Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i tag per i firewall

Crea i tag prima di provare ad associarli alle risorse o a utilizzarli e i criteri firewall di rete. Per controllare l'accesso alla rete, i tag vengono non è efficace se associato a istanze VM.

Per una panoramica, consulta la sezione Tag per firewall.

Concedi le autorizzazioni ai tag

Il ruolo tagAdmin ti consente di creare nuovi tag o di aggiornare ed eliminare quelli esistenti Tag. Un amministratore dell'organizzazione può concedere questo ruolo all'interno dell'organizzazione e un proprietario del progetto può concederlo a livello di progetto.

gcloud

Concedi il ruolo tagAdmin all'utente.
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member=user:EMAIL_ADDRESS \
   --role=roles/resourcemanager.tagAdmin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: ID della tua organizzazione
- EMAIL_ADDRESS: l'indirizzo email dell'utente
Concedi il ruolo tagUser all'utente.
```
gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
   --member=user:EMAIL_ADDRESS \
   --role=roles/resourcemanager.tagUser
```
Sostituisci quanto segue:
- ORGANIZATION_ID: ID della tua organizzazione
- TAG_KEY: la chiave Tag
- EMAIL_ADDRESS: l'indirizzo email dell'utente

Ruoli personalizzati per gestire i tag

Il ruolo tagAdmin ti consente di eseguire le seguenti azioni: creare nuovi tag, aggiornare ed eliminare i tag esistenti. Se hai bisogno di alcune di queste funzionalità, creare un ruolo IAM personalizzato con le autorizzazioni pertinenti e quindi concedere un nuovo ruolo all'utente di destinazione. Per l'elenco delle autorizzazioni pertinenti, consulta IAM. autorizzazioni.

I tag utilizzati nei criteri firewall devono essere designati con un Scopo GCE_FIREWALL. Mentre lo scopo GCE_FIREWALL è obbligatorio affinché il tag per le funzionalità di networking, puoi utilizzare il tag per altre azioni.

I tag utilizzati nei criteri firewall di rete devono avere un ambito limitato a un un singolo VPC.

Creare le chiavi e i valori tag

Prima di associare tag ai criteri firewall di rete, devi creare il tag le chiavi e i valori.

gcloud

Dopo aver ottenuto le autorizzazioni richieste, crea la chiave tag.
```
gcloud resource-manager tags keys create TAG_KEY \
   --parent organizations/ORGANIZATION_ID \
   --purpose GCE_FIREWALL \
   --purpose-data network=PROJECT_ID/NETWORK
```
Sostituisci quanto segue:
- TAG_KEY: la chiave Tag
- ORGANIZATION_ID: ID della tua organizzazione
- PROJECT_ID: ID del progetto
- NETWORK: il nome della tua rete
Aggiungi i valori di tag pertinenti alle chiavi tag. Esegui il comando. più volte per aggiungere più valori. Assicurati che ogni valore di tag aggiunto alla chiave tag sia univoca.
```
gcloud resource-manager tags values create TAG_VALUE \
   --parent ORGANIZATION_ID/TAG_KEY
```
Sostituisci quanto segue:
- ORGANIZATION_ID: ID della tua organizzazione
- TAG_KEY: la chiave Tag
- TAG_VALUE: il valore da assegnare alla chiave tag

Crea un criterio firewall di rete

Dopo aver creato un tag, puoi utilizzarlo nei criteri firewall di rete. In caso contrario se è già presente un criterio firewall di rete, creane uno nuovo.

gcloud

Creare un criterio firewall di rete.
```
gcloud compute network-firewall-policies create \
   FIREWALL_POLICY_NAME \
   --global
```
Sostituisci quanto segue:
- FIREWALL_POLICY_NAME: il nome della nuova rete criterio firewall di rete globale

Crea una regola di criterio firewall con tag

Dopo aver creato un tag e un criterio firewall di rete, puoi creare una rete regola del criterio firewall con i valori del tag di origine e i valori del tag di destinazione specifici per consentire il traffico desiderato tra le VM con i tag di origine tag di destinazione.

gcloud

Crea una regola del criterio firewall di rete con l'origine e la destinazione specifiche le chiavi e i valori.
```
gcloud compute network-firewall-policies rules create 1 \
    --firewall-policy FIREWALL_POLICY_NAME \
    --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --direction DIRECTION \
    --action ACTION \
    --layer4-configs tcp:PORT \
    --global-firewall-policy
```
Sostituisci quanto segue:
- FIREWALL_POLICY_NAME: il nome della nuova rete criterio firewall di rete globale
- ORGANIZATION_ID: ID della tua organizzazione
- TAG_KEY: la chiave Tag
- TAG_VALUE: il valore da assegnare alla chiave tag
- DIRECTION: indica se la regola è ingress o egress regola
- ACTION: una delle seguenti azioni:
  - allow: consente le connessioni che corrispondono alla regola
  - deny: nega le connessioni che corrispondono alla regola
  - goto_next: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o
- PORT: il numero di porta per accedere alla risorsa

Associa tag alle istanze VM

Gli amministratori di tag possono associare i tag a singole istanze VM.

Associare un tag a una risorsa allega un valore Tag a una risorsa. Sebbene un tag possa avere più valori per una determinata chiave, puoi associare un solo valore per chiave tag per una risorsa. Ad esempio, non puoi associare i valori del tag web-backend e mysql alla stessa istanza VM perché appartengono alla stessa chiave tag vm-function.

Ad esempio, lo sviluppatore Sasha vuole configurare un'applicazione composta da un backend API e un archivio di database di supporto. Per consentire il traffico tra tra il backend e il server del database, Sasha deve associare il backend web e mysql per VM diverse.

gcloud

Concedi il ruolo tagUser.
```
gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
   --member=user:EMAIL_ADDRESS \
   --role=roles/resourcemanager.tagUser
```
Sostituisci quanto segue:
- ORGANIZATION_ID: ID della tua organizzazione
- TAG_KEY: la chiave Tag
- EMAIL_ADDRESS: l'indirizzo email dell'utente
In questo comando, all'utente viene concesso l'utilizzo di tutte le risorse attuali e future valori della chiave. Puoi anche concedere in modo selettivo l'accesso solo a di un tag, come segue:
```
gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
   --member=user:EMAIL_ADDRESS \
   --role=roles/resourcemanager.tagUser
```
Sostituisci quanto segue:
- ORGANIZATION_ID: ID della tua organizzazione
- TAG_KEY: la chiave Tag
- TAG_VALUE: il valore da assegnare alla chiave tag
- EMAIL_ADDRESS: l'indirizzo email dell'utente
Concedi il ruolo tagUser alle risorse a cui vuoi associare i tag.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=user:EMAIL_ADDRESS \
   --role=roles/resourcemanager.tagUser
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto
- EMAIL_ADDRESS: l'indirizzo email dell'utente
Ottieni il valore PARENT per la coppia chiave-valore tag:
1. Definisci il prefisso del nome completo per il progetto e la zona:
```
FULL_NAME_PREFIX=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/
```
2. Recupera l'ID VM:
```
VM_ID=$(gcloud compute instances describe VM_NAME --zone ZONE--format='value(id)')
```
3. Concatena i valori di FULL_NAME_PREFIX e VM_ID:
```
PARENT="$FULL_NAME_PREFIX$VM_ID"
echo $PARENT
```
Sostituisci quanto segue:
- PROJECT_NUMBER: il numero del tuo progetto
- ZONE: la zona in cui si trova la VM
- VM_NAME: il nome della VM su cui stai lavorando
Elenca le associazioni.
```
gcloud resource-manager tags bindings list \
   --location LOCATION_NAME \
   --parent PARENT
```
Sostituisci quanto segue:
- LOCATION_NAME: la posizione a cui appartiene il tag; qui la zona dell'istanza VM
- PARENT: il nome completo della risorsa associato alla associazione, come derivata nel comando precedente

Elimina e crea le associazioni.

gcloud resource-manager tags bindings delete \
   --location LOCATION_NAME \
   --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
   --parent PARENT

gcloud resource-manager tags bindings create \
   --location LOCATION_NAME \
   --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
   --parent PARENT

Sostituisci quanto segue:

LOCATION_NAME: la posizione a cui appartiene il tag
ORGANIZATION_ID: ID della tua organizzazione
TAG_KEY: la chiave Tag
TAG_VALUE: il valore della chiave tag
PARENT: nome completo della risorsa da collegare al valore tag

Utilizza tag nelle reti in peering

Puoi usare i tag nel peering di rete. Esegui le seguenti attività nel specificato per utilizzare i tag attraverso due reti in peering.

Assegna il ruolo tagAdmin a due utenti, uno per ciascun utente o una rete peer. Un amministratore dell'organizzazione concede i ruoli di tagAdmin a utenti a livello di organizzazione e un proprietario del progetto può concederlo a livello di progetto.
Consenti al primo utente della rete di creare chiavi e valori tag nella la prima rete.
Consenti al secondo utente della rete di creare chiavi e valori tag nella seconda rete.
Concedi le autorizzazioni necessarie a entrambi gli utenti per associare i tag in entrambe le reti.
Associa i tag a utenti e risorse nella prima rete.
Associa i tag a utenti e risorse nella seconda rete.
All'utente della seconda rete, concedi le autorizzazioni tagUser. nella prima rete.
All'utente della prima rete, concedi le autorizzazioni tagUser. nella seconda rete.
Crea una regola di criterio firewall nella prima rete.
Crea una regola di criterio firewall nella seconda rete.

Passaggi successivi

Per ulteriori dettagli sulla creazione di Tag, consulta Creazione e gestione dei tag.