En este documento se explica cómo crear y gestionar etiquetas seguras para políticas de firewall. Antes de usar etiquetas seguras en políticas de cortafuegos o de enlazarlas a recursos, debe crearlas.
En este documento se tratan los siguientes temas:
- Conceder los permisos adecuados para gestionar y usar etiquetas
- Crear claves y valores de etiquetas
- Crear políticas y reglas de cortafuegos que usen etiquetas seguras
- Asociar etiquetas seguras a instancias de máquina virtual (VM)
- Usar etiquetas seguras en redes emparejadas
Para obtener más información sobre las etiquetas seguras y cómo funcionan, consulte Etiquetas seguras para firewalls.
Conceder permisos a etiquetas seguras
Un administrador de la organización puede asignar roles a nivel de organización, y un propietario de un proyecto puede asignar roles a nivel de proyecto.
Conceder el rol de administrador de la etiqueta
El rol de administrador de la etiqueta (roles/resourcemanager.tagAdmin
) te permite crear, actualizar y eliminar etiquetas seguras.
Consola
Para conceder el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin
) al usuario, sigue estos pasos:
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
En la lista del selector de proyectos, selecciona la organización o el proyecto al que quieras asignar el rol.
Haz clic en
Conceder acceso.En el campo Nuevos principales, introduce la dirección de correo del usuario. Por ejemplo,
my-user@example.com
.En la lista Selecciona un rol, introduce Etiqueta en el campo Filtro y, a continuación, selecciona Administrador de etiquetas.
Haz clic en Guardar.
gcloud
Para asignar el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin
) a una entidad principal de gestión de identidades y accesos en la política de gestión de identidades y accesos de una organización, usa el comando gcloud organizations add-iam-policy-binding
:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagAdmin
Haz los cambios siguientes:
ORGANIZATION_ID
: el ID de tu organizaciónEMAIL_ADDRESS
: la dirección de correo del usuario
Conceder el rol Tag User
El rol Usuario de etiquetas (roles/resourcemanager.tagUser
) te permite acceder a la lista de etiquetas seguras y gestionar sus asociaciones con los recursos.
Consola
Para conceder el rol de usuario de etiquetas (roles/resourcemanager.tagUser
) al usuario, sigue estos pasos:
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
En la lista del selector de proyectos, selecciona la organización o el proyecto al que quieras asignar el rol.
Haz clic en
Conceder acceso.En el campo Nuevos principales, introduce la dirección de correo del usuario. Por ejemplo,
my-user@example.com
.En la lista Selecciona un rol, introduce Etiqueta en el campo Filtro y, a continuación, selecciona Usuario de etiqueta.
Opcional: Añade una condición al rol.
Haz clic en Guardar.
gcloud
Para asignar el rol Usuario de etiqueta (
roles/resourcemanager.tagUser
) a un usuario en una etiqueta específica, usa el comandogcloud resource-manager tags keys add-iam-policy-binding
:gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Haz los cambios siguientes:
ORGANIZATION_ID
: el ID de tu organizaciónTAG_KEY
: la clave de la etiqueta seguraEMAIL_ADDRESS
: la dirección de correo del usuario
Para asignar el rol Usuario de etiquetas (
roles/resourcemanager.tagUser
) a un principal de IAM para que pueda usar todos los valores de etiqueta de cada clave de etiqueta de la organización, usa el comandogcloud organizations add-iam-policy-binding
:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Haz los cambios siguientes:
ORGANIZATION_ID
: el ID de tu organizaciónEMAIL_ADDRESS
: la dirección de correo del usuario
Para asignar el rol Usuario de etiquetas (
roles/resourcemanager.tagUser
) a un principal de IAM para que pueda usar un valor de etiqueta específico de una clave de etiqueta cuyo elemento superior sea la organización, usa el comandogcloud resource-manager tags values add-iam-policy-binding
:gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Haz los cambios siguientes:
ORGANIZATION_ID
: el ID de tu organizaciónTAG_KEY
: la clave de la etiqueta seguraTAG_VALUE
: el valor de la etiqueta seguraEMAIL_ADDRESS
: la dirección de correo del usuario
Para asignar el rol Usuario de etiquetas (
roles/resourcemanager.tagUser
) a un principal de gestión de identidades y accesos para que pueda usar todos los valores de etiqueta de cada clave de etiqueta de un proyecto, usa el comandogcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Haz los cambios siguientes:
PROJECT_NAME
: nombre de tu proyectoEMAIL_ADDRESS
: la dirección de correo del usuario
Roles personalizados para gestionar etiquetas seguras
El rol de administrador de la etiqueta (roles/resourcemanager.tagAdmin
) te permite crear, actualizar y eliminar etiquetas seguras.
Si necesitas algunas de estas funciones, puedes crear un rol de gestión de identidades y accesos (IAM) personalizado con los permisos pertinentes y, a continuación, conceder el nuevo rol al usuario de destino. Para ver la lista de permisos pertinentes, consulta Roles de gestión de identidades y accesos.
Las etiquetas seguras que se usen en las políticas de cortafuegos deben designarse con un GCE_FIREWALL
propósito. Aunque el propósito GCE_FIREWALL
es obligatorio para que la etiqueta segura se use en las funciones de redes, puedes usarla para otras acciones.
Crear las claves y los valores de las etiquetas seguras
Antes de asociar etiquetas seguras a políticas de cortafuegos, debes crear las claves y los valores de las etiquetas seguras.
Una vez creada la clave de etiqueta, no se puede cambiar y debe ser única en el mismo espacio de nombres.
Consola
Para crear una clave y valores de etiqueta seguros, sigue estos pasos:
En la Google Cloud consola, ve a la página Etiquetas.
En la lista del selector de proyectos, selecciona la organización o el proyecto en el que quieras crear una clave de etiqueta.
Haz clic en
Crear.En el campo Clave de etiqueta, introduce el nombre visible de tu clave de etiqueta. Este se convierte en parte del nombre del espacio de nombres de tu etiqueta.
Opcional: En el campo Descripción de la clave de etiqueta, escribe una descripción de tu clave de etiqueta.
En Propósito de la etiqueta, seleccione Para usar con Cloud NGFW.
Para crear una etiqueta segura, sigue uno de estos procedimientos:
Si los datos de finalidad especifican una red, selecciona Restringir el ámbito a una sola red.
Si los datos de finalidad especifican una organización, desmarca Restringir el ámbito a una sola red.
En la pestaña Selección de red, seleccione la organización o el proyecto en el que quiera crear una clave de etiqueta segura.
En la lista Red, selecciona la red.
Si quiere añadir valores de etiqueta a esta clave, haga clic en
Añadir valor para cada valor de etiqueta que quiera crear.En el campo Valor de la etiqueta, introduce el nombre visible del valor de la etiqueta. Este se convierte en parte del nombre del espacio de nombres de tu etiqueta.
Opcional: En el campo Descripción del valor de la etiqueta, escriba una descripción del valor de la etiqueta.
Cuando haya terminado de añadir valores de etiqueta, haga clic en Crear clave de etiqueta.
gcloud
Una vez que hayas obtenido los permisos necesarios, crea la clave de etiqueta segura a nivel de organización o de proyecto.
Para crear una clave de etiqueta segura para una organización, usa el comando
gcloud resource-manager tags keys create
:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data organization=auto
Haz los cambios siguientes:
TAG_KEY
: la clave de la etiqueta seguraORGANIZATION_ID
: el ID de tu organización
Para crear una clave de etiqueta segura para un proyecto principal o una organización cuyos datos de finalidad identifiquen una sola red VPC, usa el comando
gcloud resource-manager tags keys create
:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORK
Haz los cambios siguientes:
TAG_KEY
: la clave de la etiqueta seguraORGANIZATION_ID
: el ID de tu organizaciónPROJECT_ID
: el ID de tu proyectoNETWORK
: el nombre de tu red
Para añadir los valores de etiqueta segura pertinentes a las claves de etiqueta segura, usa el comando
gcloud resource-manager tags values create
:gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEY
Haz los cambios siguientes:
TAG_VALUE
: el valor que se asignará a la clave de etiqueta segura.ORGANIZATION_ID
: el ID de tu organizaciónTAG_KEY
: la clave de la etiqueta segura
Ejecuta el comando varias veces para añadir varios valores. Asegúrate de que cada valor de etiqueta segura que añadas a la clave de etiqueta segura sea único.
Crear una política de cortafuegos
Puedes usar claves de etiquetas seguras en las políticas de cortafuegos después de crearlas. Puedes usar claves de etiquetas seguras definidas a nivel de organización en políticas de cortafuegos jerárquicas o de red. Solo puedes usar etiquetas seguras definidas a nivel de red en las políticas de cortafuegos de red.
Crear una política de cortafuegos jerárquica
Puedes crear una política en cualquier recurso (organización o carpeta) de tu jerarquía de organización.
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la lista del selector de proyectos, selecciona el ID de tu organización o una carpeta de tu organización.
Haz clic en Crear política de cortafuegos.
En el campo Nombre de la política, introduce el nombre.
Si quiere crear reglas para su política, haga clic en Continuar > Crear regla de cortafuegos.
Para obtener más información, consulta el artículo Crear una regla de política de cortafuegos jerárquica con etiquetas seguras.
Si quiere asociar la política a un recurso, haga clic en Continuar > Añadir.
Para obtener más información, consulta el artículo Asociar una política a la organización o a la carpeta.
Haz clic en Continuar > Crear.
gcloud
Para crear una política de cortafuegos jerárquica, usa el comando gcloud compute firewall-policies create
:
gcloud compute firewall-policies create \ [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \ --short-name SHORT_NAME
Haz los cambios siguientes:
ORGANIZATION_ID
: el ID de tu organizaciónEspecifique este ID si va a crear la política a nivel de organización. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política con el recurso de la organización.
FOLDER_ID
: el ID de una carpetaEspecifique este ID si va a crear la política en una carpeta determinada. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política a esa carpeta.
SHORT_NAME
: nombre de la políticaUna política creada con la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto que proporcionas tú. Cuando uses la CLI de Google Cloud para actualizar una política, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando utilice la API para actualizar la política, deberá proporcionar el nombre generado por el sistema.
Crear una política de cortafuegos de red global
Después de crear una etiqueta segura, puedes usarla en las reglas de una política de cortafuegos de red global.
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la lista del selector de proyectos, selecciona el proyecto de tu organización.
Haz clic en Crear política de cortafuegos.
En el campo Nombre de la política, introduce el nombre.
En Deployment scope (Ámbito de implementación), selecciona Global (Global).
Si quiere crear reglas para su política, haga clic en Continuar > Crear regla de cortafuegos.
Para obtener más información, consulta el artículo Crear una regla de política de cortafuegos de red con etiquetas seguras.
Si quiere asociar la política a una red, haga clic en Continuar > Asociar.
Para obtener más información, consulta Asociar una política a la red.
Haz clic en Continuar > Crear.
gcloud
Para crear una política de cortafuegos de red, usa el comando gcloud compute network-firewall-policies create
:
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME \ --description DESCRIPTION \ --global
Haz los cambios siguientes:
NETWORK_FIREWALL_POLICY_NAME
: nombre de la políticaDESCRIPTION
: una descripción de la política
Crear una regla de política de cortafuegos con etiquetas seguras
Después de crear una etiqueta segura y una política de cortafuegos, puede crear una regla de política de cortafuegos con los valores de etiqueta de origen y de destino específicos para permitir el tráfico elegido entre las VMs con las etiquetas de origen y de destino.
Crear una regla de política de cortafuegos jerárquica con etiquetas seguras
Solo puedes crear una regla de política de cortafuegos jerárquica con las claves y los valores de origen y destino específicos si has creado una política de cortafuegos jerárquica. Para obtener más información, consulta Crear una política de cortafuegos jerárquica.
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la lista del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga tu política.
Haga clic en el nombre de la política y, a continuación, en Crear regla de cortafuegos.
Introduce la prioridad de la regla.
Especifica la dirección del tráfico.
En Acción tras coincidencia, elija una opción.
En Registros, elige Activado o Desactivado.
En Destino, seleccione Etiquetas seguras y, a continuación, haga clic en Seleccionar ámbito de las etiquetas.
En la página Seleccionar un recurso, elige la organización o el proyecto en el que quieras crear etiquetas seguras.
Introduzca los pares clave-valor a los que se debe aplicar la regla.
Para añadir más pares clave-valor, haga clic en Añadir etiqueta.
En la sección Fuente, vaya a Etiquetas y haga clic en Seleccionar ámbito de las etiquetas.
En la página Seleccionar un recurso, selecciona la organización o la carpeta que contenga las claves de etiqueta segura.
Haz clic en Crear.
gcloud
Para crear una regla de política de cortafuegos jerárquica, usa el comando gcloud compute firewall-policies rules create
:
gcloud compute firewall-policies rules create \ --firewall-policy FIREWALL_POLICY_NAME \ --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --direction DIRECTION \ --action ACTION \ --layer4-configs tcp:PORT
Haz los cambios siguientes:
FIREWALL_POLICY_NAME
: el nombre de la política de cortafuegos jerárquicaORGANIZATION_ID
: el ID de tu organizaciónTAG_KEY
: la clave de la etiqueta seguraTAG_VALUE
: el valor que se asignará a la clave de etiqueta segura.DIRECTION
: indica si la regla es de tipoingress
oegress
.ACTION
: una de las siguientes acciones:allow
: permite las conexiones que coincidan con la regla.deny
: deniega las conexiones que coincidan con la regla.goto_next
: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.
PORT
: número de puerto para acceder al recurso.
Crear una regla de política de cortafuegos de red con etiquetas seguras
Puede crear una regla de política de cortafuegos de red con los valores de etiqueta de origen y de destino específicos que permitan el tráfico elegido entre las VMs con las etiquetas de origen y de destino. Para obtener más información, consulta Crear una política de cortafuegos de red global.
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la lista del selector de proyectos, selecciona el proyecto o la carpeta que contenga tu política.
Haga clic en el nombre de la política y, a continuación, en Crear regla de cortafuegos.
Introduce la prioridad de la regla.
Especifica la dirección del tráfico.
En Acción tras coincidencia, elija una opción.
En Registros, elige Activado o Desactivado.
En Destino, seleccione Etiquetas seguras y, a continuación, haga clic en Seleccionar ámbito de las etiquetas.
En la página Seleccionar un recurso, elige la organización o el proyecto en el que quieras crear etiquetas seguras.
Introduzca los pares clave-valor a los que se debe aplicar la regla.
Para añadir más pares clave-valor, haga clic en Añadir etiqueta.
En la sección Fuente, vaya a Etiquetas y haga clic en Seleccionar ámbito de las etiquetas.
En la página Seleccionar un recurso, selecciona la organización o la carpeta que contenga las claves de etiqueta segura.
Haz clic en Crear.
gcloud
Para crear una regla de política de cortafuegos de red, usa el comando gcloud compute network-firewall-policies rules create
:
gcloud compute network-firewall-policies rules create \ --firewall-policy FIREWALL_POLICY_NAME \ --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --direction DIRECTION \ --action ACTION \ --layer4-configs tcp:PORT \ --global-firewall-policy
Haz los cambios siguientes:
FIREWALL_POLICY_NAME
: el nombre de la nueva red política de cortafuegos de red globalORGANIZATION_ID
: el ID de tu organizaciónTAG_KEY
: la clave de etiquetaTAG_VALUE
: el valor que se asignará a la clave Tag.DIRECTION
: indica si la regla esingress
oegress
.ACTION
: una de las siguientes acciones:allow
: permite las conexiones que coincidan con la regla.deny
: deniega las conexiones que coincidan con la regla.goto_next
: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.
PORT
: número de puerto para acceder al recurso.
Vincular etiquetas seguras
Para saber cómo funciona el enlace de etiquetas seguras en las políticas de cortafuegos de red y en las políticas de cortafuegos jerárquicas, consulta Enlazar etiquetas seguras.
Antes de empezar
Asegúrate de que tienes el rol de administrador de etiquetas (
roles/resourcemanager.tagAdmin
). Como administrador de etiquetas, puedes vincular las etiquetas seguras a instancias de VM concretas.Si no tienes el rol Administrador de etiquetas (
roles/resourcemanager.tagAdmin
), puedes pedirle al administrador de la organización que te asigne el rol Usuario de etiquetas (roles/resourcemanager.tagUser
). Para obtener más información, consulta Conceder permisos para proteger etiquetas.Asegúrate de que tienes el rol Usuario de etiquetas (
roles/resourcemanager.tagUser
) en los recursos a los que están vinculadas las etiquetas. Para obtener más información sobre cómo asignar el rol Usuario de etiquetas (roles/resourcemanager.tagUser
) en los recursos a los que se van a vincular las etiquetas, consulta el artículo Asignar permisos a etiquetas seguras.Asegúrate de haber creado las claves y los valores de etiquetas seguras y la regla de política de cortafuegos con etiquetas seguras.
Asegúrate de que has creado una instancia de VM. Para obtener más información, consulta el artículo Crear e iniciar una instancia de Compute Engine.
Vincular etiquetas seguras a instancias de máquina virtual
Puede adjuntar etiquetas a determinados recursos. Una vez creado el recurso, adjunta etiquetas a ese recurso siguiendo estas instrucciones.
Consola
Para vincular las etiquetas seguras a las instancias de VM, haz lo siguiente:
En la consola de Google Cloud , ve a la página Instancias de VM.
Selecciona el proyecto y haz clic en Continuar.
En la columna Nombre, haz clic en el nombre de la VM a la que quieras añadir etiquetas.
En la página de detalles de la instancia de VM, sigue estos pasos:
- Haz clic en Editar.
- En la sección Información básica, haga clic en Gestionar etiquetas y añada las etiquetas que quiera para la instancia.
- Haz clic en Guardar.
gcloud
Para obtener información sobre cómo usar estas marcas, consulta el artículo Asignar etiquetas a recursos de la documentación de Resource Manager.
Por ejemplo, el siguiente comando adjunta una etiqueta a una VM:
gcloud resource-manager tags bindings create \ --location LOCATION_NAME \ --tag-value=tagValues/TAGVALUE_ID \ --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID
Haz los cambios siguientes:
LOCATION_NAME
: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de máquina virtual.TAGVALUE_ID
: el ID numérico del valor de la etiqueta.PROJECT_NUMBER
: el ID numérico de tu proyecto que contiene el recurso de destino.ZONE
: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.VM_ID
: el ID de la instancia de VM
REST
Para adjuntar una etiqueta a un recurso, primero debe crear una representación JSON de un enlace de etiqueta que incluya el ID permanente o el nombre del espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de un enlace de etiqueta, consulta la referencia de tagBindings.
Para asociar la etiqueta a un recurso zonal, como una instancia de VM, usa el método tagBindings.create
con el endpoint regional en el que se encuentre el recurso. Por ejemplo:
POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
El cuerpo de la solicitud puede ser una de las dos opciones siguientes:
{ "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID", "tagValue": "tagValue/TAGVALUE_ID" }
{ "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID", "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME }
Haz los cambios siguientes:
LOCATION_NAME
: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de VM.PROJECT_NUMBER
: el ID numérico de tu proyecto que contiene el recurso de destino.ZONE
: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.VM_ID
: el ID de la instancia de VMTAGVALUE_ID
: el ID permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo:4567890123
TAGVALUE_NAMESPACED_NAME
: el nombre del espacio de nombres de la etiqueta valor que se adjunta y tiene el siguiente formato:parentNamespace/tagKeyShortName/tagValueShortName
Añadir etiquetas seguras a una instancia de VM durante la creación de la VM
En algunos casos, puede que quieras etiquetar recursos durante la creación de recursos, en lugar de hacerlo después.
Consola
Los pasos exactos pueden variar en función del tipo de recurso. Sigue estos pasos para una máquina virtual:
En la consola de Google Cloud , ve a la página Instancias de VM.
Selecciona el proyecto y haz clic en Continuar.
Haz clic en Crear instancia. Aparecerá la página Crear una instancia y se mostrará el panel Configuración de la máquina.
En el menú de navegación, haz clic en Opciones avanzadas. En el panel Avanzado que aparece, haz lo siguiente:
- Despliega la sección Gestionar etiquetas
- Haz clic en Añadir etiquetas.
- En el panel Etiquetas que se abre, siga las instrucciones para añadir una etiqueta a la instancia.
- Haz clic en Guardar.
Especifica otras opciones de configuración para tu instancia. Para obtener más información, consulta Opciones de configuración durante la creación de instancias.
Para crear e iniciar la VM, haz clic en Crear.
gcloud
Para adjuntar una etiqueta a un recurso durante la creación del recurso, añade la marca --resource-manager-tags
con el comando create
correspondiente. Por ejemplo, para adjuntar una etiqueta a una máquina virtual, usa el siguiente comando:
gcloud compute instances create INSTANCE_NAME \ --zone=ZONE \ --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID
Haz los cambios siguientes:
INSTANCE_NAME
: el nombre de tu instancia de VMZONE
: la zona que contiene la instancia de VMTAGKEY_ID
: el ID numérico de la clave de la etiquetaTAGVALUE_ID
: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo:4567890123
.
Para especificar varias etiquetas, sepáralas con comas. Por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2
.
REST
Envía una solicitud POST
a la siguiente URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
Incluye el siguiente cuerpo JSON de la solicitud:
{ "name": INSTANCE_NAME, "params": { "resourceManagerTags": { "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID", }, } // other fields omitted }
Haz los cambios siguientes:
INSTANCE_NAME
: el nombre de tu instancia de VMTAGKEY_ID
: el ID numérico de la clave de la etiquetaTAGVALUE_ID
: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo:4567890123
.
Usar etiquetas seguras en redes emparejadas
Puedes usar etiquetas seguras en el emparejamiento entre redes de VPC. Supongamos que las redes conectadas son server
y client
. Para usar etiquetas seguras en dos redes deGoogle Cloud conectadas, completa las siguientes tareas en el orden especificado.
Asigna el rol de administrador de la etiqueta (
roles/resourcemanager.tagAdmin
) al usuario. Un administrador de la organización asigna el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin
) a los usuarios a nivel de organización, y un propietario del proyecto puede asignar el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin
) a nivel de proyecto. Para obtener más información, consulta Conceder permisos a etiquetas seguras.Crea una clave y un valor de etiqueta seguros en la red
server
. Para obtener información sobre cómo crear claves y valores de etiquetas seguros, consulta el artículo Crear claves y valores de etiquetas seguros.Crea una regla de política de cortafuegos en la red
server
para permitir el tráfico de entrada de la etiqueta segura creada en el paso anterior. Para obtener más información, consulta Crear una regla de política de cortafuegos con etiquetas seguras.Concede los permisos necesarios al usuario
client
para proteger las etiquetas en ambas redes VPC. Para obtener más información, consulta Conceder permisos a etiquetas seguras.En la red
client
, vincula las etiquetas seguras a una instancia de VM. Para obtener más información, consulta Vincular etiquetas seguras. Ahora la VMclient
abre conexiones a la VMserver
.La regla de la política de cortafuegos del servidor permite el tráfico porque procede de las etiquetas seguras a las que está vinculado. La regla también permite el paquete de respuesta porque el tráfico de salida está permitido de forma predeterminada.