPC 防火墙规则指定目标时，网络标记仅识别 VPC 防火墙规则中指定的 VPC 网络内的目标。

将安全标记转换为 IP 地址

对于目标参数中的安全标记：

对于入站流量规则，请参阅入站流量规则的目标和 IP 地址。
对于出站流量规则，请参阅出站流量规则的目标和 IP 地址。

如需了解入站流量规则来源参数中的标记，请参阅来源安全标记如何表示数据包来源。

IAM 角色

如需创建和管理标记键和标记值，您需要 Tag Administrator 角色或具有等效权限的自定义角色。如需了解详情，请参阅管理标记。

如需管理虚拟机上的标记，您需要同时拥有以下权限：

使用特定标记的权限
管理特定虚拟机上的标记的权限

任务	权限	角色
使用标记	针对特定标记的以下权限： resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	授予特定标记的 Tag User 角色。
管理虚拟机上的标记	针对特定虚拟机的以下权限： compute.instances.createTagBinding compute.instances.deleteTagBinding	授予对特定虚拟机的以下角色之一。许多角色可提供所需的权限，包括： Tag User 计算实例管理员 (v1) Compute Admin

任务

权限

角色

使用标记

针对特定标记的以下权限：

resourcemanager.tagValueBindings.create

resourcemanager.tagValueBindings.delete

授予特定标记的 Tag User 角色。

管理虚拟机上的标记

针对特定虚拟机的以下权限：

compute.instances.createTagBinding

compute.instances.deleteTagBinding

授予对特定虚拟机的以下角色之一。

许多角色可提供所需的权限，包括：

Tag User

计算实例管理员 (v1)

Compute Admin

如需详细了解标记的权限，请参阅管理资源上的标记。如需详细了解哪些角色包含特定 IAM 权限，请参阅 IAM 权限参考文档。

后续步骤

如需向标记授予权限以及创建标记键和值，请参阅使用防火墙标记。