אפשר לצרף תגים למשאבי Cloud Armor הבאים:
- שירות אבטחה של Network Edge
- מדיניות אבטחה גלובלית
- מדיניות אבטחה אזורית
מידע על התגים
תג הוא צמד מפתח/ערך שאפשר לצרף למשאב ב-Google Cloud. אתם יכולים להשתמש בתגים כדי להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. לדוגמה, אתם יכולים להתנות את מתן התפקידים ב-IAM בהתאם לתגים. לסקירה כללית על התגים
כדי לצרף תגים למשאבים, יוצרים משאב של קישור בין תגים שמקשר את הערך ל Google Cloud משאב.
ההרשאות הנדרשות
כדי לקבל את ההרשאות שדרושות לניהול תגים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:
- Tag Viewer (
roles/resourcemanager.tagViewer) במשאבים שהתגים מצורפים אליהם -
כדי להציג ולנהל תגים ברמת הארגון:
צפייה בארגון (
roles/resourcemanager.organizationViewer) באופן כללי בארגון -
יצירה, עדכון ומחיקה של הגדרות תגים:
Tag Administrator (
roles/resourcemanager.tagAdmin) on the resource you're creating, updating, or deleting tags for -
צירוף והסרה של תגים ממשאבים:
Tag User (
roles/resourcemanager.tagUser) על ערך התג ועל המשאבים שאתם מצרפים או מסירים מהם את ערך התג
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
כדי לצרף תגים למשאבי Cloud Armor, צריך את התפקיד אדמין של Compute (roles/compute.admin).
יצירת מפתחות וערכים של תגים
כדי לצרף תג, צריך ליצור תג ולהגדיר את הערך שלו. במאמרים יצירת תג והוספת ערך תג מוסבר איך יוצרים מפתחות תגים וערכי תגים.
הוספת תגים למשאבים קיימים
כדי להוסיף תג למשאבי Cloud Armor קיימים:
gcloud
כדי לצרף תג למשאב Cloud Armor, צריך ליצור משאב של קישור בין תגים באמצעות הפקודה gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
מחליפים את מה שכתוב בשדות הבאים:
-
TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה,tagValues/567890123456. -
RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.לדוגמה:
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
projects/7890123456, הוא כדלקמן://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - מזהה המשאב של משאב אזורי, כמו Network Edge Security Service ב-
projects/7890123456, הוא://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
-
LOCATION: המיקום של המשאב. אם מצרפים תג למשאב גלובלי, כמו תיקייה או פרויקט, לא צריך להשתמש בדגל הזה. אם מצרפים תג למשאב אזורי או למשאב של תחום מוגדר, צריך לציין את המיקום – לדוגמה,us-central1(אזור) אוus-central1-a(תחום).
הצגת רשימת תגים שמצורפים למשאבים
אפשר לראות רשימה של קישורי תגים שמצורפים ישירות למשאב Cloud Armor או עוברים אליו בירושה.
gcloud
כדי לקבל רשימה של התאמות תגים שצורפו למשאב, משתמשים בפקודה gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
מחליפים את מה שכתוב בשדות הבאים:
-
RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.לדוגמה:
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
projects/7890123456, הוא כדלקמן://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - מזהה המשאב של משאב אזורי, כמו Network Edge Security Service ב-
projects/7890123456, הוא://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
-
LOCATION: המיקום של המשאב. אם אתם צופים בתג שמצורף למשאב גלובלי, כמו תיקייה או פרויקט, אל תכללו את הדגל הזה. אם צופים בתג שמצורף למשאב אזורי או למשאב של תחום (zone), צריך לציין את המיקום – לדוגמה,us-central1(אזור) אוus-central1-a(תחום).
אמורה להתקבל תגובה שדומה לזו:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource:
//compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
ניתוק תגים ממשאבים
אפשר לנתק תגים שצורפו ישירות למשאב של Cloud Armor. אפשר להחליף תגים שעברו בירושה על ידי צירוף תג עם אותו מפתח וערך שונה, אבל אי אפשר לנתק אותם.
gcloud
כדי למחוק קישור תג, משתמשים בפקודה gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
מחליפים את מה שכתוב בשדות הבאים:
-
TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה,tagValues/567890123456. -
RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.לדוגמה:
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
projects/7890123456, הוא כדלקמן://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - מזהה המשאב של משאב אזורי, כמו Network Edge Security Service ב-
projects/7890123456, הוא://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-
-
LOCATION: המיקום של המשאב. אם מצרפים תג למשאב גלובלי, כמו תיקייה או פרויקט, לא צריך להשתמש בדגל הזה. אם מצרפים תג למשאב אזורי או למשאב של תחום מוגדר, צריך לציין את המיקום – לדוגמה,us-central1(אזור) אוus-central1-a(תחום).
מחיקת מפתחות וערכים של תגים
כשמסירים הגדרה של מפתח או ערך של תג, צריך לוודא שהתג מנותק ממשאב Cloud Armor. לפני שמוחקים את הגדרת התג עצמה, צריך למחוק את הקבצים הקיימים של התגים, שנקראים tag bindings. כדי למחוק מפתחות תגים וערכי תגים, אפשר לעיין במאמר בנושא מחיקת תגים.
תנאים ותגים בניהול הזהויות והרשאות הגישה (IAM)
אתם יכולים להשתמש בתגים ובתנאים של IAM כדי להתנות את מתן קישורי התפקידים למשתמשים בהיררכיה. שינוי או מחיקה של התג שמצורף למשאב יכולים להסיר את גישת המשתמש למשאב הזה אם הוחלה מדיניות IAM עם קישורי תפקידים מותנים. למידע נוסף, אפשר לעיין במאמר בנושא תנאים ותגים של ניהול זהויות וגישה.
המאמרים הבאים
- כאן מפורטים שירותים אחרים שתומכים בתגים.
- במאמר תגים ובקרת גישה מוסבר איך להשתמש בתגים עם IAM.