Crear y gestionar etiquetas seguras

En este documento se explica cómo crear y gestionar etiquetas seguras para políticas de firewall. Antes de usar etiquetas seguras en políticas de cortafuegos o de enlazarlas a recursos, debe crearlas.

En este documento se tratan los siguientes temas:

  • Conceder los permisos adecuados para gestionar y usar etiquetas
  • Crear claves y valores de etiquetas
  • Crear políticas y reglas de cortafuegos que usen etiquetas seguras
  • Asociar etiquetas seguras a instancias de máquina virtual (VM)
  • Usar etiquetas seguras en redes emparejadas

Para obtener más información sobre las etiquetas seguras y cómo funcionan, consulte Etiquetas seguras para firewalls.

Conceder permisos a etiquetas seguras

Un administrador de la organización puede asignar roles a nivel de organización, y un propietario de un proyecto puede asignar roles a nivel de proyecto.

Conceder el rol de administrador de la etiqueta

El rol de administrador de la etiqueta (roles/resourcemanager.tagAdmin) te permite crear, actualizar y eliminar etiquetas seguras.

Consola

Para conceder el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) al usuario, sigue estos pasos:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. En la lista del selector de proyectos, selecciona la organización o el proyecto al que quieras asignar el rol.

  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce la dirección de correo del usuario. Por ejemplo, my-user@example.com.

  5. En la lista Selecciona un rol, introduce Etiqueta en el campo Filtro y, a continuación, selecciona Administrador de etiquetas.

  6. Haz clic en Guardar.

gcloud

Para asignar el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) a una entidad principal de gestión de identidades y accesos en la política de gestión de identidades y accesos de una organización, usa el comando gcloud organizations add-iam-policy-binding:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización
  • EMAIL_ADDRESS: la dirección de correo del usuario

Conceder el rol Tag User

El rol Usuario de etiquetas (roles/resourcemanager.tagUser) te permite acceder a la lista de etiquetas seguras y gestionar sus asociaciones con los recursos.

Consola

Para conceder el rol de usuario de etiquetas (roles/resourcemanager.tagUser) al usuario, sigue estos pasos:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. En la lista del selector de proyectos, selecciona la organización o el proyecto al que quieras asignar el rol.

  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce la dirección de correo del usuario. Por ejemplo, my-user@example.com.

  5. En la lista Selecciona un rol, introduce Etiqueta en el campo Filtro y, a continuación, selecciona Usuario de etiqueta.

  6. Opcional: Añade una condición al rol.

  7. Haz clic en Guardar.

gcloud

  1. Para asignar el rol Usuario de etiqueta (roles/resourcemanager.tagUser) a un usuario en una etiqueta específica, usa el comando gcloud resource-manager tags keys add-iam-policy-binding:

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID de tu organización
    • TAG_KEY: la clave de la etiqueta segura
    • EMAIL_ADDRESS: la dirección de correo del usuario

  2. Para asignar el rol Usuario de etiquetas (roles/resourcemanager.tagUser) a un principal de IAM para que pueda usar todos los valores de etiqueta de cada clave de etiqueta de la organización, usa el comando gcloud organizations add-iam-policy-binding:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID de tu organización
    • EMAIL_ADDRESS: la dirección de correo del usuario

  3. Para asignar el rol Usuario de etiquetas (roles/resourcemanager.tagUser) a un principal de IAM para que pueda usar un valor de etiqueta específico de una clave de etiqueta cuyo elemento superior sea la organización, usa el comando gcloud resource-manager tags values add-iam-policy-binding:

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID de tu organización
    • TAG_KEY: la clave de la etiqueta segura
    • TAG_VALUE: el valor de la etiqueta segura
    • EMAIL_ADDRESS: la dirección de correo del usuario

  4. Para asignar el rol Usuario de etiquetas (roles/resourcemanager.tagUser) a un principal de gestión de identidades y accesos para que pueda usar todos los valores de etiqueta de cada clave de etiqueta de un proyecto, usa el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Haz los cambios siguientes:

    • PROJECT_NAME: nombre de tu proyecto
    • EMAIL_ADDRESS: la dirección de correo del usuario

Roles personalizados para gestionar etiquetas seguras

El rol de administrador de la etiqueta (roles/resourcemanager.tagAdmin) te permite crear, actualizar y eliminar etiquetas seguras. Si necesitas algunas de estas funciones, puedes crear un rol de gestión de identidades y accesos (IAM) personalizado con los permisos pertinentes y, a continuación, conceder el nuevo rol al usuario de destino. Para ver la lista de permisos pertinentes, consulta Roles de gestión de identidades y accesos.

Las etiquetas seguras que se usen en las políticas de cortafuegos deben designarse con un GCE_FIREWALL propósito. Aunque el propósito GCE_FIREWALL es obligatorio para que la etiqueta segura se use en las funciones de redes, puedes usarla para otras acciones.

Crear las claves y los valores de las etiquetas seguras

Antes de asociar etiquetas seguras a políticas de cortafuegos, debes crear las claves y los valores de las etiquetas seguras.

Una vez creada la clave de etiqueta, no se puede cambiar y debe ser única en el mismo espacio de nombres.

Consola

Para crear una clave y valores de etiqueta seguros, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Etiquetas.

    Vaya a Etiquetas.

  2. En la lista del selector de proyectos, selecciona la organización o el proyecto en el que quieras crear una clave de etiqueta.

  3. Haz clic en Crear.

  4. En el campo Clave de etiqueta, introduce el nombre visible de tu clave de etiqueta. Este se convierte en parte del nombre del espacio de nombres de tu etiqueta.

  5. Opcional: En el campo Descripción de la clave de etiqueta, escribe una descripción de tu clave de etiqueta.

  6. En Propósito de la etiqueta, seleccione Para usar con Cloud NGFW.

  7. Para crear una etiqueta segura, sigue uno de estos procedimientos:

    • Si los datos de finalidad especifican una red, selecciona Restringir el ámbito a una sola red.

    • Si los datos de finalidad especifican una organización, desmarca Restringir el ámbito a una sola red.

  8. En la pestaña Selección de red, seleccione la organización o el proyecto en el que quiera crear una clave de etiqueta segura.

  9. En la lista Red, selecciona la red.

  10. Si quiere añadir valores de etiqueta a esta clave, haga clic en Añadir valor para cada valor de etiqueta que quiera crear.

  11. En el campo Valor de la etiqueta, introduce el nombre visible del valor de la etiqueta. Este se convierte en parte del nombre del espacio de nombres de tu etiqueta.

  12. Opcional: En el campo Descripción del valor de la etiqueta, escriba una descripción del valor de la etiqueta.

  13. Cuando haya terminado de añadir valores de etiqueta, haga clic en Crear clave de etiqueta.

gcloud

  1. Una vez que hayas obtenido los permisos necesarios, crea la clave de etiqueta segura a nivel de organización o de proyecto.

    • Para crear una clave de etiqueta segura para una organización, usa el comando gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      Haz los cambios siguientes:

      • TAG_KEY: la clave de la etiqueta segura
      • ORGANIZATION_ID: el ID de tu organización

    • Para crear una clave de etiqueta segura para un proyecto principal o una organización cuyos datos de finalidad identifiquen una sola red VPC, usa el comando gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      Haz los cambios siguientes:

      • TAG_KEY: la clave de la etiqueta segura
      • ORGANIZATION_ID: el ID de tu organización
      • PROJECT_ID: el ID de tu proyecto
      • NETWORK: el nombre de tu red

  2. Para añadir los valores de etiqueta segura pertinentes a las claves de etiqueta segura, usa el comando gcloud resource-manager tags values create:

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    Haz los cambios siguientes:

    • TAG_VALUE: el valor que se asignará a la clave de etiqueta segura.
    • ORGANIZATION_ID: el ID de tu organización
    • TAG_KEY: la clave de la etiqueta segura

    Ejecuta el comando varias veces para añadir varios valores. Asegúrate de que cada valor de etiqueta segura que añadas a la clave de etiqueta segura sea único.

Crear una política de cortafuegos

Puedes usar claves de etiquetas seguras en las políticas de cortafuegos después de crearlas. Puedes usar claves de etiquetas seguras definidas a nivel de organización en políticas de cortafuegos jerárquicas o de red. Solo puedes usar etiquetas seguras definidas a nivel de red en las políticas de cortafuegos de red.

Crear una política de cortafuegos jerárquica

Puedes crear una política en cualquier recurso (organización o carpeta) de tu jerarquía de organización.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la lista del selector de proyectos, selecciona el ID de tu organización o una carpeta de tu organización.

  3. Haz clic en Crear política de cortafuegos.

  4. En el campo Nombre de la política, introduce el nombre.

  5. Si quiere crear reglas para su política, haga clic en Continuar > Crear regla de cortafuegos.

    Para obtener más información, consulta el artículo Crear una regla de política de cortafuegos jerárquica con etiquetas seguras.

  6. Si quiere asociar la política a un recurso, haga clic en Continuar > Añadir.

    Para obtener más información, consulta el artículo Asociar una política a la organización o a la carpeta.

  7. Haz clic en Continuar > Crear.

gcloud

Para crear una política de cortafuegos jerárquica, usa el comando gcloud compute firewall-policies create:

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización

    Especifique este ID si va a crear la política a nivel de organización. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política con el recurso de la organización.

  • FOLDER_ID: el ID de una carpeta

    Especifique este ID si va a crear la política en una carpeta determinada. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política a esa carpeta.

  • SHORT_NAME: nombre de la política

    Una política creada con la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto que proporcionas tú. Cuando uses la CLI de Google Cloud para actualizar una política, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando utilice la API para actualizar la política, deberá proporcionar el nombre generado por el sistema.

Crear una política de cortafuegos de red global

Después de crear una etiqueta segura, puedes usarla en las reglas de una política de cortafuegos de red global.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la lista del selector de proyectos, selecciona el proyecto de tu organización.

  3. Haz clic en Crear política de cortafuegos.

  4. En el campo Nombre de la política, introduce el nombre.

  5. En Deployment scope (Ámbito de implementación), selecciona Global (Global).

  6. Si quiere crear reglas para su política, haga clic en Continuar > Crear regla de cortafuegos.

    Para obtener más información, consulta el artículo Crear una regla de política de cortafuegos de red con etiquetas seguras.

  7. Si quiere asociar la política a una red, haga clic en Continuar > Asociar.

    Para obtener más información, consulta Asociar una política a la red.

  8. Haz clic en Continuar > Crear.

gcloud

Para crear una política de cortafuegos de red, usa el comando gcloud compute network-firewall-policies create:

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

Haz los cambios siguientes:

  • NETWORK_FIREWALL_POLICY_NAME: nombre de la política
  • DESCRIPTION: una descripción de la política

Crear una regla de política de cortafuegos con etiquetas seguras

Después de crear una etiqueta segura y una política de cortafuegos, puede crear una regla de política de cortafuegos con los valores de etiqueta de origen y de destino específicos para permitir el tráfico elegido entre las VMs con las etiquetas de origen y de destino.

Crear una regla de política de cortafuegos jerárquica con etiquetas seguras

Solo puedes crear una regla de política de cortafuegos jerárquica con las claves y los valores de origen y destino específicos si has creado una política de cortafuegos jerárquica. Para obtener más información, consulta Crear una política de cortafuegos jerárquica.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la lista del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga tu política.

  3. Haga clic en el nombre de la política y, a continuación, en Crear regla de cortafuegos.

  4. Introduce la prioridad de la regla.

  5. Especifica la dirección del tráfico.

  6. En Acción tras coincidencia, elija una opción.

  7. En Registros, elige Activado o Desactivado.

  8. En Destino, seleccione Etiquetas seguras y, a continuación, haga clic en Seleccionar ámbito de las etiquetas.

  9. En la página Seleccionar un recurso, elige la organización o el proyecto en el que quieras crear etiquetas seguras.

  10. Introduzca los pares clave-valor a los que se debe aplicar la regla.

  11. Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

  12. En la sección Fuente, vaya a Etiquetas y haga clic en Seleccionar ámbito de las etiquetas.

  13. En la página Seleccionar un recurso, selecciona la organización o la carpeta que contenga las claves de etiqueta segura.

  14. Haz clic en Crear.

gcloud

Para crear una regla de política de cortafuegos jerárquica, usa el comando gcloud compute firewall-policies rules create:

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

Haz los cambios siguientes:

  • FIREWALL_POLICY_NAME: el nombre de la política de cortafuegos jerárquica
  • ORGANIZATION_ID: el ID de tu organización
  • TAG_KEY: la clave de la etiqueta segura
  • TAG_VALUE: el valor que se asignará a la clave de etiqueta segura.
  • DIRECTION: indica si la regla es de tipo ingress o egress.
  • ACTION: una de las siguientes acciones:
    • allow: permite las conexiones que coincidan con la regla.
    • deny: deniega las conexiones que coincidan con la regla.
    • goto_next: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.
  • PORT: número de puerto para acceder al recurso.

Crear una regla de política de cortafuegos de red con etiquetas seguras

Puede crear una regla de política de cortafuegos de red con los valores de etiqueta de origen y de destino específicos que permitan el tráfico elegido entre las VMs con las etiquetas de origen y de destino. Para obtener más información, consulta Crear una política de cortafuegos de red global.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la lista del selector de proyectos, selecciona el proyecto o la carpeta que contenga tu política.

  3. Haga clic en el nombre de la política y, a continuación, en Crear regla de cortafuegos.

  4. Introduce la prioridad de la regla.

  5. Especifica la dirección del tráfico.

  6. En Acción tras coincidencia, elija una opción.

  7. En Registros, elige Activado o Desactivado.

  8. En Destino, seleccione Etiquetas seguras y, a continuación, haga clic en Seleccionar ámbito de las etiquetas.

  9. En la página Seleccionar un recurso, elige la organización o el proyecto en el que quieras crear etiquetas seguras.

  10. Introduzca los pares clave-valor a los que se debe aplicar la regla.

  11. Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

  12. En la sección Fuente, vaya a Etiquetas y haga clic en Seleccionar ámbito de las etiquetas.

  13. En la página Seleccionar un recurso, selecciona la organización o la carpeta que contenga las claves de etiqueta segura.

  14. Haz clic en Crear.

gcloud

Para crear una regla de política de cortafuegos de red, usa el comando gcloud compute network-firewall-policies rules create:

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

Haz los cambios siguientes:

  • FIREWALL_POLICY_NAME: el nombre de la nueva red política de cortafuegos de red global
  • ORGANIZATION_ID: el ID de tu organización
  • TAG_KEY: la clave de etiqueta
  • TAG_VALUE: el valor que se asignará a la clave Tag.
  • DIRECTION: indica si la regla es ingress o egress.
  • ACTION: una de las siguientes acciones:
    • allow: permite las conexiones que coincidan con la regla.
    • deny: deniega las conexiones que coincidan con la regla.
    • goto_next: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.
  • PORT: número de puerto para acceder al recurso.

Vincular etiquetas seguras

Para saber cómo funciona el enlace de etiquetas seguras en las políticas de cortafuegos de red y en las políticas de cortafuegos jerárquicas, consulta Enlazar etiquetas seguras.

Antes de empezar

  • Asegúrate de que tienes el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin). Como administrador de etiquetas, puedes vincular las etiquetas seguras a instancias de VM concretas.

  • Si no tienes el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin), puedes pedirle al administrador de la organización que te asigne el rol Usuario de etiquetas (roles/resourcemanager.tagUser). Para obtener más información, consulta Conceder permisos para proteger etiquetas.

  • Asegúrate de que tienes el rol Usuario de etiquetas (roles/resourcemanager.tagUser) en los recursos a los que están vinculadas las etiquetas. Para obtener más información sobre cómo asignar el rol Usuario de etiquetas (roles/resourcemanager.tagUser) en los recursos a los que se van a vincular las etiquetas, consulta el artículo Asignar permisos a etiquetas seguras.

  • Asegúrate de haber creado las claves y los valores de etiquetas seguras y la regla de política de cortafuegos con etiquetas seguras.

  • Asegúrate de que has creado una instancia de VM. Para obtener más información, consulta el artículo Crear e iniciar una instancia de Compute Engine.

Vincular etiquetas seguras a instancias de máquina virtual

Puede adjuntar etiquetas a determinados recursos. Una vez creado el recurso, adjunta etiquetas a ese recurso siguiendo estas instrucciones.

Consola

Para vincular las etiquetas seguras a las instancias de VM, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la VM a la que quieras añadir etiquetas.

  4. En la página de detalles de la instancia de VM, sigue estos pasos:

    1. Haz clic en Editar.
    2. En la sección Información básica, haga clic en Gestionar etiquetas y añada las etiquetas que quiera para la instancia.
    3. Haz clic en Guardar.

gcloud

Para obtener información sobre cómo usar estas marcas, consulta el artículo Asignar etiquetas a recursos de la documentación de Resource Manager.

Por ejemplo, el siguiente comando adjunta una etiqueta a una VM:

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Haz los cambios siguientes:

  • LOCATION_NAME: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de máquina virtual.
  • TAGVALUE_ID: el ID numérico del valor de la etiqueta.
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.
  • VM_ID: el ID de la instancia de VM

REST

Para adjuntar una etiqueta a un recurso, primero debe crear una representación JSON de un enlace de etiqueta que incluya el ID permanente o el nombre del espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de un enlace de etiqueta, consulta la referencia de tagBindings.

Para asociar la etiqueta a un recurso zonal, como una instancia de VM, usa el método tagBindings.create con el endpoint regional en el que se encuentre el recurso. Por ejemplo:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

El cuerpo de la solicitud puede ser una de las dos opciones siguientes:

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Haz los cambios siguientes:

  • LOCATION_NAME: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de VM.
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.
  • VM_ID: el ID de la instancia de VM
  • TAGVALUE_ID: el ID permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123
  • TAGVALUE_NAMESPACED_NAME: el nombre del espacio de nombres de la etiqueta valor que se adjunta y tiene el siguiente formato: parentNamespace/tagKeyShortName/tagValueShortName

Añadir etiquetas seguras a una instancia de VM durante la creación de la VM

En algunos casos, puede que quieras etiquetar recursos durante la creación de recursos, en lugar de hacerlo después.

Consola

Los pasos exactos pueden variar en función del tipo de recurso. Sigue estos pasos para una máquina virtual:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. Haz clic en Crear instancia. Aparecerá la página Crear una instancia y se mostrará el panel Configuración de la máquina.

  4. En el menú de navegación, haz clic en Opciones avanzadas. En el panel Avanzado que aparece, haz lo siguiente:

    1. Despliega la sección Gestionar etiquetas
    2. Haz clic en Añadir etiquetas.
    3. En el panel Etiquetas que se abre, siga las instrucciones para añadir una etiqueta a la instancia.
    4. Haz clic en Guardar.

  5. Especifica otras opciones de configuración para tu instancia. Para obtener más información, consulta Opciones de configuración durante la creación de instancias.

  6. Para crear e iniciar la VM, haz clic en Crear.

gcloud

Para adjuntar una etiqueta a un recurso durante la creación del recurso, añade la marca --resource-manager-tags con el comando create correspondiente. Por ejemplo, para adjuntar una etiqueta a una máquina virtual, usa el siguiente comando:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Haz los cambios siguientes:

  • INSTANCE_NAME: el nombre de tu instancia de VM
  • ZONE: la zona que contiene la instancia de VM
  • TAGKEY_ID: el ID numérico de la clave de la etiqueta
  • TAGVALUE_ID: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123.

Para especificar varias etiquetas, sepáralas con comas. Por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Envía una solicitud POST a la siguiente URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Incluye el siguiente cuerpo JSON de la solicitud:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Haz los cambios siguientes:

  • INSTANCE_NAME: el nombre de tu instancia de VM
  • TAGKEY_ID: el ID numérico de la clave de la etiqueta
  • TAGVALUE_ID: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123.

Usar etiquetas seguras en redes emparejadas

Puedes usar etiquetas seguras en el emparejamiento entre redes de VPC. Supongamos que las redes conectadas son server y client. Para usar etiquetas seguras en dos redes deGoogle Cloud conectadas, completa las siguientes tareas en el orden especificado.

  1. Asigna el rol de administrador de la etiqueta (roles/resourcemanager.tagAdmin) al usuario. Un administrador de la organización asigna el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) a los usuarios a nivel de organización, y un propietario del proyecto puede asignar el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) a nivel de proyecto. Para obtener más información, consulta Conceder permisos a etiquetas seguras.

  2. Crea una clave y un valor de etiqueta seguros en la red server. Para obtener información sobre cómo crear claves y valores de etiquetas seguros, consulta el artículo Crear claves y valores de etiquetas seguros.

  3. Crea una regla de política de cortafuegos en la red server para permitir el tráfico de entrada de la etiqueta segura creada en el paso anterior. Para obtener más información, consulta Crear una regla de política de cortafuegos con etiquetas seguras.

  4. Concede los permisos necesarios al usuario client para proteger las etiquetas en ambas redes VPC. Para obtener más información, consulta Conceder permisos a etiquetas seguras.

  5. En la red client, vincula las etiquetas seguras a una instancia de VM. Para obtener más información, consulta Vincular etiquetas seguras. Ahora la VM client abre conexiones a la VM server.

  6. La regla de la política de cortafuegos del servidor permite el tráfico porque procede de las etiquetas seguras a las que está vinculado. La regla también permite el paquete de respuesta porque el tráfico de salida está permitido de forma predeterminada.

Siguientes pasos