יצירה וניהול של תגים

אפשר לצרף תגים למשאבי Cloud Armor הבאים:

  • שירות אבטחה של Network Edge
  • מדיניות אבטחה גלובלית
  • מדיניות אבטחה אזורית

מידע על התגים

תג הוא צמד מפתח/ערך שאפשר לצרף למשאב ב-Google Cloud. אפשר להשתמש בתגים כדי להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. לדוגמה, אתם יכולים להתנות את מתן התפקידים ב-Identity and Access Management (IAM) בהתאם לתגים. לסקירה כללית על התגים

כדי לצרף תגים למשאבים, יוצרים משאב של קישור בין תגים שמקשר את הערך ל Google Cloud משאב.

ההרשאות הנדרשות

כדי לקבל את ההרשאות שדרושות לניהול תגים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

  • Tag Viewer (roles/resourcemanager.tagViewer) במשאבים שהתגים מצורפים אליהם
  • כדי להציג ולנהל תגים ברמת הארגון: צפייה בארגון (roles/resourcemanager.organizationViewer) on the organization
  • יצירה, עדכון ומחיקה של הגדרות תגים: אדמין לניהול תגים (roles/resourcemanager.tagAdmin) on the resource you're creating, updating, or deleting tags for
  • צירוף והסרה של תגים ממשאבים: Tag User (roles/resourcemanager.tagUser) על ערך התג והמשאבים שאתם מצרפים או מסירים מהם את ערך התג

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

כדי לצרף תגים למשאבי Cloud Armor, צריך את התפקיד אדמין של Compute (roles/compute.admin).

יצירת מפתחות וערכים של תגים

כדי לצרף תג, צריך ליצור תג ולהגדיר את הערך שלו. במאמרים יצירת תג והוספת ערך תג מוסבר איך יוצרים מפתחות תגים וערכי תגים.

הוספת תגים למשאבים קיימים

כדי להוסיף תג למשאבי Cloud Armor קיימים, פועלים לפי השלבים הבאים:

gcloud

כדי לצרף תג למשאב Cloud Armor, צריך ליצור משאב של קישור בין תגים באמצעות הפקודה gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה, tagValues/567890123456.
  • RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.

    לדוגמה:

    • מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-projects/7890123456, הוא כדלקמן: //compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id}
    • מזהה המשאב של משאב אזורי, כמו Network Edge Security Service באזור projects/7890123456, הוא: //compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
  • LOCATION: המיקום של המשאב. אם מצרפים תג למשאב גלובלי, כמו תיקייה או פרויקט, לא מציינים את הדגל הזה. אם מצמידים תג למשאב אזורי או למשאב של תחום מוגדר, צריך לציין את המיקום – לדוגמה, us-central1 (אזור) או us-central1-a (תחום מוגדר).

הצגת רשימת תגים שמצורפים למשאבים

אפשר לראות רשימה של קישורי תגים שמצורפים ישירות למשאב Cloud Armor או עוברים אליו בירושה.

gcloud

כדי לקבל רשימה של קישורי תגים שצורפו למשאב, משתמשים בפקודה gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.

    לדוגמה:

    • מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-projects/7890123456, הוא כדלקמן: //compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id}
    • מזהה המשאב של משאב אזורי, כמו Network Edge Security Service באזור projects/7890123456, הוא: //compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
  • LOCATION: המיקום של המשאב. אם אתם צופים בתג שמצורף למשאב גלובלי, כמו תיקייה או פרויקט, אל תכללו את הדגל הזה. אם צופים בתג שמצורף למשאב אזורי או למשאב של תחום (zone), צריך לציין את המיקום – לדוגמה, us-central1 (אזור) או us-central1-a (תחום).

אמורה להתקבל תגובה שדומה לזו:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: 
//compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}

ניתוק תגים ממשאבים

אפשר לנתק תגים שצורפו ישירות למשאב Cloud Armor. אפשר לבטל את התגים שעברו בירושה על ידי צירוף תג עם אותו מפתח וערך שונה, אבל אי אפשר לנתק אותם.

gcloud

כדי למחוק את הקישור של התג, משתמשים בפקודה gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה, tagValues/567890123456.
  • RESOURCE_ID: המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//compute.googleapis.com/). צריך להשתמש במזהים המספריים של המשאבים, ולא בשמות שלהם.

    לדוגמה:

    • מזהה המשאב של משאב גלובלי, כמו מדיניות אבטחה ב-projects/7890123456, הוא כדלקמן: //compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id}
    • מזהה המשאב של משאב אזורי, כמו Network Edge Security Service באזור projects/7890123456, הוא: //compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
  • LOCATION: המיקום של המשאב. אם מצרפים תג למשאב גלובלי, כמו תיקייה או פרויקט, לא מציינים את הדגל הזה. אם מצמידים תג למשאב אזורי או למשאב של תחום מוגדר, צריך לציין את המיקום – לדוגמה, us-central1 (אזור) או us-central1-a (תחום מוגדר).

מחיקה של מפתחות וערכים של תגים

כשמסירים הגדרה של מפתח או ערך של תג, צריך לוודא שהתג מנותק ממשאב Cloud Armor. לפני שמוחקים את הגדרת התג עצמה, צריך למחוק את הקבצים הקיימים של התגים, שנקראים tag bindings. כדי למחוק מפתחות תגים וערכי תגים, אפשר לעיין במאמר בנושא מחיקת תגים.

תנאים ותגים בניהול הזהויות והרשאות הגישה (IAM)

אתם יכולים להשתמש בתגים ובתנאים של IAM כדי להעניק למשתמשים בהיררכיה שלכם קישורי תפקידים מותנים. שינוי או מחיקה של התג שמצורף למשאב יכולים להסיר את הגישה של המשתמש למשאב הזה אם הוחלה מדיניות IAM עם קישורי תפקידים מותנים. למידע נוסף, קראו את המאמר תנאים ותגים של ניהול זהויות והרשאות גישה.

המאמרים הבאים