Crea y administra etiquetas seguras

En este documento, se explica cómo crear y administrar etiquetas seguras para las políticas de firewall. Antes de usar etiquetas seguras en las políticas de firewall o vincularlas a recursos, debes crearlas.

En este documento, se incluyen los siguientes temas:

  • Otorga los permisos adecuados para administrar y usar etiquetas
  • Crea claves y valores de etiquetas
  • Crea políticas y reglas de firewall que usen etiquetas seguras
  • Cómo vincular etiquetas seguras a instancias de máquina virtual (VM)
  • Usa etiquetas seguras en redes con intercambio de tráfico

Para obtener más información sobre las etiquetas seguras y cómo funcionan, consulta Etiquetas seguras para firewalls.

Otorga permisos a las etiquetas seguras

Un administrador de la organización puede otorgar roles a nivel de la organización, y un propietario del proyecto puede otorgar roles a nivel del proyecto.

Otorga el rol de administrador de etiquetas

El rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) te permite crear, actualizar y borrar etiquetas seguras.

Console

Para otorgarle al usuario el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin), haz lo siguiente:

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. En la lista del selector de proyectos, selecciona la organización o el proyecto al que deseas otorgar el rol.

  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico del usuario. Por ejemplo, my-user@example.com

  5. En la lista Selecciona un rol, ingresa Tag en el campo Filtro y, luego, selecciona Administrador de etiquetas.

  6. Haz clic en Guardar.

gcloud

Para otorgar el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) a una principal de IAM en la política de IAM de una organización, usa el comando gcloud organizations add-iam-policy-binding:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización
  • EMAIL_ADDRESS: La dirección de correo electrónico del usuario

Otorga el rol de Usuario de etiquetas

El rol de usuario de etiquetas (roles/resourcemanager.tagUser) te permite acceder a la lista de etiquetas seguras y administrar sus asociaciones con los recursos.

Console

Para otorgar el rol de Usuario de etiquetas (roles/resourcemanager.tagUser) al usuario, haz lo siguiente:

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. En la lista del selector de proyectos, selecciona la organización o el proyecto al que deseas otorgar el rol.

  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico del usuario. Por ejemplo, my-user@example.com

  5. En la lista Seleccionar un rol, ingresa Tag en el campo Filtro y, luego, selecciona Usuario de etiquetas.

  6. Opcional: Agrega una condición a la función.

  7. Haz clic en Guardar.

gcloud

  1. Para otorgar el rol de usuario de etiquetas (roles/resourcemanager.tagUser) al usuario para una etiqueta específica, usa el comando gcloud resource-manager tags keys add-iam-policy-binding:

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID de la organización
    • TAG_KEY: La clave de etiqueta segura
    • EMAIL_ADDRESS: La dirección de correo electrónico del usuario

  2. Para otorgar el rol de usuario de etiquetas (roles/resourcemanager.tagUser) a una entidad de IAM para que pueda usar todos los valores de etiquetas de cada clave de etiqueta en la organización, usa el comando gcloud organizations add-iam-policy-binding:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID de la organización
    • EMAIL_ADDRESS: La dirección de correo electrónico del usuario

  3. Para otorgar el rol de usuario de etiquetas (roles/resourcemanager.tagUser) a un principal de IAM para que pueda usar un valor de etiqueta específico de una clave de etiqueta cuyo elemento superior sea la organización, usa el comando gcloud resource-manager tags values add-iam-policy-binding:

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID de la organización
    • TAG_KEY: La clave de etiqueta segura
    • TAG_VALUE: El valor de la etiqueta segura
    • EMAIL_ADDRESS: La dirección de correo electrónico del usuario

  4. Para otorgar el rol de usuario de etiquetas (roles/resourcemanager.tagUser) a un principal de IAM para que pueda usar todos los valores de etiquetas de cada clave de etiqueta en un proyecto, usa el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Reemplaza lo siguiente:

    • PROJECT_NAME: Nombre de tu proyecto
    • EMAIL_ADDRESS: La dirección de correo electrónico del usuario

Roles personalizados para administrar etiquetas seguras

El rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) te permite crear, actualizar y borrar etiquetas seguras. Si necesitas algunas de estas capacidades, puedes crear un rol personalizado de Identity and Access Management (IAM) con los permisos pertinentes y, luego, otorgar el rol nuevo al usuario objetivo. Para ver la lista de permisos relevantes, consulta Roles de IAM.

Las etiquetas seguras que se usan en las políticas de firewall deben designarse con un propósito de GCE_FIREWALL. Si bien el propósito de GCE_FIREWALL es obligatorio para que la etiqueta segura se use en las funciones de herramientas de redes, puedes usar la etiqueta segura para otras acciones.

Crea las claves y los valores de etiqueta segura

Antes de asociar etiquetas seguras a las políticas de firewall, debes crear las claves y los valores de las etiquetas seguras.

Una vez que se crea la clave de la etiqueta, no se puede cambiar y debe ser única dentro del mismo espacio de nombres.

Console

Para crear una clave y valores de etiqueta seguros, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Etiquetas.

    Ir a Etiquetas

  2. En la lista de selección de proyectos, selecciona la organización o el proyecto en el que deseas crear una clave de etiqueta.

  3. Haga clic en Crear.

  4. En el campo Clave de etiqueta, ingresa el nombre visible de tu clave de etiqueta. Esto se convierte en parte del nombre del espacio de nombres de tu etiqueta.

  5. Opcional: En el campo Descripción de la clave de la etiqueta, ingresa una descripción de la clave de la etiqueta.

  6. En Propósito de la etiqueta, selecciona Para usar con Cloud NGFW.

  7. Para crear una etiqueta segura, haz una de las siguientes acciones:

    • Si los datos de propósito especifican una red, selecciona Restringir el permiso a una sola red.

    • Si los datos de propósito especifican una organización, borra Restringir el permiso a una sola red.

  8. En la pestaña Selección de red, selecciona la organización o el proyecto en el que deseas crear una clave de etiqueta segura.

  9. En la lista Red, selecciona la red.

  10. Si deseas agregar valores de etiqueta a esta clave, haz clic en Agregar valor para cada valor de etiqueta que quieras crear.

  11. En el campo Valor de la etiqueta, ingresa el nombre visible del valor de la etiqueta. Esto se convierte en parte del nombre del espacio de nombres de tu etiqueta.

  12. Opcional: En el campo Descripción del valor de la etiqueta, ingresa una descripción del valor de la etiqueta.

  13. Cuando termines de agregar valores de etiqueta, haz clic en Crear clave de etiqueta.

gcloud

  1. Después de obtener los permisos necesarios, crea la clave de etiqueta segura a nivel de la organización o del proyecto.

    • Para crear una clave de etiqueta segura para una organización, usa el comando gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      Reemplaza lo siguiente:

      • TAG_KEY: La clave de etiqueta segura
      • ORGANIZATION_ID: El ID de la organización

    • Para crear una clave de etiqueta segura para un proyecto principal o una organización cuyos datos de propósito identifican una sola red de VPC, usa el comando gcloud resource-manager tags keys create:

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      Reemplaza lo siguiente:

      • TAG_KEY: La clave de etiqueta segura
      • ORGANIZATION_ID: El ID de la organización
      • PROJECT_ID: El ID de tu proyecto
      • NETWORK: el nombre de tu red

  2. Para agregar los valores de etiquetas seguras pertinentes a las claves de etiquetas seguras, usa el comando gcloud resource-manager tags values create:

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    Reemplaza lo siguiente:

    • TAG_VALUE: El valor que se asignará a la clave de etiqueta segura
    • ORGANIZATION_ID: El ID de la organización
    • TAG_KEY: La clave de etiqueta segura

    Ejecuta el comando varias veces para agregar varios valores. Asegúrate de que cada valor de etiqueta segura agregado a la clave de etiqueta segura sea único.

Crea una política de firewall

Puedes usar claves de etiquetas seguras en las políticas de firewall después de crearlas. Puedes usar claves de etiquetas seguras definidas a nivel de la organización en políticas de firewall jerárquicas o políticas de firewall de red. Solo puedes usar etiquetas seguras definidas a nivel de la red en las políticas de firewall de red.

Crea una política jerárquica de firewall

Puedes crear una política en cualquier recurso (organización o carpeta) de la jerarquía de tu organización.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de selección de proyectos, elige el ID de tu organización o una carpeta dentro de ella.

  3. Haz clic en Crear política de firewall.

  4. En el campo Nombre de la política, ingresa el nombre.

  5. Si deseas crear reglas para tu política, haz clic en Continuar > Crear regla de firewall.

    Para obtener más información, consulta Crea una regla de política de firewall jerárquica con etiquetas seguras.

  6. Si deseas asociar la política a un recurso, haz clic en Continuar > Agregar.

    Para obtener más información, consulta Asocia una política con la organización o la carpeta.

  7. Haz clic en Continuar > Crear.

gcloud

Para crear una política de firewall jerárquica, usa el comando gcloud compute firewall-policies create:

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización

    Especifica este ID si creas la política a nivel de la organización. Este ID solo indica dónde reside la política; no asocia automáticamente la política con el recurso de la organización.

  • FOLDER_ID: ID de una carpeta

    Especifica este ID si creas la política en una carpeta determinada. Este ID solo indica dónde reside la política; no asocia de forma automática la política con esa carpeta.

  • SHORT_NAME: un nombre para la política

    Una política creada con Google Cloud CLI tiene dos nombres: uno generado por el sistema y un nombre corto proporcionado por ti. Cuando usas la CLI de Google Cloud para actualizar una política existente, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el nombre generado por el sistema.

Crea una política de firewall de red global

Después de crear una etiqueta segura, puedes usarla en las reglas de una política de firewall de red global.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de selección de proyectos, selecciona tu proyecto dentro de tu organización.

  3. Haz clic en Crear política de firewall.

  4. En el campo Nombre de la política, ingresa el nombre.

  5. En Permiso de la implementación, elige Global.

  6. Si deseas crear reglas para tu política, haz clic en Continuar > Crear regla de firewall.

    Para obtener más información, consulta Crea una regla de política de firewall de red con etiquetas seguras.

  7. Si deseas asociar la política a una red, haz clic en Continuar > Asociar.

    Para obtener más información, consulta Asocia una política con la red.

  8. Haz clic en Continuar > Crear.

gcloud

Para crear una política de firewall de red, usa el comando gcloud compute network-firewall-policies create:

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

Reemplaza lo siguiente:

  • NETWORK_FIREWALL_POLICY_NAME: un nombre para la política
  • DESCRIPTION: una descripción de la política

Crea una regla de política de firewall con etiquetas seguras

Después de crear una etiqueta segura y una política de firewall, puedes crear una regla de política de firewall con los valores de etiqueta de origen y los valores de etiqueta de destino específicos para permitir el tráfico elegido entre las VMs con las etiquetas de origen y las etiquetas de destino.

Crea una regla de política de firewall jerárquica con etiquetas seguras

Solo puedes crear una regla de política de firewall jerárquica con las claves y los valores de origen y destino específicos si creaste una política de firewall jerárquica. Para obtener más información, consulta Crea una política de firewall jerárquica.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en el nombre de tu política y, luego, en Crear regla de firewall.

  4. Ingresa la prioridad de la regla.

  5. Especifica el sentido de circulación.

  6. En Acción si hay coincidencia, elige un parámetro de configuración.

  7. En Registros, elige Activado o Desactivado.

  8. En Destino, selecciona Etiquetas seguras y, luego, haz clic en Seleccionar el alcance de las etiquetas.

  9. En la página Selecciona un recurso, selecciona la organización o el proyecto en el que deseas crear etiquetas seguras.

  10. Ingresa los pares clave-valor a los que se aplicará la regla.

  11. Para agregar más pares clave-valor, haz clic en Agregar etiqueta.

  12. En la sección Fuente, en Etiquetas, haz clic en Seleccionar el alcance de las etiquetas.

  13. En la página Selecciona un recurso, selecciona la organización o la carpeta que contiene las claves de etiquetas seguras.

  14. Haz clic en Crear.

gcloud

Para crear una regla de política de firewall jerárquica, usa el comando gcloud compute firewall-policies rules create:

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

Reemplaza lo siguiente:

  • FIREWALL_POLICY_NAME: Es el nombre de la política de firewall jerárquica.
  • ORGANIZATION_ID: El ID de la organización
  • TAG_KEY: La clave de etiqueta segura
  • TAG_VALUE: El valor que se asignará a la clave de etiqueta segura
  • DIRECTION: Indica si la regla es de ingress o egress
  • ACTION: Es una de las acciones siguientes:
    • allow: Permite las conexiones que coinciden con la regla.
    • deny: Rechaza las conexiones que coinciden con la regla.
    • goto_next: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
  • PORT: Es el número de puerto para acceder al recurso.

Crea una regla de política de firewall de red con etiquetas seguras

Puedes crear una regla de política de firewall de red con los valores de etiqueta de origen y los de destino específicos que permitan el tráfico elegido entre las VMs con las etiquetas de origen y las de destino. Para obtener más información, consulta Crea una política de firewall de red global.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de selección de proyectos, elige tu proyecto o la carpeta que contenga la política.

  3. Haz clic en el nombre de tu política y, luego, en Crear regla de firewall.

  4. Ingresa la prioridad de la regla.

  5. Especifica el sentido de circulación.

  6. En Acción si hay coincidencia, elige un parámetro de configuración.

  7. En Registros, elige Activado o Desactivado.

  8. En Destino, selecciona Etiquetas seguras y, luego, haz clic en Seleccionar el alcance de las etiquetas.

  9. En la página Selecciona un recurso, selecciona la organización o el proyecto en el que deseas crear etiquetas seguras.

  10. Ingresa los pares clave-valor a los que se aplicará la regla.

  11. Para agregar más pares clave-valor, haz clic en Agregar etiqueta.

  12. En la sección Fuente, en Etiquetas, haz clic en Seleccionar el alcance de las etiquetas.

  13. En la página Selecciona un recurso, selecciona la organización o la carpeta que contiene las claves de etiquetas seguras.

  14. Haz clic en Crear.

gcloud

Para crear una regla de política de firewall de red, usa el comando gcloud compute network-firewall-policies rules create:

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

Reemplaza lo siguiente:

  • FIREWALL_POLICY_NAME: El nombre de la política de firewall de red global de la red nueva.
  • ORGANIZATION_ID: El ID de la organización
  • TAG_KEY: La clave de etiqueta
  • TAG_VALUE: El valor que se asignará a la clave de etiqueta
  • DIRECTION: Indica si la regla es una regla ingress o egress
  • ACTION: Es una de las acciones siguientes:
    • allow: Permite las conexiones que coinciden con la regla.
    • deny: Rechaza las conexiones que coinciden con la regla.
    • goto_next: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
  • PORT: Es el número de puerto para acceder al recurso.

Vincula etiquetas seguras

Para comprender cómo funciona la vinculación de etiquetas seguras tanto para las políticas de firewall de red como para las políticas de firewall jerárquicas, consulta Vincula etiquetas seguras.

Antes de comenzar

Vincula etiquetas seguras a instancias de VM

Puedes adjuntar etiquetas existentes a ciertos recursos. Después de crear el recurso, adjunta etiquetas a ese recurso siguiendo las instrucciones que se indican a continuación.

Console

Para vincular las etiquetas seguras a las instancias de VM, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la VM a la que deseas agregar etiquetas.

  4. En la página de detalles de la instancia de VM, completa los siguientes pasos:

    1. Haz clic en Editar.
    2. En la sección Información básica, haz clic en Administrar etiquetas y agrega las etiquetas que deseas para la instancia.
    3. Haz clic en Guardar.

gcloud

Para obtener información sobre cómo usar estas marcas, consulta Adjunta etiquetas a los recursos en la documentación de Resource Manager.

Por ejemplo, el siguiente comando adjunta una etiqueta a una VM:

gcloud resource-manager tags bindings create \
    --location=LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=FULL_RESOURCE_NAME

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la zona en la que se encuentra la instancia. Para un recurso global, omite la marca --location.
  • TAGVALUE_ID: ID numérico del valor de la etiqueta

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia de VM:

    //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia de VM.

REST

Para adjuntar una etiqueta a un recurso, primero debes crear una representación JSON de una vinculación de etiqueta que incluya el ID permanente o el nombre del espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de una vinculación de etiqueta, consulta la referencia de tagBindings.

Para adjuntar la etiqueta a un recurso zonal, como una instancia de VM, usa el método tagBindings.create con el extremo regional en el que se encuentra tu recurso. Por ejemplo:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

El cuerpo de la solicitud puede ser una de las siguientes dos opciones:

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la ubicación del recurso zonal o regional. En el caso de una instancia de VM, especifica la zona. Para un recurso global, omite el parámetro LOCATION_NAME-.

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia de VM:

    //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia de VM.

  • TAGVALUE_ID: Es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo, 4567890123.

  • TAGVALUE_NAMESPACED_NAME: Es el nombre del espacio de nombres del valor de la etiqueta que se adjunta y tiene el siguiente formato: parentNamespace/tagKeyShortName/tagValueShortName

Agrega etiquetas seguras a una instancia de VM durante la creación de la VM

En ciertas situaciones, es posible que desees etiquetar recursos durante la creación del recurso, en lugar de hacerlo después de crearlo.

Console

Según el tipo de recurso, los pasos exactos pueden variar. Los siguientes pasos son para una VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. Haz clic en Crear instancia. Aparecerá la página Crear una instancia, en la que se mostrará el panel Configuración de la máquina.

  4. En el menú de navegación, haz clic en Opciones avanzadas. En el panel Avanzado que aparece, haz lo siguiente:

    1. Expande la sección Administrar etiquetas de instancia y etiquetas de recurso.
    2. Haz clic en Agregar etiquetas.
    3. En el panel Etiquetas que se abre, sigue las instrucciones para agregar una etiqueta a la instancia.
    4. Haz clic en Guardar.

  5. Especifica otros parámetros de configuración para tu instancia. Para obtener más información, consulta Opciones de configuración durante la creación de instancias.

  6. Para crear y, también, iniciar la VM, haz clic en Crear.

gcloud

Para adjuntar una etiqueta a un recurso durante la creación del recurso, agrega la marca --resource-manager-tags con el comando create correspondiente. Por ejemplo, para adjuntar una etiqueta a una VM, usa el siguiente comando:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Reemplaza lo siguiente:

  • INSTANCE_NAME: El nombre de tu instancia de VM
  • ZONE: La zona que contiene la instancia de VM
  • TAGKEY_ID: El ID numérico de clave de etiqueta
  • TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Para especificar varias etiquetas, sepáralas con una coma, por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Realiza una solicitud POST a la siguiente URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Incluye el siguiente JSON de la solicitud:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Reemplaza lo siguiente:

  • INSTANCE_NAME: El nombre de tu instancia de VM
  • TAGKEY_ID: El ID numérico de clave de etiqueta
  • TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Usa etiquetas seguras en redes con intercambio de tráfico

Puedes usar etiquetas seguras en el intercambio de tráfico entre redes de VPC. Supón que las redes conectadas son server y client. Para usar etiquetas seguras en dos redes deGoogle Cloud conectadas, completa las siguientes tareas en el orden especificado.

  1. Asigna el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) al usuario. Un administrador de la organización otorga el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) a los usuarios a nivel de la organización, y un propietario del proyecto puede otorgar el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) a nivel del proyecto. Para obtener más información, consulta Cómo otorgar permisos a las etiquetas seguras.

  2. Crea una clave y un valor de etiqueta seguros en la red server. Para obtener información sobre cómo crear claves y valores de etiqueta seguros, consulta Crea claves y valores de etiqueta seguros.

  3. Crea una regla de política de firewall en la red server para permitir el tráfico de entrada desde la etiqueta segura creada en el paso anterior. Para obtener más información, consulta Crea una regla de política de firewall con etiquetas seguras.

  4. Otorga los permisos necesarios al usuario client para proteger las etiquetas en ambas redes de VPC. Para obtener más información, consulta Cómo otorgar permisos a las etiquetas seguras.

  5. En la red client, vincula las etiquetas seguras a una instancia de VM. Para obtener más información, consulta Cómo vincular etiquetas seguras. Ahora, la VM client abre conexiones a la VM server.

  6. La regla de política de firewall del servidor permite el tráfico porque este proviene de las etiquetas seguras a las que está vinculado. La regla también permite el paquete de respuesta, ya que el tráfico de salida se permite de forma predeterminada.

¿Qué sigue?