Sichere Tags erstellen und verwalten

In diesem Dokument wird beschrieben, wie Sie sichere Tags für Firewallrichtlinien erstellen und verwalten. Bevor Sie sichere Tags in Firewallrichtlinien verwenden oder an Ressourcen binden, müssen Sie sie erstellen.

In diesem Dokument werden folgende Themen behandelt:

  • Geeignete Berechtigungen zum Verwalten und Verwenden von Tags erteilen
  • Tag-Schlüssel und -Werte erstellen
  • Firewallrichtlinien und ‑regeln mit sicheren Tags erstellen
  • Sichere Tags an VM-Instanzen binden
  • Sichere Tags in Peering-Netzwerken verwenden

Weitere Informationen zu sicheren Tags und ihrer Funktionsweise finden Sie unter Sichere Tags für Firewalls.

Berechtigungen für sichere Tags erteilen

Ein Organisationsadministrator kann Rollen auf Organisationsebene und ein Projektinhaber Rollen auf Projektebene zuweisen.

Rolle „Tag-Administrator“ gewähren

Mit der Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) können Sie sichere Tags erstellen, aktualisieren und löschen.

Console

So weisen Sie dem Nutzer die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie in der Liste der Projektauswahl die Organisation oder das Projekt aus, dem Sie die Rolle zuweisen möchten.

  3. Klicken Sie auf Zugriff gewähren.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein. Beispiel: my-user@example.com.

  5. Geben Sie in der Liste Rolle auswählen im Feld Filter Tag ein und wählen Sie dann Tag-Administrator aus.

  6. Klicken Sie auf Speichern.

gcloud

Um einem IAM-Hauptkonto in der IAM-Richtlinie einer Organisation die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) zuzuweisen, verwenden Sie den Befehl gcloud organizations add-iam-policy-binding:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die ID Ihrer Organisation
  • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers

Rolle „Tag-Nutzer“ zuweisen

Mit der Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) können Sie auf die Liste der sicheren Tags zugreifen und ihre Verknüpfungen mit den Ressourcen verwalten.

Console

So weisen Sie dem Nutzer die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie in der Liste der Projektauswahl die Organisation oder das Projekt aus, dem Sie die Rolle zuweisen möchten.

  3. Klicken Sie auf Zugriff gewähren.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein. Beispiel: my-user@example.com.

  5. Geben Sie in der Liste Rolle auswählen im Feld Filter den Wert Tag ein und wählen Sie dann Tag-Nutzer aus.

  6. Optional: Fügen Sie der Rolle eine Bedingung hinzu.

  7. Klicken Sie auf Speichern.

gcloud

  1. Mit dem Befehl gcloud resource-manager tags keys add-iam-policy-binding können Sie dem Nutzer die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) für ein bestimmtes Tag zuweisen:

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation
    • TAG_KEY: der sichere Tag-Schlüssel
    • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers

  2. Wenn Sie einem IAM-Hauptkonto die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zuweisen möchten, damit es alle Tag-Werte jedes Tag-Schlüssels in der Organisation verwenden kann, verwenden Sie den Befehl gcloud organizations add-iam-policy-binding:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die ID Ihrer Organisation
    • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers

  3. Um einem IAM-Hauptkonto die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zuzuweisen, damit es einen bestimmten Tag-Wert eines Tag-Schlüssels verwenden kann, dessen übergeordnete Ressource die Organisation ist, verwenden Sie den Befehl gcloud resource-manager tags values add-iam-policy-binding:

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: ID Ihrer Organisation
    • TAG_KEY: der sichere Tag-Schlüssel
    • TAG_VALUE: der sichere Tag-Wert
    • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers

  4. Wenn Sie einem IAM-Hauptkonto die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zuweisen möchten, damit es alle Tag-Werte jedes Tag-Schlüssels in einem Projekt verwenden kann, verwenden Sie den Befehl gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers

Benutzerdefinierte Rollen zum Verwalten sicherer Tags

Mit der Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) können Sie sichere Tags erstellen, aktualisieren und löschen. Wenn Sie einige dieser Funktionen benötigen, können Sie eine benutzerdefinierte IAM-Rolle (Identity and Access Management) mit den entsprechenden Berechtigungen erstellen und die neue Rolle dann dem Zielnutzer zuweisen. Eine Liste der relevanten Berechtigungen finden Sie unter IAM-Rollen.

In Firewallrichtlinien verwendete sichere Tags müssen mit dem Zweck GCE_FIREWALL angegeben werden. Der Zweck GCE_FIREWALL ist für die Verwendung des sicheren Tags in Netzwerkfunktionen erforderlich. Sie können das sichere Tag aber auch für andere Aktionen verwenden.

Sichere Tag-Schlüssel und -Werte erstellen

Bevor Sie sichere Tags mit Firewallrichtlinien verknüpfen, müssen Sie die sicheren Tag-Schlüssel und -Werte erstellen.

Nachdem der Tag-Schlüssel erstellt wurde, kann er nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen sicheren Tag-Schlüssel und sichere Werte:

  1. Rufen Sie in der Google Cloud Console die Seite Tags auf.

    Zu den Tags

  2. Wählen Sie in der Projektauswahlliste die Organisation oder das Projekt aus, unter dem Sie einen Tag-Schlüssel erstellen möchten.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie im Feld Tag-Schlüssel den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  5. Optional: Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung des Tag-Schlüssels ein.

  6. Wählen Sie als Tag-Zweck die Option Zur Verwendung mit Cloud NGFW aus.

  7. So erstellen Sie ein sicheres Tag:

    • Wenn in den Zweckdaten ein Netzwerk angegeben ist, wählen Sie Bereich auf ein einzelnes Netzwerk beschränken aus.

    • Wenn in den Zweckdaten eine Organisation angegeben ist, deaktivieren Sie Bereich auf ein einzelnes Netzwerk beschränken.

  8. Wählen Sie auf dem Tab Netzwerkauswahl die Organisation oder das Projekt aus, unter dem Sie einen sicheren Tag-Schlüssel erstellen möchten.

  9. Wählen Sie in der Liste Netzwerk das Netzwerk aus.

  10. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  11. Geben Sie im Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  12. Optional: Geben Sie im Feld Beschreibung des Tag-Werts eine Beschreibung des Tag-Werts ein.

  13. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

gcloud

  1. Nachdem Sie die erforderlichen Berechtigungen erhalten haben, erstellen Sie den sicheren Tag-Schlüssel auf Organisations- oder Projektebene.

    • Verwenden Sie den Befehl gcloud resource-manager tags keys create, um einen sicheren Tag-Schlüssel für eine Organisation zu erstellen:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      Ersetzen Sie Folgendes:

      • TAG_KEY: der sichere Tag-Schlüssel
      • ORGANIZATION_ID: ID Ihrer Organisation

    • Wenn Sie einen sicheren Tag-Schlüssel für ein übergeordnetes Projekt oder eine Organisation erstellen möchten, deren Zweckdaten ein einzelnes VPC-Netzwerk identifizieren, verwenden Sie den Befehl gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      Ersetzen Sie Folgendes:

      • TAG_KEY: der sichere Tag-Schlüssel
      • ORGANIZATION_ID: ID Ihrer Organisation
      • PROJECT_ID: die Projekt-ID
      • NETWORK: der Name Ihres Netzwerks

  2. Verwenden Sie den gcloud resource-manager tags values create-Befehl, um die relevanten sicheren Tag-Werte zu den sicheren Tag-Schlüsseln hinzuzufügen:

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    Ersetzen Sie Folgendes:

    • TAG_VALUE: der Wert, der dem sicheren Tag-Schlüssel zugewiesen werden soll
    • ORGANIZATION_ID: ID Ihrer Organisation
    • TAG_KEY: der sichere Tag-Schlüssel

    Führen Sie den Befehl mehrmals aus, um mehrere Werte hinzuzufügen. Achten Sie darauf, dass jeder dem sicheren Tag-Schlüssel hinzugefügte sichere Tag-Wert eindeutig ist.

Firewallrichtlinie erstellen

Nachdem Sie sichere Tag-Schlüssel erstellt haben, können Sie sie in Firewallrichtlinien verwenden. Sie können sichere Tag-Schlüssel, die auf Organisationsebene definiert sind, in hierarchischen Firewallrichtlinien oder Netzwerk-Firewallrichtlinien verwenden. Sie können nur sichere Tags verwenden, die auf Netzwerkebene in Netzwerk-Firewallrichtlinien definiert sind.

Hierarchische Firewallrichtlinie erstellen

Sie können eine Richtlinie für jede Ressource (Organisation oder Ordner) Ihrer Organisationshierarchie erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl Ihre Organisations-ID oder einen Ordner innerhalb Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Richtlinienname den Namen ein.

  5. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter > Firewallregel erstellen.

    Weitere Informationen finden Sie unter Regel für hierarchische Firewallrichtlinie mit sicheren Tags erstellen.

  6. Wenn Sie die Richtlinie mit einer Ressource verknüpfen möchten, klicken Sie auf Weiter > Hinzufügen.

    Weitere Informationen finden Sie unter Richtlinie mit der Organisation oder dem Ordner verknüpfen.

  7. Klicken Sie auf Weiter > Erstellen.

gcloud

Verwenden Sie zum Erstellen einer hierarchischen Firewallrichtlinie den gcloud compute firewall-policies create-Befehl:

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: ID Ihrer Organisation

    Geben Sie diese ID an, wenn Sie die Richtlinie auf Organisationsebene erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist, die Richtlinie wird dadurch aber nicht automatisch mit der Organisationsressource verknüpft.

  • FOLDER_ID: die ID eines Ordners

    Geben Sie diese ID an, wenn Sie die Richtlinie in einem bestimmten Ordner erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist; die Richtlinie wird dadurch aber nicht automatisch mit diesem Ordner verknüpft.

  • SHORT_NAME: ein Name für die Richtlinie.

    Eine Richtlinie, die mithilfe der Google Cloud CLI erstellt wird, hat zwei Namen: einen vom System generierten Namen und einen Kurznamen, den Sie selbst festlegen. Wenn Sie eine vorhandene Richtlinie über die Google Cloud-CLI aktualisieren, können Sie entweder den vom System generierten Namen oder den Kurznamen und die Organisations-ID angeben. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie den vom System generierten Namen angeben.

Globale Netzwerk-Firewallrichtlinie erstellen

Nachdem Sie ein sicheres Tag erstellt haben, können Sie es in Regeln einer globalen Netzwerk-Firewallrichtlinie verwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Richtlinienname den Namen ein.

  5. Wählen Sie unter Bereitstellungsbereich die Option Global aus.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter > Firewallregel erstellen.

    Weitere Informationen finden Sie unter Netzwerk-Firewallrichtlinienregel mit sicheren Tags erstellen.

  7. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter > Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.

  8. Klicken Sie auf Weiter > Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Netzwerk-Firewallrichtlinie den gcloud compute network-firewall-policies create-Befehl:

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

Ersetzen Sie Folgendes:

  • NETWORK_FIREWALL_POLICY_NAME: ein Name für die Richtlinie.
  • DESCRIPTION: eine Beschreibung der Richtlinie

Firewallrichtlinienregel mit sicheren Tags erstellen

Nachdem Sie ein sicheres Tag und eine Firewallrichtlinie erstellt haben, können Sie eine Firewallrichtlinienregel mit den spezifischen Quell-Tag-Werten und Ziel-Tag-Werten erstellen, um den gewünschten Traffic zwischen den VMs mit den Quell- und Ziel-Tags zuzulassen.

Regel für hierarchische Firewallrichtlinie mit sicheren Tags erstellen

Sie können eine hierarchische Firewallrichtlinienregel mit den spezifischen Quell- und Zielschlüsseln und -werten nur erstellen, wenn Sie eine hierarchische Firewallrichtlinie erstellt haben. Weitere Informationen finden Sie unter Hierarchische Firewallrichtlinie erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie und dann auf Firewallregel erstellen.

  4. Geben Sie die Priorität der Regel ein.

  5. Geben Sie die Fahrtrichtung an.

  6. Wählen Sie eine Einstellung für Aktion bei Übereinstimmung aus.

  7. Wählen Sie für Logs die Option Ein oder Aus aus.

  8. Wählen Sie unter Ziel die Option Sichere Tags aus und klicken Sie dann auf Bereich für Tags auswählen.

  9. Wählen Sie auf der Seite Ressource auswählen die Organisation oder das Projekt aus, in dem Sie sichere Tags erstellen möchten.

  10. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll.

  11. Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf Tag hinzufügen.

  12. Klicken Sie im Abschnitt Quelle für Tags auf Bereich für Tags auswählen.

  13. Wählen Sie auf der Seite Ressource auswählen die Organisation oder den Ordner aus, die bzw. der die sicheren Tag-Schlüssel enthält.

  14. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud compute firewall-policies rules create-Befehl, um eine Regel für eine hierarchische Firewallrichtlinie zu erstellen:

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY_NAME: der Name der hierarchischen Firewallrichtlinie
  • ORGANIZATION_ID: ID Ihrer Organisation
  • TAG_KEY: der sichere Tag-Schlüssel
  • TAG_VALUE: der Wert, der dem sicheren Tag-Schlüssel zugewiesen werden soll
  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist
  • ACTION: eine der folgenden Aktionen:
    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
  • PORT: die Portnummer für den Zugriff auf die Ressource

Regel für die Netzwerk-Firewallrichtlinie mit sicheren Tags erstellen

Sie können eine Firewallregel für ein Netzwerk mit den spezifischen Quell-Tag-Werten und Ziel-Tag-Werten erstellen, um den gewünschten Traffic zwischen den VMs mit den Quell- und Ziel-Tags zuzulassen. Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie und dann auf Firewallregel erstellen.

  4. Geben Sie die Priorität der Regel ein.

  5. Geben Sie die Fahrtrichtung an.

  6. Wählen Sie eine Einstellung für Aktion bei Übereinstimmung aus.

  7. Wählen Sie für Logs die Option Ein oder Aus aus.

  8. Wählen Sie unter Ziel die Option Sichere Tags aus und klicken Sie dann auf Bereich für Tags auswählen.

  9. Wählen Sie auf der Seite Ressource auswählen die Organisation oder das Projekt aus, in dem Sie sichere Tags erstellen möchten.

  10. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll.

  11. Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf Tag hinzufügen.

  12. Klicken Sie im Abschnitt Quelle für Tags auf Bereich für Tags auswählen.

  13. Wählen Sie auf der Seite Ressource auswählen die Organisation oder den Ordner aus, die bzw. der die sicheren Tag-Schlüssel enthält.

  14. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Netzwerk-Firewallrichtlinienregel den gcloud compute network-firewall-policies rules create-Befehl:

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY_NAME: Name der neuen Richtlinie für Netzwerkfirewalls für globale Netzwerke
  • ORGANIZATION_ID: die ID Ihrer Organisation
  • TAG_KEY: der Tag-Schlüssel
  • TAG_VALUE: den Wert, der dem Tag-Schlüssel zugewiesen werden soll
  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist.
  • ACTION: eine der folgenden Aktionen:
    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
  • PORT: die Portnummer für den Zugriff auf die Ressource

Sichere Tags verknüpfen

Informationen zur Funktionsweise der Bindung sicherer Tags für Netzwerk-Firewallrichtlinien und hierarchische Firewallrichtlinien finden Sie unter Sichere Tags binden.

Hinweise

  • Sie müssen die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) haben. Als Tag-Administrator können Sie die sicheren Tags an einzelne VM-Instanzen binden.

  • Wenn Sie die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) nicht haben, können Sie den Organisationsadministrator bitten, Ihnen die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zuzuweisen. Weitere Informationen finden Sie unter Berechtigungen für sichere Tags erteilen.

  • Sie benötigen die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) für die Ressourcen, an die die Tags gebunden sind. Weitere Informationen zum Zuweisen der Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) für die Ressourcen, an die die Tags gebunden werden sollen, finden Sie unter Berechtigungen für sichere Tags gewähren.

  • Achten Sie darauf, dass Sie die sicheren Tag-Schlüssel und -Werte und die Firewallrichtlinienregel mit sicheren Tags erstellt haben.

  • Vergewissern Sie sich, dass Sie eine VM-Instanz erstellt haben. Weitere Informationen finden Sie unter Compute Engine-Instanz erstellen und starten.

Sichere Tags an VM-Instanzen binden

Sie können bestimmten Ressourcen vorhandene Tags zuweisen. Nachdem die Ressource erstellt wurde, hängen Sie mithilfe der folgenden Anleitung Tags an diese Ressource an.

Console

So binden Sie die sicheren Tags an VM-Instanzen:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu Seite „VM-Instanzen“

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.

  3. Klicken Sie in der Spalte Name auf den Namen der VM, für die Sie Tags hinzufügen möchten.

  4. Führen Sie auf der Seite VM-Instanzdetails folgende Schritte aus:

    1. Klicken Sie auf Bearbeiten.
    2. Klicken Sie im Bereich Allgemeine Informationen auf Tags verwalten und fügen Sie die für die Instanz gewünschten Tags hinzu.
    3. Klicken Sie auf Speichern.

gcloud

Informationen zur Verwendung dieser Flags finden Sie in der Resource Manager-Dokumentation unter Tags an Ressourcen anhängen.

Mit folgendem Befehl wird beispielsweise ein Tag an eine VM angehängt:

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Ersetzen Sie Folgendes:

  • LOCATION_NAME: die Region, die die Zielressource enthält; in diesem Beispiel die Region der VM-Instanz
  • TAGVALUE_ID: die numerische ID des Tag-Werts
  • PROJECT_NUMBER: die numerische ID des Projekts, das die Zielressource enthält
  • ZONE: die Zone, die die Zielressource enthält, in diesem Beispiel die Zone der VM-Instanz
  • VM_ID: die VM-Instanz-ID

REST

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanente ID oder den Namespace-Namen des Tag-Werts und die permanente ID der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der Referenz zu tagBindings.

Wenn Sie das Tag an eine zonale Ressource (Z. B. eine VM-Instanz) anhängen möchten, verwenden Sie die tagBindings.create-Methode mit dem regionalen Endpunkt am Standpunkt Ihrer Ressource befindet. Beispiel:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

Der Anfragetext kann eine der folgenden beiden Optionen sein:

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Ersetzen Sie Folgendes:

  • LOCATION_NAME: die Region, die die Zielressource enthält, in diesem Beispiel die Region der VM-Instanz
  • PROJECT_NUMBER: die numerische ID des Projekts, das die Zielressource enthält
  • ZONE: die Zone, die die Zielressource enthält. In diesem Beispiel die Zone der VM-Instanz.
  • VM_ID: die VM-Instanz-ID
  • TAGVALUE_ID: die permanente ID des angehängten Tag-Werts, z. B. 4567890123
  • TAGVALUE_NAMESPACED_NAME: Der Namespace-Name des angehängten Tag-Werts im parentNamespace/tagKeyShortName/tagValueShortName-Format.

Sichere Tags einer VM-Instanz bei der VM-Erstellung hinzufügen

In bestimmten Szenarien möchten Sie möglicherweise Ressourcen während der Ressourcenerstellung statt nach der Erstellung der Ressource taggen.

Console

Die genauen Schritte können je nach Ressourcentyp variieren. Die folgenden Schritte gelten für eine VM:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.

  3. Klicken Sie auf Instanz erstellen. Die Seite Instanz erstellen wird angezeigt und enthält den Bereich Maschinenkonfiguration.

  4. Klicken Sie im Navigationsmenü auf Erweitert. Führen Sie im angezeigten Bereich Erweitert die folgenden Schritte aus:

    1. Maximieren Sie den Bereich Tags und Labels verwalten.
    2. Klicken Sie auf Tags hinzufügen.
    3. Folgen Sie im Bereich Tags der Anleitung, um der Instanz ein Tag hinzuzufügen.
    4. Klicken Sie auf Speichern.

  5. Geben Sie weitere Konfigurationsoptionen für Ihre Instanz an. Weitere Informationen finden Sie unter Konfigurationsoptionen beim Erstellen von Instanzen.

  6. Klicken Sie zum Erstellen und Starten der VM auf Erstellen.

gcloud

Um während der Ressourcenerstellung ein Tag an eine Ressource anzuhängen, fügen Sie das --resource-manager-tags-Flag mit dem entsprechenden create-Befehl hinzu. Verwenden Sie beispielsweise folgenden Befehl, um ein Tag an eine VM anzuhängen:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Ersetzen Sie Folgendes:

  • INSTANCE_NAME ist der Name Ihrer VM-Instanz.
  • ZONE: die Zone mit der VM-Instanz
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels
  • TAGVALUE_ID: die permanente numerische ID des angehängten Tag-Werts, z. B. 4567890123

Um mehrere Tags anzugeben, trennen Sie die Tags durch ein Komma, z. B. TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Stellen Sie eine POST-Anfrage an die folgende URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Fügen Sie folgenden JSON-Anfragetext ein:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Ersetzen Sie Folgendes:

  • INSTANCE_NAME ist der Name Ihrer VM-Instanz.
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels
  • TAGVALUE_ID: die permanente numerische ID des angehängten Tag-Werts, z. B. 4567890123

Sichere Tags in Peering-Netzwerken verwenden

Sie können sichere Tags im VPC-Netzwerk-Peering verwenden. Angenommen, die verbundenen Netzwerke sind server und client. Wenn Sie sichere Tags in zwei verbundenenGoogle Cloud -Netzwerken verwenden möchten, führen Sie die folgenden Aufgaben in der angegebenen Reihenfolge aus.

  1. Weisen Sie dem Nutzer die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) zu. Ein Organisationsadministrator weist Nutzern auf Organisationsebene die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) zu und ein Projektinhaber kann sie auf Projektebene zuweisen.roles/resourcemanager.tagAdmin Weitere Informationen finden Sie unter Berechtigungen für sichere Tags erteilen.

  2. Erstellen Sie einen sicheren Tag-Schlüssel und -Wert im Netzwerk server. Informationen zum Erstellen sicherer Tag-Schlüssel und -Werte finden Sie unter Sichere Tag-Schlüssel und -Werte erstellen.

  3. Erstellen Sie eine Firewallrichtlinien-Regel im Netzwerk server, um eingehenden Traffic vom im vorherigen Schritt erstellten sicheren Tag zuzulassen. Weitere Informationen finden Sie unter Firewallrichtlinien-Regel mit sicheren Tags erstellen.

  4. Gewähren Sie dem Nutzer client die erforderlichen Berechtigungen, um Tags in beiden VPC-Netzwerken zu sichern. Weitere Informationen finden Sie unter Berechtigungen für sichere Tags erteilen.

  5. Binden Sie im client-Netzwerk die sicheren Tags an eine VM-Instanz. Weitere Informationen finden Sie unter Sichere Tags binden. Die client-VM öffnet jetzt Verbindungen zur server-VM.

  6. Die Firewallrichtlinienregel des Servers lässt den Traffic zu, da er von den sicheren Tags stammt, an die er gebunden ist. Die Regel lässt auch das Antwortpaket zu, da ausgehender Traffic standardmäßig zulässig ist.

Nächste Schritte