Membuat dan mengelola tag aman

Dokumen ini menjelaskan cara membuat dan mengelola tag aman untuk kebijakan firewall. Sebelum menggunakan tag aman dalam kebijakan firewall atau mengikatnya ke resource, Anda harus membuatnya.

Dokumen ini membahas topik berikut:

  • Memberikan izin yang sesuai untuk mengelola dan menggunakan tag
  • Membuat kunci dan nilai tag
  • Membuat kebijakan dan aturan firewall yang menggunakan tag aman
  • Mengikat tag aman ke instance virtual machine (VM)
  • Menggunakan tag aman di seluruh jaringan yang di-peering

Untuk mengetahui informasi selengkapnya tentang tag aman dan cara kerjanya, lihat artikel Tag aman untuk firewall.

Memberikan izin ke tag aman

Administrator organisasi dapat memberikan peran di tingkat organisasi, dan pemilik project dapat memberikan peran di tingkat project.

Memberikan peran Administrator Tag

Peran Administrator Tag (roles/resourcemanager.tagAdmin) memungkinkan Anda membuat, memperbarui, dan menghapus tag aman.

Konsol

Untuk memberikan peran Administrator Tag (roles/resourcemanager.tagAdmin) kepada pengguna, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Dalam daftar pemilih project, pilih organisasi atau project yang ingin Anda beri peran.

  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan alamat email pengguna. Contoh, my-user@example.com.

  5. Di daftar Select a role, masukkan Tag di kolom Filter, lalu pilih Tag administrator.

  6. Klik Simpan.

gcloud

Untuk memberikan peran Administrator Tag (roles/resourcemanager.tagAdmin) kepada akun utama IAM dalam kebijakan IAM organisasi, gunakan perintah gcloud organizations add-iam-policy-binding:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda
  • EMAIL_ADDRESS: alamat email pengguna

Memberi peran Pengguna Tag

Peran Tag User (roles/resourcemanager.tagUser) memungkinkan Anda mengakses daftar tag aman dan mengelola kaitannya dengan resource.

Konsol

Untuk memberikan peran Tag Pengguna (roles/resourcemanager.tagUser) kepada pengguna, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Dalam daftar pemilih project, pilih organisasi atau project yang ingin Anda beri peran.

  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan alamat email pengguna. Contoh, my-user@example.com.

  5. Di daftar Select a role, masukkan Tag di kolom Filter, lalu pilih Tag user.

  6. Opsional: Tambahkan kondisi ke peran.

  7. Klik Simpan.

gcloud

  1. Untuk memberikan peran Pengguna Tag (roles/resourcemanager.tagUser) kepada pengguna untuk tag tertentu, gunakan perintah gcloud resource-manager tags keys add-iam-policy-binding:

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda
    • TAG_KEY: kunci tag aman
    • EMAIL_ADDRESS: alamat email pengguna

  2. Untuk memberikan peran Pengguna Tag (roles/resourcemanager.tagUser) kepada akun utama IAM agar dapat menggunakan semua nilai tag dari setiap kunci tag dalam organisasi, gunakan perintah gcloud organizations add-iam-policy-binding:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda
    • EMAIL_ADDRESS: alamat email pengguna

  3. Untuk memberikan peran Pengguna Tag (roles/resourcemanager.tagUser) kepada akun utama IAM agar dapat menggunakan nilai tag tertentu dari kunci tag yang induknya adalah organisasi, gunakan perintah gcloud resource-manager tags values add-iam-policy-binding:

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda
    • TAG_KEY: kunci tag aman
    • TAG_VALUE: nilai tag aman
    • EMAIL_ADDRESS: alamat email pengguna

  4. Untuk memberikan peran Pengguna Tag (roles/resourcemanager.tagUser) kepada akun utama IAM agar dapat menggunakan semua nilai tag dari setiap kunci tag dalam project, gunakan perintah gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ganti kode berikut:

    • PROJECT_NAME: nama project Anda
    • EMAIL_ADDRESS: alamat email pengguna

Peran khusus untuk mengelola tag aman

Peran Administrator Tag (roles/resourcemanager.tagAdmin) memungkinkan Anda membuat, memperbarui, dan menghapus tag aman. Jika Anda memerlukan beberapa kemampuan ini, Anda dapat membuat peran Pengelolaan Akses dan Identitas (IAM) khusus dengan izin yang relevan, lalu memberikan peran baru tersebut kepada pengguna target. Untuk mengetahui daftar izin yang relevan, lihat peran IAM.

Tag aman yang digunakan dalam kebijakan firewall harus ditetapkan dengan tujuan GCE_FIREWALL. Meskipun tujuan GCE_FIREWALL diperlukan agar tag aman dapat digunakan dalam fitur jaringan, Anda dapat menggunakan tag aman untuk tindakan lain.

Buat kunci dan nilai tag yang aman

Sebelum mengaitkan tag aman ke kebijakan firewall, Anda harus membuat kunci dan nilai tag aman.

Setelah kunci tag dibuat, kunci tersebut tidak dapat diubah, dan harus bersifat unik dalam namespace yang sama.

Konsol

Untuk membuat kunci dan nilai tag yang aman, lakukan hal berikut:

  1. Di Google Cloud console, buka halaman Tags.

    Buka Tag

  2. Dalam daftar pemilih project, pilih organisasi atau project tempat Anda ingin membuat kunci tag.

  3. Klik Create .

  4. Di kolom Kunci tag, masukkan nama tampilan kunci tag Anda. Ini akan menjadi bagian dari nama namespace tag Anda.

  5. Opsional: Di kolom Deskripsi kunci tag, masukkan deskripsi kunci tag Anda.

  6. Untuk Tujuan tag, pilih Untuk digunakan dengan Cloud NGFW.

  7. Untuk membuat tag aman, lakukan salah satu hal berikut:

    • Jika data tujuan menentukan jaringan, pilih Batasi cakupan ke satu jaringan.

    • Jika data tujuan menentukan organisasi, hapus Batasi cakupan ke satu jaringan (Pratinjau).

  8. Di tab Network selection, pilih organisasi atau project tempat Anda ingin membuat kunci tag aman.

  9. Dalam daftar Jaringan, pilih jaringan.

  10. Jika Anda ingin menambahkan nilai tag ke kunci ini, klik Tambahkan nilai untuk setiap nilai tag yang ingin Anda buat.

  11. Di kolom Nilai tag, masukkan nama tampilan nilai tag Anda. Ini akan menjadi bagian dari nama namespace tag Anda.

  12. Opsional: Di kolom Deskripsi nilai tag, masukkan deskripsi nilai tag Anda.

  13. Setelah selesai menambahkan nilai tag, klik Buat kunci tag.

gcloud

  1. Setelah mendapatkan izin yang diperlukan, buat kunci tag aman di tingkat organisasi (Pratinjau) atau project.

    • Untuk membuat kunci tag aman bagi organisasi, gunakan perintah gcloud resource-manager tags keys create (Pratinjau):

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      Ganti kode berikut:

      • TAG_KEY: kunci tag aman
      • ORGANIZATION_ID: ID organisasi Anda

    • Untuk membuat kunci tag aman bagi project atau organisasi yang data tujuannya mengidentifikasi satu jaringan VPC, gunakan perintah gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      Ganti kode berikut:

      • TAG_KEY: kunci tag aman
      • ORGANIZATION_ID: ID organisasi Anda
      • PROJECT_ID: ID project Anda
      • NETWORK: nama jaringan Anda

  2. Untuk menambahkan nilai tag aman yang relevan ke kunci tag aman, gunakan perintah gcloud resource-manager tags values create:

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    Ganti kode berikut:

    • TAG_VALUE: nilai yang akan ditetapkan ke kunci tag aman
    • ORGANIZATION_ID: ID organisasi Anda
    • TAG_KEY: kunci tag aman

    Jalankan perintah beberapa kali untuk menambahkan beberapa nilai. Pastikan bahwa setiap nilai tag aman yang ditambahkan ke kunci tag aman bersifat unik.

Buat kebijakan firewall

Anda dapat menggunakan kunci tag aman dalam kebijakan firewall setelah membuatnya. Anda dapat menggunakan kunci tag aman yang ditentukan di tingkat organisasi dalam kebijakan firewall hierarkis atau kebijakan firewall jaringan. Anda hanya dapat menggunakan tag aman yang ditentukan di tingkat jaringan dalam kebijakan firewall jaringan.

Membuat kebijakan firewall hierarkis

Anda dapat membuat kebijakan di resource (organisasi atau folder) mana pun dalam hierarki organisasi Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di daftar pemilih project, pilih ID organisasi Anda atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Nama kebijakan, masukkan nama.

  5. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Buat aturan firewall.

    Untuk mengetahui detailnya, lihat Membuat aturan kebijakan firewall hierarkis dengan tag aman.

  6. Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan > Tambahkan.

    Untuk mengetahui detailnya, lihat bagian Mengaitkan kebijakan dengan organisasi atau folder.

  7. Klik Lanjutkan > Buat.

gcloud

Untuk membuat kebijakan firewall hierarkis, gunakan perintah gcloud compute firewall-policies create:

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda

    Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak secara otomatis mengaitkan kebijakan dengan resource organisasi.

  • FOLDER_ID: ID folder

    Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berada; ID tidak secara otomatis mengaitkan kebijakan dengan folder tersebut.

  • SHORT_NAME: nama untuk kebijakan

    Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang Anda berikan. Saat menggunakan Google Cloud CLI untuk memperbarui kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

Membuat kebijakan firewall jaringan global

Setelah membuat tag aman, Anda dapat menggunakannya dalam aturan kebijakan firewall jaringan global.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Nama kebijakan, masukkan nama.

  5. Untuk Cakupan deployment, pilih Global.

  6. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Buat aturan firewall.

    Untuk mengetahui detailnya, lihat Membuat aturan kebijakan firewall jaringan dengan tag aman.

  7. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan > Kaitkan.

    Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan jaringan.

  8. Klik Lanjutkan > Buat.

gcloud

Untuk membuat kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies create:

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan

Membuat aturan kebijakan firewall dengan tag aman

Setelah membuat tag aman dan kebijakan firewall, Anda dapat membuat aturan kebijakan firewall dengan nilai tag sumber dan nilai tag target tertentu untuk mengizinkan traffic yang dipilih antara VM dengan tag sumber dan tag tujuan.

Membuat aturan kebijakan firewall hierarkis dengan tag aman

Anda dapat membuat aturan kebijakan firewall hierarkis dengan kunci dan nilai sumber dan target tertentu hanya jika Anda telah membuat kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall hierarkis.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dalam daftar pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda, lalu klik Buat aturan firewall.

  4. Masukkan prioritas aturan.

  5. Tentukan arah lalu lintas.

  6. Untuk Action on match, pilih setelan.

  7. Untuk Logs, pilih On atau Off.

  8. Untuk Target, pilih Tag aman, lalu klik Pilih cakupan.

  9. Di halaman Pilih resource, pilih organisasi atau project tempat Anda ingin membuat tag aman.

  10. Masukkan pasangan nilai kunci yang akan menerapkan aturan.

  11. Untuk menambahkan pasangan nilai kunci lainnya, klik Tambahkan tag.

  12. Di bagian Source, untuk Tags, klik Select scope.

  13. Di halaman Pilih resource, pilih organisasi atau folder yang berisi kunci tag aman.

  14. Klik Buat.

gcloud

Untuk membuat aturan kebijakan firewall hierarkis, gunakan perintah gcloud compute firewall-policies rules create:

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

Ganti kode berikut:

  • FIREWALL_POLICY_NAME: nama kebijakan firewall hierarkis
  • ORGANIZATION_ID: ID organisasi Anda
  • TAG_KEY: kunci tag aman
  • TAG_VALUE: nilai yang akan ditetapkan ke kunci tag aman
  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress
  • ACTION: salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
  • PORT: nomor port untuk mengakses resource

Membuat aturan kebijakan firewall jaringan dengan tag aman

Anda dapat membuat aturan kebijakan firewall jaringan dengan nilai tag sumber dan nilai tag target tertentu yang mengizinkan traffic yang dipilih antar-VM dengan tag sumber dan tag tujuan. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dalam daftar pemilih project, pilih project atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda, lalu klik Buat aturan firewall.

  4. Masukkan prioritas aturan.

  5. Tentukan arah lalu lintas.

  6. Untuk Action on match, pilih setelan.

  7. Untuk Logs, pilih On atau Off.

  8. Untuk Target, pilih Tag aman, lalu klik Pilih cakupan.

  9. Di halaman Pilih resource, pilih organisasi atau project tempat Anda ingin membuat tag aman.

  10. Masukkan pasangan nilai kunci yang akan menerapkan aturan.

  11. Untuk menambahkan pasangan nilai kunci lainnya, klik Tambahkan tag.

  12. Di bagian Source, untuk Tags, klik Select scope.

  13. Di halaman Pilih resource, pilih organisasi atau folder yang berisi kunci tag aman.

  14. Klik Buat.

gcloud

Untuk membuat aturan kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies rules create:

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

Ganti kode berikut:

  • FIREWALL_POLICY_NAME: nama kebijakan firewall jaringan global baru
  • ORGANIZATION_ID: ID organisasi Anda
  • TAG_KEY: Kunci tag
  • TAG_VALUE: nilai yang akan ditetapkan ke kunci Tag
  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress
  • ACTION: salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
  • PORT: nomor port untuk mengakses resource

Mengikat tag aman

Untuk memahami cara kerja pengikatan tag aman untuk kebijakan firewall jaringan dan kebijakan firewall hierarkis (Pratinjau), lihat Mengikat tag aman.

Sebelum memulai

  • Pastikan Anda memiliki peran Administrator Tag (roles/resourcemanager.tagAdmin). Sebagai administrator tag, Anda dapat mengikat tag aman ke setiap instance VM.

  • Jika Anda tidak memiliki peran Administrator Tag (roles/resourcemanager.tagAdmin), Anda dapat meminta administrator organisasi untuk memberi Anda peran Pengguna Tag (roles/resourcemanager.tagUser) (Pratinjau). Untuk mengetahui informasi selengkapnya, lihat Memberikan izin ke tag aman.

  • Pastikan Anda memiliki peran Tag User (roles/resourcemanager.tagUser) di resource yang terikat dengan tag. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran Pengguna Tag (roles/resourcemanager.tagUser) pada resource yang akan dikaitkan dengan tag, lihat Memberikan izin untuk mengamankan tag.

  • Pastikan Anda telah membuat kunci dan nilai tag yang aman serta aturan kebijakan firewall dengan tag aman.

  • Pastikan Anda telah membuat instance VM. Untuk mengetahui informasi selengkapnya, lihat Membuat dan memulai instance Compute Engine.

Mengikat tag aman ke instance VM

Anda dapat melampirkan tag yang ada ke resource tertentu. Setelah resource dibuat, lampirkan tag ke resource tersebut menggunakan petunjuk berikut.

Konsol

Untuk mengikat tag aman ke instance VM, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Pilih project Anda, lalu klik Lanjutkan.

  3. Di kolom Nama, klik nama VM yang ingin Anda tambahi tag.

  4. Dari halaman detail Instance VM, selesaikan langkah-langkah berikut:

    1. Klik Edit.
    2. Di bagian Informasi dasar, klik Kelola Tag, lalu tambahkan tag yang Anda inginkan untuk instance.
    3. Klik Simpan.

gcloud

Untuk mengetahui informasi tentang cara menggunakan flag ini, baca Melampirkan tag ke resource dalam dokumentasi Resource Manager.

Misalnya, perintah berikut akan melampirkan tag ke VM:

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Ganti kode berikut:

  • LOCATION_NAME: region yang berisi target resource; dalam contoh ini, region instance VM
  • TAGVALUE_ID: ID numerik nilai tag
  • PROJECT_NUMBER: ID numerik project Anda yang berisi resource target
  • ZONE: zona yang berisi resource target; dalam contoh ini, zona instance VM
  • VM_ID: ID instance VM

REST

Untuk melampirkan tag ke resource, Anda harus terlebih dahulu membuat representasi JSON binding tag yang menyertakan ID permanen atau nama dengan namespace dari nilai tag dan ID permanen resource tersebut. Untuk mengetahui informasi selengkapnya tentang format binding tag, lihat referensi tagBindings.

Untuk melampirkan tag ke resource zona, seperti instance VM, gunakan metode tagBindings.create dengan endpoint regional tempat resource Anda berada. Contoh:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

Isi permintaan dapat berupa salah satu dari dua opsi berikut:

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Ganti kode berikut:

  • LOCATION_NAME: region yang berisi resource target; dalam contoh ini, region instance VM
  • PROJECT_NUMBER: ID numerik project Anda yang berisi resource target
  • ZONE: zona yang berisi resource target; dalam contoh ini, zona instance VM
  • VM_ID: ID instance VM
  • TAGVALUE_ID: ID permanen nilai tag yang dilampirkan—misalnya: 4567890123
  • TAGVALUE_NAMESPACED_NAME: nama namespace nilai tag yang dilampirkan dan memiliki format: parentNamespace/tagKeyShortName/tagValueShortName

Menambahkan tag aman ke instance VM selama pembuatan VM

Dalam skenario tertentu, Anda dapat memberi tag pada resource selama pembuatan resource, bukan setelah resource dibuat.

Konsol

Bergantung pada jenis resource, langkah-langkah persisnya mungkin berbeda. Langkah-langkah berikut ditujukan untuk VM:

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Pilih project Anda, lalu klik Continue.

  3. Klik Create instance. Halaman Create an instance akan muncul dan menampilkan panel Machine configuration.

  4. Di menu navigasi, klik Lanjutan. Di panel Advanced yang muncul, lakukan hal berikut:

    1. Luaskan bagian Kelola Tag dan Label.
    2. Klik Tambahkan Tag.
    3. Di panel Tags yang terbuka, ikuti petunjuk untuk menambahkan tag ke instance.
    4. Klik Simpan.

  5. Tentukan opsi konfigurasi lainnya untuk instance Anda. Untuk mengetahui informasi selengkapnya, lihat Opsi konfigurasi selama pembuatan instance.

  6. Untuk membuat dan memulai VM, klik Create.

gcloud

Untuk melampirkan tag ke resource selama pembuatan resource, tambahkan flag --resource-manager-tags dengan perintah create masing-masing. Misalnya, untuk melampirkan tag ke VM, gunakan perintah berikut:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Ganti kode berikut:

  • INSTANCE_NAME: nama instance VM Anda
  • ZONE: zona yang berisi instance VM
  • TAGKEY_ID: ID numerik nomor kunci tag
  • TAGVALUE_ID: ID numerik permanen nilai tag yang dilampirkan—misalnya: 4567890123

Tentukan beberapa tag dengan memisahkan tag menggunakan koma, misalnya, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Buat permintaan POST ke URL berikut:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Sertakan isi JSON permintaan berikut:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Ganti kode berikut:

  • INSTANCE_NAME: nama instance VM Anda
  • TAGKEY_ID: ID numerik nomor kunci tag
  • TAGVALUE_ID: ID numerik permanen nilai tag yang dilampirkan—misalnya: 4567890123

Menggunakan tag aman di seluruh jaringan yang di-peering

Anda dapat menggunakan tag aman di Peering Jaringan VPC. Asumsikan bahwa jaringan yang terhubung adalah server dan client. Untuk menggunakan tag aman di dua jaringanGoogle Cloud yang terhubung, selesaikan tugas berikut dalam urutan yang ditentukan.

  1. Tetapkan peran Administrator Tag (roles/resourcemanager.tagAdmin) kepada pengguna. Administrator organisasi memberikan peran Administrator Tag (roles/resourcemanager.tagAdmin) kepada pengguna di tingkat organisasi, dan pemilik project dapat memberikan peran Administrator Tag (roles/resourcemanager.tagAdmin) di tingkat project. Untuk mengetahui informasi selengkapnya, lihat Memberikan izin ke tag aman.

  2. Buat kunci dan nilai tag yang aman di jaringan server. Untuk mengetahui informasi tentang cara membuat kunci dan nilai tag yang aman, lihat Membuat kunci dan nilai tag yang aman.

  3. Buat aturan kebijakan firewall di jaringan server untuk mengizinkan traffic masuk dari tag aman yang dibuat pada langkah sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan kebijakan firewall dengan tag aman.

  4. Berikan izin yang diperlukan kepada pengguna client untuk mengamankan tag di kedua jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Memberikan izin ke tag aman.

  5. Di jaringan client, ikat tag aman ke instance VM. Untuk mengetahui informasi selengkapnya, lihat Mengikat tag aman. Sekarang, VM client membuka koneksi ke VM server.

  6. Aturan kebijakan firewall server mengizinkan traffic karena traffic berasal dari tag aman yang terikat dengannya. Aturan ini juga mengizinkan paket respons karena traffic keluar diizinkan secara default.

Langkah berikutnya