Questo documento spiega come creare e gestire i tag sicuri per le norme firewall. Prima di utilizzare i tag sicuri nei criteri firewall o di associarli alle risorse, devi crearli.
Questo documento tratta i seguenti argomenti:
- Concedere le autorizzazioni appropriate per gestire e utilizzare i tag
- Creazione di chiavi e valori dei tag
- Creazione di criteri e regole firewall che utilizzano tag sicuri
- Associazione di tag sicuri alle istanze di macchine virtuali (VM)
- Utilizzo di tag sicuri nelle reti in peering
Per saperne di più sui tag sicuri e sul loro funzionamento, consulta Tag sicuri per i firewall.
Concedere le autorizzazioni ai tag protetti
Un amministratore dell'organizzazione può concedere ruoli a livello di organizzazione, mentre un proprietario del progetto può concedere ruoli a livello di progetto.
Concedi il ruolo Amministratore del tag
Il ruolo Amministratore del tag (roles/resourcemanager.tagAdmin) consente di creare,
aggiornare ed eliminare i tag sicuri.
Console
Per concedere all'utente il ruolo Amministratore del tag (roles/resourcemanager.tagAdmin):
Nella console Google Cloud vai alla pagina IAM.
Nell'elenco del selettore di progetti, seleziona l'organizzazione o il progetto a cui vuoi assegnare il ruolo.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'utente. Ad esempio,
my-user@example.com.Nell'elenco Seleziona un ruolo, inserisci Tag nel campo Filtro e poi seleziona Amministratore tag.
Fai clic su Salva.
gcloud
Per concedere il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) a un'entità IAM nei criteri IAM di un'organizzazione, utilizza il comando gcloud organizations add-iam-policy-binding:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member=user:EMAIL_ADDRESS \
--role=roles/resourcemanager.tagAdmin
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneEMAIL_ADDRESS: l'indirizzo email dell'utente
Concedi ruolo Utente tag
Il ruolo Utente tag (roles/resourcemanager.tagUser) consente di accedere all'elenco dei tag sicuri e gestire le relative associazioni con le risorse.
Console
Per concedere all'utente il ruolo Utente tag (roles/resourcemanager.tagUser),
segui questi passaggi:
Nella console Google Cloud vai alla pagina IAM.
Nell'elenco del selettore di progetti, seleziona l'organizzazione o il progetto a cui vuoi assegnare il ruolo.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'utente. Ad esempio,
my-user@example.com.Nell'elenco Seleziona un ruolo, inserisci Tag nel campo Filtro e poi seleziona Utente tag.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva.
gcloud
Per concedere il ruolo Utente con tag (
roles/resourcemanager.tagUser) all'utente per un tag specifico, utilizza il comandogcloud resource-manager tags keys add-iam-policy-binding:gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un principal IAM in modo che possa utilizzare tutti i valori dei tag di ogni chiave tag nell'organizzazione, utilizza il comandogcloud organizations add-iam-policy-binding:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un'entità IAM in modo che possa utilizzare un valore di tag specifico di una chiave di tag il cui parent è l'organizzazione, utilizza il comandogcloud resource-manager tags values add-iam-policy-binding:gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraTAG_VALUE: il valore del tag sicuroEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un principal IAM in modo che possa utilizzare tutti i valori dei tag di ogni chiave tag in un progetto, utilizza il comandogcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
PROJECT_NAME: il nome del progettoEMAIL_ADDRESS: l'indirizzo email dell'utente
Ruoli personalizzati per gestire i tag protetti
Il ruolo Amministratore del tag (roles/resourcemanager.tagAdmin) consente di creare,
aggiornare ed eliminare i tag sicuri.
Se hai bisogno di alcune di queste funzionalità, puoi creare un ruolo
IAM (Identity and Access Management) personalizzato con le autorizzazioni pertinenti e poi concedere
il nuovo ruolo all'utente di destinazione. Per l'elenco delle autorizzazioni pertinenti,
consulta Ruoli IAM.
I tag sicuri utilizzati nelle policy firewall devono essere designati con uno scopo GCE_FIREWALL. Sebbene lo scopo GCE_FIREWALL sia necessario per utilizzare il tag sicuro nelle funzionalità di networking, puoi utilizzare il tag sicuro per altre azioni.
Crea le chiavi e i valori dei tag protetti
Prima di associare i tag sicuri ai criteri firewall, devi creare le chiavi e i valori dei tag sicuri.
Una volta creata, la chiave del tag non può essere modificata e deve essere univoca all'interno dello stesso spazio dei nomi.
Console
Per creare una chiave e dei valori di tag sicuri:
Nella console Google Cloud , vai alla pagina Tag.
Nell'elenco del selettore di progetti, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag.
Fai clic su Crea.
Nel campo Chiave tag, inserisci il nome visualizzato della chiave tag. Questo diventa parte del nome dello spazio dei nomi del tag.
(Facoltativo) Nel campo Descrizione chiave tag, inserisci una descrizione della chiave tag.
In Scopo del tag, seleziona Per l'utilizzo con Cloud NGFW.
Per creare un tag sicuro, esegui una delle seguenti operazioni:
Se i dati sullo scopo specificano una rete, seleziona Limita l'ambito a una singola rete.
Se i dati sullo scopo specificano un'organizzazione, deseleziona Limita l'ambito a una singola rete (anteprima).
Nella scheda Selezione rete, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag sicura.
Nell'elenco Rete, seleziona la rete.
Se vuoi aggiungere valori tag a questa chiave, fai clic su Aggiungi valore per ogni valore tag che vuoi creare.
Nel campo Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome dello spazio dei nomi del tag.
(Facoltativo) Nel campo Descrizione del valore tag, inserisci una descrizione del valore tag.
Quando hai finito di aggiungere i valori dei tag, fai clic su Crea chiave tag.
gcloud
Dopo aver ottenuto le autorizzazioni richieste, crea la chiave del tag sicuro a livello di organizzazione (Anteprima) o progetto.
Per creare una chiave tag sicura per un'organizzazione, utilizza il comando
gcloud resource-manager tags keys create(anteprima):gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data organization=autoSostituisci quanto segue:
TAG_KEY: la chiave tag sicuraORGANIZATION_ID: l'ID della tua organizzazione
Per creare una chiave tag sicura per un progetto o un'organizzazione i cui dati sullo scopo identificano una singola rete VPC, utilizza il comando
gcloud resource-manager tags keys create:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORKSostituisci quanto segue:
TAG_KEY: la chiave tag sicuraORGANIZATION_ID: l'ID della tua organizzazionePROJECT_ID: l'ID del tuo progettoNETWORK: il nome della tua rete
Per aggiungere i valori dei tag sicuri pertinenti alle chiavi dei tag sicuri, utilizza il comando
gcloud resource-manager tags values create:gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEYSostituisci quanto segue:
TAG_VALUE: il valore da assegnare alla chiave del tag sicuroORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicura
Esegui il comando più volte per aggiungere più valori. Assicurati che ogni valore del tag sicuro aggiunto alla chiave del tag sicuro sia univoco.
Crea una policy firewall
Puoi utilizzare le chiavi dei tag sicuri nelle policy firewall dopo averle create. Puoi utilizzare chiavi di tag sicuri definite a livello di organizzazione nei criteri firewall gerarchici o nei criteri firewall di rete. Puoi utilizzare solo i tag sicuri definiti a livello di rete nei criteri firewall di rete.
Crea una policy firewall gerarchica
Puoi creare un criterio in qualsiasi risorsa (organizzazione o cartella) della gerarchia dell'organizzazione.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona l'ID organizzazione o una cartella all'interno dell'organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome criterio, inserisci il nome.
Se vuoi creare regole per il criterio, fai clic su Continua > Crea regola firewall.
Per maggiori dettagli, vedi Creare una regola del criterio firewall gerarchico con tag sicuri.
Se vuoi associare le norme a una risorsa, fai clic su Continua > Aggiungi.
Per maggiori dettagli, vedi Associare un criterio all'organizzazione o alla cartella.
Fai clic su Continua > Crea.
gcloud
Per creare un criterio firewall gerarchico, utilizza il
comando gcloud compute firewall-policies create:
gcloud compute firewall-policies create \
[--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
--short-name SHORT_NAME
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneSpecifica questo ID se stai creando la policy a livello di organizzazione. Questo ID indica solo dove risiede il criterio, ma non lo associa automaticamente alla risorsa dell'organizzazione.
FOLDER_ID: l'ID di una cartellaSpecifica questo ID se stai creando la policy in una determinata cartella. Questo ID indica solo la posizione in cui si trova il criterio; non associa automaticamente il criterio a quella cartella.
SHORT_NAME: un nome per la policyUna policy creata utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzi Google Cloud CLI per aggiornare un criterio esistente, puoi fornire il nome generato dal sistema o il nome breve e l'ID organizzazione. Quando utilizzi l'API per aggiornare le norme, devi fornire il nome generato dal sistema.
Crea una policy del firewall di rete globale
Dopo aver creato un tag sicuro, puoi utilizzarlo nelle regole di una policy firewall di rete globale.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona il tuo progetto all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome criterio, inserisci il nome.
In Ambito di deployment, seleziona Globale.
Se vuoi creare regole per il criterio, fai clic su Continua > Crea regola firewall.
Per maggiori dettagli, vedi Creare una regola del criterio firewall di rete con tag sicuri.
Se vuoi associare le norme a un'emittente, fai clic su Continua > Associa.
Per maggiori dettagli, vedi Associare una policy alla rete.
Fai clic su Continua > Crea.
gcloud
Per creare una policy firewall di rete, utilizza il
comando gcloud compute network-firewall-policies create:
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
Sostituisci quanto segue:
NETWORK_FIREWALL_POLICY_NAME: un nome per la policyDESCRIPTION: una descrizione della policy
Crea una regola di policy firewall con tag sicuri
Dopo aver creato un tag sicuro e un criterio firewall, puoi creare una regola del criterio firewall con i valori specifici dei tag di origine e di destinazione per consentire il traffico scelto tra le VM con i tag di origine e di destinazione.
Crea una regola di policy firewall gerarchica con tag sicuri
Puoi creare una regola del criterio firewall gerarchico con le chiavi e i valori di origine e di destinazione specifici solo se hai creato un criterio firewall gerarchico. Per saperne di più, vedi Creare un criterio firewall gerarchico.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.
Fai clic sul nome della policy e poi su Crea regola firewall.
Inserisci la priorità della regola.
Specifica la direzione del traffico.
Per Azione in caso di corrispondenza, scegli un'impostazione.
Per Log, scegli On o Off.
In Target, seleziona Tag sicuri, quindi fai clic su Seleziona ambito.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o il progetto in cui vuoi creare tag sicuri.
Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
Nella sezione Origine, per Tag, fai clic su Seleziona ambito.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o la cartella che contiene le chiavi dei tag sicuri.
Fai clic su Crea.
gcloud
Per creare una regola di policy firewall gerarchica, utilizza il
comando gcloud compute firewall-policies rules create:
gcloud compute firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT
Sostituisci quanto segue:
FIREWALL_POLICY_NAME: il nome del criterio firewall gerarchicoORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraTAG_VALUE: il valore da assegnare alla chiave del tag sicuroDIRECTION: indica se la regola è una regolaingressoegressACTION: una delle seguenti azioni:allow: consente le connessioni che corrispondono alla regoladeny: nega le connessioni che corrispondono alla regolagoto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
PORT: il numero di porta per accedere alla risorsa
Crea una regola della policy firewall di rete con tag sicuri
Puoi creare una regola del criterio firewall di rete con i valori dei tag di origine specifici e i valori dei tag di destinazione che consentono il traffico scelto tra le VM con i tag di origine e i tag di destinazione. Per saperne di più, vedi Creare una policy del firewall di rete globale.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona il progetto o la cartella che contiene il criterio.
Fai clic sul nome della policy e poi su Crea regola firewall.
Inserisci la priorità della regola.
Specifica la direzione del traffico.
Per Azione in caso di corrispondenza, scegli un'impostazione.
Per Log, scegli On o Off.
In Target, seleziona Tag sicuri, quindi fai clic su Seleziona ambito.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o il progetto in cui vuoi creare tag sicuri.
Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
Nella sezione Origine, per Tag, fai clic su Seleziona ambito.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o la cartella che contiene le chiavi dei tag sicuri.
Fai clic su Crea.
gcloud
Per creare una regola della policy firewall di rete, utilizza il
comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT \
--global-firewall-policy
Sostituisci quanto segue:
FIREWALL_POLICY_NAME: il nome della nuova policy di firewall di rete globaleORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tagTAG_VALUE: il valore da assegnare alla chiave tagDIRECTION: indica se la regola è una regolaingressoegressACTION: una delle seguenti azioni:allow: consente le connessioni che corrispondono alla regoladeny: nega le connessioni che corrispondono alla regolagoto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
PORT: il numero di porta per accedere alla risorsa
Associa tag protetti
Per capire come funziona l'associazione sicura dei tag sia per i criteri firewall di rete sia per i criteri firewall gerarchici (anteprima), consulta Associare tag sicuri.
Prima di iniziare
Assicurati di disporre del ruolo Amministratore tag (
roles/resourcemanager.tagAdmin). In qualità di amministratore tag, puoi associare i tag sicuri a singole istanze VM.Se non disponi del ruolo Amministratore tag (
roles/resourcemanager.tagAdmin), puoi chiedere all'amministratore dell'organizzazione di concederti il ruolo Utente tag (roles/resourcemanager.tagUser) (Anteprima). Per ulteriori informazioni, vedi Concedere le autorizzazioni ai tag sicuri.Assicurati di disporre del ruolo Utente con tag (
roles/resourcemanager.tagUser) nelle risorse a cui sono associati i tag. Per ulteriori informazioni su come concedere il ruolo Utente tag (roles/resourcemanager.tagUser) alle risorse a cui devono essere associati i tag, consulta Concedere le autorizzazioni per proteggere i tag.Assicurati di aver creato le chiavi e i valori dei tag sicuri e la regola del criterio firewall con tag sicuri.
Assicurati di aver creato un'istanza VM. Per ulteriori informazioni, consulta Crea e avvia un'istanza Compute Engine.
Associa tag sicuri alle istanze VM
Puoi collegare i tag esistenti a determinate risorse. Dopo aver creato la risorsa, collegala ai tag seguendo le istruzioni riportate di seguito.
Console
Per associare i tag sicuri alle istanze VM:
Nella console Google Cloud , vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Nella colonna Nome, fai clic sul nome della VM per cui vuoi aggiungere i tag.
Nella pagina dei dettagli dell'istanza VM, completa i seguenti passaggi:
- Fai clic su Modifica.
- Nella sezione Informazioni di base, fai clic su Gestisci tag e aggiungi i tag che preferisci per l'istanza.
- Fai clic su Salva.
gcloud
Per informazioni su come utilizzare questi flag, leggi Collegare tag alle risorse nella documentazione di Resource Manager.
Ad esempio, il seguente comando associa un tag a una VM:
gcloud resource-manager tags bindings create \
--location LOCATION_NAME \
--tag-value=tagValues/TAGVALUE_ID \
--parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID
Sostituisci quanto segue:
LOCATION_NAME: la regione che contiene la risorsa di destinazione; in questo esempio, la regione dell'istanza VMTAGVALUE_ID: l'ID numerico del valore tagPROJECT_NUMBER: l'ID numerico del progetto che contiene la risorsa di destinazioneZONE: la zona che contiene la risorsa di destinazione; in questo esempio, la zona dell'istanza VMVM_ID: l'ID istanza VM
REST
Per associare un tag a una risorsa, devi prima creare una rappresentazione JSON di un'associazione di tag che includa l'ID permanente o il nome dello spazio dei nomi del valore del tag e l'ID permanente della risorsa. Per ulteriori informazioni sul formato di un'associazione di tag, consulta la documentazione di riferimento di tagBindings.
Per collegare il tag a una risorsa di zona, ad esempio un'istanza VM, utilizza
il metodo tagBindings.create con l'endpoint di regione in cui
si trova la risorsa. Ad esempio:
POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
Il corpo della richiesta può essere una delle seguenti due opzioni:
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValue": "tagValue/TAGVALUE_ID"
}
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}Sostituisci quanto segue:
LOCATION_NAME: la regione che contiene la risorsa di destinazione; in questo esempio, la regione dell'istanza VMPROJECT_NUMBER: l'ID numerico del progetto che contiene la risorsa di destinazioneZONE: la zona che contiene la risorsa di destinazione; in questo esempio, la zona dell'istanza VMVM_ID: l'ID istanza VMTAGVALUE_ID: l'ID permanente del valore del tag allegato, ad esempio:4567890123TAGVALUE_NAMESPACED_NAME: il nome dello spazio dei nomi del valore tag collegato e ha il formato:parentNamespace/tagKeyShortName/tagValueShortName
Aggiungi tag sicuri a un'istanza VM durante la creazione della VM
In alcuni scenari, potresti voler taggare le risorse durante la loro creazione, piuttosto che dopo.
Console
A seconda del tipo di risorsa, i passaggi esatti potrebbero variare. I passaggi riportati di seguito si riferiscono a una VM:
Nella console Google Cloud , vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Fai clic su Crea istanza. Viene visualizzata la pagina Crea un'istanza, che mostra il riquadro Configurazione macchina.
Nel menu di navigazione, fai clic su Avanzato. Nel riquadro Avanzate visualizzato, segui questi passaggi:
- Espandi la sezione Gestisci tag ed etichette.
- Fai clic su Aggiungi tag.
- Nel riquadro Tag che si apre, segui le istruzioni per aggiungere un tag all'istanza.
- Fai clic su Salva.
Specifica altre opzioni di configurazione per l'istanza. Per ulteriori informazioni, consulta Opzioni di configurazione durante la creazione dell'istanza.
Per creare e avviare la VM, fai clic su Crea.
gcloud
Per collegare un tag a una risorsa durante la creazione, aggiungi il
--resource-manager-tags flag con il rispettivo comando create. Ad esempio,
per collegare un tag a una VM, utilizza il seguente comando:
gcloud compute instances create INSTANCE_NAME \
--zone=ZONE \
--resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_IDSostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza VMZONE: la zona che contiene l'istanza VMTAGKEY_ID: l'ID numerico del numero della chiave del tagTAGVALUE_ID: l'ID numerico permanente del valore del tag allegato, ad esempio:4567890123
Specifica più tag separandoli con una virgola, ad esempio
TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.
REST
Invia una richiesta POST al seguente URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
Includi il seguente corpo JSON della richiesta:
{
"name": INSTANCE_NAME,
"params": {
"resourceManagerTags": {
"tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
},
}
// other fields omitted
}Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza VMTAGKEY_ID: l'ID numerico del numero della chiave del tagTAGVALUE_ID: l'ID numerico permanente del valore del tag allegato, ad esempio:4567890123
Utilizzare tag sicuri nelle reti in peering
Puoi utilizzare i tag sicuri nel peering di rete VPC. Supponi che le reti connesse
siano server e client. Per utilizzare i tag sicuri in due retiGoogle Cloud collegate, completa le seguenti attività nell'ordine specificato.
Assegna all'utente il ruolo Amministratore del tag (
roles/resourcemanager.tagAdmin). Un amministratore dell'organizzazione concede il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) agli utenti a livello di organizzazione, mentre un proprietario del progetto può concedere il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) a livello di progetto. Per maggiori informazioni, vedi Concedere autorizzazioni ai tag sicuri.Crea una chiave e un valore di tag sicuri nella rete
server. Per informazioni su come creare chiavi e valori tag sicuri, vedi Creare chiavi e valori tag sicuri.Crea una regola del criterio firewall nella rete
serverper consentire il traffico in entrata dal tag sicuro creato nel passaggio precedente. Per maggiori informazioni, vedi Creare una regola di policy firewall con tag sicuri.Concedi le autorizzazioni richieste all'utente
clientper proteggere i tag in entrambe le reti VPC. Per maggiori informazioni, vedi Concedere autorizzazioni ai tag sicuri.Nella rete
client, associa i tag sicuri a un'istanza VM. Per maggiori informazioni, vedi Associare tag sicuri. Ora la VMclientapre le connessioni alla VMserver.La regola dei criteri firewall del server consente il traffico perché proviene dai tag sicuri a cui è associato. La regola consente anche il pacchetto di risposta perché il traffico in uscita è consentito per impostazione predefinita.