I tag ti consentono di definire origini e destinazioni nei criteri firewall di rete globali e regionali.
I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per ulteriori informazioni sulle differenze tra i tag e i tag di rete e sui prodotti che supportano ciascuno, consulta Confronto tra tag e tag di rete.
Specifiche
I tag hanno le seguenti specifiche:
- Risorsa principale: i tag sono risorse create all'interno di una risorsa organizzazione o progetto. Quando crei un tag da utilizzare in una policy firewall di rete, scegli la rete Virtual Private Cloud (VPC) a cui associarlo.
- Le reti VPC devono appartenere a un progetto all'interno di un'organizzazione. Se non hai un'organizzazione, consulta la guida all'onboarding dell'organizzazione.
- Struttura e formato:i tag sono risorse che contengono due componenti: una chiave e uno o più valori.
- Puoi creare un massimo di 1000 chiavi tag in un'organizzazione o un progetto.
- Ogni chiave Tag può avere un massimo di 1000 valori Tag.
- Controllo dell'accesso: i criteri IAM (Identity and Access Management) determinano quali entità IAM possono creare e utilizzare i tag. I principali IAM con il ruolo Amministratore del tag possono creare definizioni dei tag. Oltre ad altre autorizzazioni IAM necessarie, la concessione a un entità del ruolo Utente tag consente a quell'utente di utilizzare il tag quando crea VM e applica regole dei criteri del firewall di rete che utilizzano il tag. La concessione del ruolo Utente tag ti consente di delegare l'assegnazione dei criteri del firewall di rete per le VM a sviluppatori di applicazioni, amministratori di database o team operativi. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Ruoli IAM.
- Associazione alle VM:ogni tag può essere associato a un numero illimitato di istanze VM. Puoi associare un massimo di 10 tag per interfaccia di rete (NIC) di una VM. Ad esempio:
- Se una VM ha una singola NIC, puoi collegare fino a 10 tag. Ogni tag deve essere associato alla stessa rete VPC utilizzata dalla singola NIC della VM.
- Se una VM ha due NIC, puoi associare fino a 10 tag alla rete VPC utilizzata da
nic0e fino a 10 tag alla rete VPC utilizzata danic1.
- Supporto del firewall:solo i criteri firewall di rete, inclusi i criteri firewall regionali, supportano i tag. Né i criteri firewall gerarchici né le regole firewall VPC supportano i tag.
- Le regole firewall VPC supportano i tag di rete. Per maggiori dettagli, consulta Confronto tra tag e tag di rete.
- Supporto del peering di reti VPC: le regole di ingresso in un criterio firewall di rete possono identificare le origini sia nella stessa rete VPC sia nelle reti VPC in peering.
- I fornitori di servizi che pubblicano servizi utilizzando l'accesso ai servizi privati possono consentire ai propri clienti di controllare quali delle loro istanze VM sono autorizzate ad accedere a un servizio offerto dal fornitore.
- Tag, destinazioni e origini: i tag utilizzano l'interfaccia di rete della VM come identità del mittente o del destinatario:
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il
--target-secure-tagsparametro per specificare le istanze VM a cui si applica la regola. Per le regole in entrata, il target definisce la destinazione; per le regole in uscita, il target definisce l'origine. Per ulteriori informazioni, consulta Target. - Per le regole in entrata nei criteri firewall di rete, puoi utilizzare i tag per specificare le origini con il parametro
--src-secure-tags. Per scoprire di più sui tag nei parametri di origine delle regole di ingresso, consulta In che modo i tag di sicurezza dell'origine implicano le origini dei pacchetti.
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il
Esempio
Per rappresentare le diverse funzioni delle istanze VM in una rete, un amministratore dei tag può creare un tag con una chiave vm-function e un elenco di possibili valori come database, app-client e app-server. L'amministratore del tag può scegliere qualsiasi nome per la chiave del tag e i relativi valori.
Per maggiori dettagli sulla creazione e sull'utilizzo dei tag, vedi Creare e gestire i tag.
Confronto tra tag e tag di rete
La seguente tabella riassume le differenze tra i tag e i tag di rete.
| Attributo | Tag | Tag di rete |
|---|---|---|
| Risorsa padre | Organizzazione o progetto | Progetto |
| Struttura e formato | Chiave con un massimo di 1000 valori | Stringa semplice |
| Controllo degli accessi | Utilizzo di IAM | Nessun controllo di accesso |
| Collegamento delle istanze | Per interfaccia di rete (singola rete VPC) | Tutte le interfacce di rete |
| Supportato dai criteri firewall gerarchici | ||
| Supportato dai criteri firewall di rete | ||
| Supportato dalle regole firewall VPC | ||
| Peering di rete VPC |
|
|
Ruoli IAM
Per creare e gestire le chiavi e i valori dei tag, devi disporre del ruolo Amministratore tag o di un ruolo personalizzato con autorizzazioni equivalenti. Per saperne di più, consulta Gestire i tag.
Per gestire i tag in una VM, sono necessari entrambi i seguenti requisiti:
- Autorizzazioni per l'utilizzo del tag specifico
- Autorizzazioni per gestire il tag su una VM specifica
| Attività | Autorizzazione | Ruolo |
|---|---|---|
| Utilizzare un tag | Le seguenti autorizzazioni per il tag specifico:
|
Concedi il ruolo Utente tag al tag specifico. |
| Gestire un tag su una VM | Le seguenti autorizzazioni per la VM specifica:
|
Concedi uno dei seguenti ruoli alla VM specifica. Molti ruoli includono le autorizzazioni richieste, tra cui le seguenti:
|
Per ulteriori informazioni sulle autorizzazioni per i tag, vedi Gestire i tag nelle risorse. Per saperne di più sui ruoli che includono autorizzazioni IAM specifiche, consulta il riferimento alle autorizzazioni IAM.
Passaggi successivi
- Per concedere autorizzazioni ai tag e creare chiavi e valori dei tag, consulta Utilizzare i tag per i firewall.