Usa etiquetas para firewalls
Crea etiquetas antes de intentar vincularlas a recursos o usarlas en las políticas de firewall de red. Para controlar el acceso a la red, las etiquetas solo son efectivas cuando se vinculan a instancias de VM.
Si deseas obtener una descripción general, consulta Etiquetas para firewalls.
Otorga permisos a las etiquetas
El rol tagAdmin
te permite crear etiquetas nuevas, actualizar y borrar etiquetas existentes. Un administrador de la organización puede otorgar este rol a nivel de la organización y un propietario del proyecto puede otorgarlo a nivel del proyecto.
gcloud
Otorga el rol
tagAdmin
al usuario.gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagAdmin
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID de la organizaciónEMAIL_ADDRESS
: La dirección de correo electrónico del usuario
Otorga el rol
tagUser
al usuario.gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaEMAIL_ADDRESS
: La dirección de correo electrónico del usuario
Roles personalizados para administrar etiquetas
El rol tagAdmin
te permite realizar las siguientes acciones: crear etiquetas nuevas, actualizar y borrar las existentes. Si necesitas algunas de estas capacidades, puedes crear un rol de IAM personalizado con los permisos relevantes y, luego, otorgar el rol nuevo al usuario de destino. Para ver la lista de permisos relevantes, consulta Permisos de IAM.
Las etiquetas que se usan en las políticas de firewall deben designarse con un propósito de GCE_FIREWALL. Si bien el propósito de GCE_FIREWALL es obligatorio para que la etiqueta se use en las funciones de herramientas de redes, puede usar la etiqueta para otras acciones.
Las etiquetas que se usan en las políticas de firewall de red deben tener un permiso limitado a una sola VPC.
Crea las claves y los valores de la etiqueta
Antes de asociar etiquetas a las políticas de firewall de red, debes crear las claves y los valores de las etiquetas.
gcloud
Después de obtener los permisos necesarios, crea la clave de etiqueta.
gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORK
Reemplaza lo siguiente:
TAG_KEY
: La clave de etiquetaORGANIZATION_ID
: El ID de la organizaciónPROJECT_ID
: El ID de tu proyectoNETWORK
: el nombre de tu red
Agrega los valores relevantes de las etiquetas a las claves de etiqueta. Ejecuta el comando varias veces para agregar varios valores. Asegúrate de que cada valor de etiqueta agregado a la clave de etiqueta sea único.
gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEY
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaTAG_VALUE
: El valor que se asignará a la clave de etiqueta
Crea una regla de política de firewall con etiquetas
Después de crear una etiqueta, puedes usarla en las políticas de firewall de red. Puedes crear una regla de política de firewall de red con los valores específicos de la etiqueta de origen y los de destino a fin de permitir el tráfico deseado entre las VMs con las etiquetas de origen y las de destino.
gcloud
Crea una regla de política de firewall de red con las claves y los valores de origen y destino específicos.
gcloud compute network-firewall-policies rules create 1 \ --firewall-policy FIREWALL_POLICY_NAME \ --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --direction DIRECTION \ --action ACTION \ --layer4-configs tcp:PORT \ --global-firewall-policy
Reemplaza lo siguiente:
FIREWALL_POLICY_NAME
: El nombre de la política de firewall de red global de la red nueva.ORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaTAG_VALUE
: El valor que se asignará a la clave de etiquetaDIRECTION
: Indica si la regla es una reglaingress
oegress
ACTION
: Es una de las acciones siguientes:allow
: Permite las conexiones que coinciden con la regla.deny
: Rechaza las conexiones que coinciden con la regla.goto_next
: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
PORT
: Es el número de puerto para acceder al recurso.
Vincula etiquetas a las instancias de VM
Los administradores de etiquetas pueden vincular las etiquetas a instancias de VMs individuales.
Vincular una etiqueta a un recurso conecta un valor de etiqueta a un recurso. Aunque una etiqueta puede tener varios valores para una clave determinada, puedes vincular solo un valor por clave de etiqueta a un recurso. Por ejemplo, no puedes vincular valores de etiqueta backend web y mysql a la misma instancia de VM que pertenecen a la misma clave de etiqueta vm-function.
Por ejemplo, Sasha, un desarrollador, quiere configurar una aplicación que conste de un backend de API y un almacén de base de datos de respaldo. Para permitir el tráfico entre el backend y el servidor de base de datos, Sasha debe vincular los valores de etiqueta web-backend y mysql a diferentes VMs.
gcloud
Otorga el rol
tagUser
.gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaEMAIL_ADDRESS
: La dirección de correo electrónico del usuario
En este comando, se le otorga al usuario el uso de todos los valores actuales y futuros de la clave. También puedes otorgar acceso solo a valores específicos de una etiqueta de la siguiente manera:
gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaTAG_VALUE
: El valor que se asignará a la clave de etiquetaEMAIL_ADDRESS
: La dirección de correo electrónico del usuario
Otorga el rol
tagUser
a los recursos que deseas vincular con las etiquetas.gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Reemplaza lo siguiente:
PROJECT_NAME
: nombre del proyecto.EMAIL_ADDRESS
: La dirección de correo electrónico del usuario
Enumera las vinculaciones.
gcloud resource-manager tags bindings list \ --location LOCATION_NAME \ --parent PARENT
Reemplaza lo siguiente:
LOCATION_NAME
: La ubicación a la que pertenece la etiquetaPARENT
: La nombre completo del recurso adjunto a la vinculación
Borra y crea las vinculaciones.
gcloud resource-manager tags bindings delete \ --location LOCATION_NAME \ --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --parent PARENT gcloud resource-manager tags bindings create \ --location LOCATION_NAME \ --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --parent PARENT
Reemplaza lo siguiente:
LOCATION_NAME
: La ubicación a la que pertenece la etiquetaORGANIZATION_ID
: El ID de la organizaciónTAG_KEY
: La clave de etiquetaTAG_VALUE
: El valor de la clave de etiquetaPARENT
: Es el nombre completo del recurso que se adjuntará al valor de la etiqueta.
Usa etiquetas en redes con intercambio de tráfico
Puedes usar etiquetas en el intercambio de tráfico entre redes. Realiza las siguientes tareas en el orden especificado para usar etiquetas en dos redes con intercambio de tráfico.
- Asigna el rol
tagAdmin
a dos usuarios: un usuario en cada red de intercambio de tráfico. Un administrador de la organización otorga los rolestagAdmin
a usuarios a nivel de la organización, y un propietario del proyecto puede otorgarlo a nivel del proyecto. - Permite que el primer usuario de red cree claves y valores de etiqueta en la primera red.
- Permite que el segundo usuario de red cree claves y valores de etiqueta en la segunda red.
- Otorga los permisos necesarios a ambos usuarios para vincular etiquetas en ambas redes.
- Vincula etiquetas a usuarios y recursos en la primera red.
- Vincula etiquetas a usuarios y recursos en la segunda red.
- Para el usuario de la segunda red, otorga permisos
tagUser
en la primera red. - Para el usuario desde la primera red, otorga permisos
tagUser
a la segunda red. - Crea una regla de política de firewall en la primera red.
- Crea una regla de política de firewall en la segunda red.
¿Qué sigue?
- Para obtener más información sobre cómo crear etiquetas, consulta Crea y administra etiquetas.