Créer et gérer des tags sécurisés

Ce document explique comment créer et gérer des tags sécurisés pour les règles de pare-feu. Avant d'utiliser des tags sécurisés dans des stratégies de pare-feu ou de les associer à des ressources, vous devez les créer.

Ce document traite des sujets suivants :

  • Accorder les autorisations appropriées pour gérer et utiliser les tags
  • Créer des clés et des valeurs de tags
  • Créer des règles et des stratégies de pare-feu qui utilisent des tags sécurisés
  • Associer des tags sécurisés à des instances de machines virtuelles (VM)
  • Utiliser des tags sécurisés sur les réseaux appairés

Pour en savoir plus sur les tags sécurisés et leur fonctionnement, consultez Tags sécurisés pour les pare-feu.

Accorder des autorisations aux tags sécurisés

Un administrateur de l'organisation peut attribuer des rôles au niveau de l'organisation, et un propriétaire de projet peut les attribuer au niveau du projet.

Attribuer le rôle Administrateur de balises

Le rôle Administrateur de tags (roles/resourcemanager.tagAdmin) vous permet de créer, de mettre à jour et de supprimer des tags sécurisés.

Console

Pour attribuer le rôle d'administrateur de tags (roles/resourcemanager.tagAdmin) à l'utilisateur, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Dans la liste des sélecteurs de projet, sélectionnez l'organisation ou le projet auquel vous souhaitez attribuer le rôle.

  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail de l'utilisateur. Exemple :my-user@example.com

  5. Dans la liste Sélectionner un rôle, saisissez Tag dans le champ Filtre, puis sélectionnez Administrateur de tags.

  6. Cliquez sur Enregistrer.

gcloud

Pour accorder le rôle Administrateur de balises (roles/resourcemanager.tagAdmin) à un compte principal IAM dans la stratégie IAM d'une organisation, utilisez la commande gcloud organizations add-iam-policy-binding :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.
  • EMAIL_ADDRESS : adresse e-mail de l'utilisateur

Attribuer le rôle Utilisateur de balises

Le rôle Utilisateur de tags (roles/resourcemanager.tagUser) vous permet d'accéder à la liste des tags sécurisés et de gérer leurs associations avec les ressources.

Console

Pour attribuer le rôle Utilisateur de tags (roles/resourcemanager.tagUser) à l'utilisateur, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Dans la liste des sélecteurs de projet, sélectionnez l'organisation ou le projet auquel vous souhaitez attribuer le rôle.

  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail de l'utilisateur. Exemple :my-user@example.com

  5. Dans la liste Sélectionner un rôle, saisissez Tag dans le champ Filtre, puis sélectionnez Utilisateur de tag.

  6. Facultatif : ajoutez une condition au rôle.

  7. Cliquez sur Enregistrer.

gcloud

  1. Pour accorder le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) à l'utilisateur pour un tag spécifique, utilisez la commande gcloud resource-manager tags keys add-iam-policy-binding :

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de votre organisation.
    • TAG_KEY : clé de tag sécurisée
    • EMAIL_ADDRESS : adresse e-mail de l'utilisateur

  2. Pour accorder le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) à un compte principal IAM afin qu'il puisse utiliser toutes les valeurs de tag de chaque clé de tag de l'organisation, utilisez la commande gcloud organizations add-iam-policy-binding :

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de votre organisation.
    • EMAIL_ADDRESS : adresse e-mail de l'utilisateur

  3. Pour accorder le rôle Utilisateur de tags (roles/resourcemanager.tagUser) à un compte principal IAM afin qu'il puisse utiliser une valeur de tag spécifique d'une clé de tag dont le parent est l'organisation, utilisez la commande gcloud resource-manager tags values add-iam-policy-binding :

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de votre organisation.
    • TAG_KEY : clé de tag sécurisée
    • TAG_VALUE : valeur du tag sécurisé
    • EMAIL_ADDRESS : adresse e-mail de l'utilisateur

  4. Pour accorder le rôle Utilisateur de balises (roles/resourcemanager.tagUser) à un compte principal IAM afin qu'il puisse utiliser toutes les valeurs de balise de chaque clé de balise d'un projet, utilisez la commande gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    Remplacez les éléments suivants :

    • PROJECT_NAME : nom de votre projet
    • EMAIL_ADDRESS : adresse e-mail de l'utilisateur

Rôles personnalisés pour gérer les tags sécurisés

Le rôle Administrateur de tags (roles/resourcemanager.tagAdmin) vous permet de créer, de mettre à jour et de supprimer des tags sécurisés. Si vous avez besoin de certaines de ces fonctionnalités, vous pouvez créer un rôle IAM (Identity and Access Management) personnalisé avec les autorisations appropriées, puis attribuer le nouveau rôle à l'utilisateur cible. Pour obtenir la liste des autorisations pertinentes, consultez la page Rôles IAM.

Les tags sécurisés utilisés dans les stratégies de pare-feu doivent être désignés par un objectif GCE_FIREWALL. Bien que l'objectif GCE_FIREWALL soit obligatoire pour que le tag sécurisé soit utilisé dans les fonctionnalités de mise en réseau, vous pouvez l'utiliser pour d'autres actions.

Créer les clés et les valeurs de tag sécurisées

Avant d'associer des tags sécurisés à des stratégies de pare-feu, vous devez créer les clés et les valeurs des tags sécurisés.

Une fois la clé de tag créée, elle ne peut plus être modifiée et doit être unique au sein du même espace de noms.

Console

Pour créer une clé et des valeurs de tag sécurisées, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Tags.

    Accéder aux balises

  2. Dans la liste du sélecteur de projet, sélectionnez l'organisation ou le projet sous lequel vous souhaitez créer une clé de tag.

  3. Cliquez sur  Créer.

  4. Dans le champ Clé de tag, saisissez le nom à afficher de votre clé de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.

  5. Facultatif : Dans le champ Description de la clé de tag, saisissez une description de votre clé de tag.

  6. Pour Objectif du tag, sélectionnez À utiliser avec Cloud NGFW.

  7. Pour créer un tag sécurisé, procédez comme suit :

    • Si les données sur la finalité spécifient un réseau, sélectionnez Limiter le champ d'application à un seul réseau.

    • Si les données sur l'objectif spécifient une organisation, décochez Limiter le champ d'application à un seul réseau.

  8. Dans l'onglet Sélection du réseau, sélectionnez l'organisation ou le projet sous lequel vous souhaitez créer une clé de tag sécurisée.

  9. Dans la liste Réseau, sélectionnez le réseau.

  10. Si vous souhaitez ajouter des valeurs de tag à cette clé, cliquez sur Ajouter une valeur pour chaque valeur de tag que vous souhaitez créer.

  11. Dans le champ Valeur de tag, saisissez le nom à afficher de votre valeur de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.

  12. Facultatif : Dans le champ Description de la valeur de tag, saisissez une description de votre valeur de tag.

  13. Lorsque vous avez terminé d'ajouter des valeurs de tag, cliquez sur Créer une clé de tag.

gcloud

  1. Après avoir obtenu les autorisations requises, créez la clé de tag sécurisée au niveau de l'organisation ou du projet.

    • Pour créer une clé de tag sécurisée pour une organisation, utilisez la commande gcloud resource-manager tags keys create :

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      Remplacez les éléments suivants :

      • TAG_KEY : clé de tag sécurisée
      • ORGANIZATION_ID : ID de votre organisation.

    • Pour créer une clé de tag sécurisé pour un projet parent ou une organisation dont les données d'objectif identifient un seul réseau VPC, utilisez la commande gcloud resource-manager tags keys create :

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      Remplacez les éléments suivants :

      • TAG_KEY : clé de tag sécurisée
      • ORGANIZATION_ID : ID de votre organisation.
      • PROJECT_ID : ID de votre projet
      • NETWORK : nom de votre réseau.

  2. Pour ajouter les valeurs de tag sécurisé pertinentes aux clés de tag sécurisé, utilisez la commande gcloud resource-manager tags values create :

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    Remplacez les éléments suivants :

    • TAG_VALUE : valeur à attribuer à la clé de tag sécurisée
    • ORGANIZATION_ID : ID de votre organisation.
    • TAG_KEY : clé de tag sécurisée

    Exécutez la commande plusieurs fois pour ajouter plusieurs valeurs. Assurez-vous que chaque valeur de tag sécurisée ajoutée à la clé de tag sécurisée est unique.

Créer des règles de pare-feu

Une fois que vous avez créé des clés de tag sécurisé, vous pouvez les utiliser dans les règles de pare-feu. Vous pouvez utiliser des clés de tag sécurisé définies au niveau de l'organisation dans les stratégies de pare-feu hiérarchiques ou les stratégies de pare-feu réseau. Vous ne pouvez utiliser que des tags sécurisés définis au niveau du réseau dans les stratégies de pare-feu réseau.

Créer une stratégie de pare-feu hiérarchique

Vous pouvez créer une stratégie sous n'importe quelle ressource (organisation ou dossier) de votre hiérarchie.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom de la règle, saisissez le nom.

  5. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer > Créer une règle de pare-feu.

    Pour en savoir plus, consultez Créer une règle de stratégie de pare-feu hiérarchique avec des tags sécurisés.

  6. Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer > Ajouter.

    Pour en savoir plus, consultez Associer une règle à l'organisation ou au dossier.

  7. Cliquez sur Continuer > Créer.

gcloud

Pour créer une stratégie de pare-feu hiérarchique, utilisez la commande gcloud compute firewall-policies create :

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation.

    Spécifiez cet ID si vous créez la stratégie au niveau de l'organisation. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie à la ressource de l'organisation.

  • FOLDER_ID : ID d'un dossier

    Spécifiez cet ID si vous créez la stratégie dans un dossier donné. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au dossier.

  • SHORT_NAME : nom de la règle

    Une stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante en utilisant Google Cloud CLI, vous pouvez indiquer le nom généré par le système ou utiliser le nom court accompagné de l'ID d'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.

Créer une stratégie de pare-feu de réseau au niveau mondial

Une fois que vous avez créé un tag sécurisé, vous pouvez l'utiliser dans les règles d'une stratégie de pare-feu réseau au niveau mondial.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom de la règle, saisissez le nom.

  5. Pour le Champ d'application du déploiement, sélectionnez Mondial.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer > Créer une règle de pare-feu.

    Pour en savoir plus, consultez Créer une règle de stratégie de pare-feu réseau avec des tags sécurisés.

  7. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer > Associer.

    Pour en savoir plus, consultez Associer une règle au réseau.

  8. Cliquez sur Continuer > Créer.

gcloud

Pour créer une stratégie de pare-feu réseau, utilisez la commande gcloud compute network-firewall-policies create :

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

Remplacez les éléments suivants :

  • NETWORK_FIREWALL_POLICY_NAME : nom de la règle
  • DESCRIPTION : description de la règle

Créer une règle de stratégie de pare-feu avec des tags sécurisés

Après avoir créé un tag sécurisé et une stratégie de pare-feu, vous pouvez créer une règle de stratégie de pare-feu avec les valeurs de tags sources et de tags cibles spécifiques pour autoriser le trafic choisi entre les VM avec les tags sources et les tags de destination.

Créer une règle de stratégie de pare-feu hiérarchique avec des tags sécurisés

Vous ne pouvez créer une règle de stratégie de pare-feu hiérarchique avec les clés et valeurs sources et cibles spécifiques que si vous avez créé une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez Créer une stratégie de pare-feu hiérarchique.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre règle, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Spécifiez le sens de circulation.

  6. Dans le champ Action en cas de correspondance, sélectionnez un paramètre.

  7. Pour Journaux, sélectionnez Activé ou Désactivé.

  8. Pour Cible, sélectionnez Tags sécurisés, puis cliquez sur Sélectionner le champ d'application des tags.

  9. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags sécurisés.

  10. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer.

  11. Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

  12. Dans la section Source, pour Tags, cliquez sur Sélectionner le champ d'application des tags.

  13. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le dossier contenant les clés de tag sécurisées.

  14. Cliquez sur Créer.

gcloud

Pour créer une règle de stratégie de pare-feu hiérarchique, exécutez la commande gcloud compute firewall-policies rules create :

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

Remplacez les éléments suivants :

  • FIREWALL_POLICY_NAME : nom de la stratégie de pare-feu hiérarchique
  • ORGANIZATION_ID : ID de votre organisation.
  • TAG_KEY : clé de tag sécurisée
  • TAG_VALUE : valeur à attribuer à la clé de tag sécurisée
  • DIRECTION : indique si la règle est une règle ingress ou egress.
  • ACTION : l'une des actions suivantes :
    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • PORT : numéro du port pour accéder à la ressource.

Créer une règle de stratégie de pare-feu réseau avec des tags sécurisés

Vous pouvez créer une règle de stratégie de pare-feu réseau avec les valeurs de tags sources et de tags cibles spécifiques qui autorisent le trafic choisi entre les VM avec les tags sources et les tags de destination. Pour en savoir plus, consultez Créer une stratégie de pare-feu de réseau au niveau mondial.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre projet ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre règle, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Spécifiez le sens de circulation.

  6. Dans le champ Action en cas de correspondance, sélectionnez un paramètre.

  7. Pour Journaux, sélectionnez Activé ou Désactivé.

  8. Pour Cible, sélectionnez Tags sécurisés, puis cliquez sur Sélectionner le champ d'application des tags.

  9. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags sécurisés.

  10. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer.

  11. Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

  12. Dans la section Source, pour Tags, cliquez sur Sélectionner le champ d'application des tags.

  13. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le dossier contenant les clés de tag sécurisées.

  14. Cliquez sur Créer.

gcloud

Pour créer une règle de stratégie de pare-feu réseau, utilisez la commande gcloud compute network-firewall-policies rules create :

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

Remplacez les éléments suivants :

  • FIREWALL_POLICY_NAME : nom de la stratégie de pare-feu de réseau mondial du nouveau réseau
  • ORGANIZATION_ID : ID de votre organisation.
  • TAG_KEY : clé du tag.
  • TAG_VALUE : valeur à attribuer à la clé de tag
  • DIRECTION : indique si la règle est une règle ingress ou egress.
  • ACTION : l'une des actions suivantes :
    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • PORT : numéro du port pour accéder à la ressource.

Associer des tags sécurisés

Pour comprendre comment fonctionne l'association de tags sécurisés pour les stratégies de pare-feu réseau et les stratégies de pare-feu hiérarchiques, consultez Associer des tags sécurisés.

Avant de commencer

Lier des tags sécurisés à des instances de VM

Vous pouvez associer des tags existants à certaines ressources. Une fois la ressource créée, associez-y des tags en suivant les instructions ci-dessous.

Console

Pour lier les tags sécurisés à des instances de VM, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez le projet et cliquez sur Continuer.

  3. Dans la colonne Nom, cliquez sur le nom de la VM à laquelle vous souhaitez ajouter des tags.

  4. Sur la page des détails de l'instance de VM, procédez comme suit :

    1. Cliquez sur Modifier.
    2. Dans la section Informations de base, cliquez sur Gérer les tags et ajoutez les tags souhaités pour l'instance.
    3. Cliquez sur Enregistrer.

gcloud

Pour savoir comment utiliser ces indicateurs, consultez la section Associer des tags aux ressources dans la documentation Resource Manager.

Par exemple, la commande suivante associe un tag à une VM :

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Remplacez les éléments suivants :

  • LOCATION_NAME : région contenant la ressource cible (dans cet exemple, la région de l'instance de VM)
  • TAGVALUE_ID : ID numérique de la valeur de tag
  • PROJECT_NUMBER : ID numérique du projet contenant la ressource cible.
  • ZONE : zone contenant la ressource cible (dans cet exemple, la zone de l'instance de VM)
  • VM_ID : ID de l'instance de VM

REST

Pour associer un tag à une ressource, vous devez d'abord créer une représentation JSON d'une liaison de tag incluant l'ID permanent ou le nom de l'espace de noms de la valeur de tag et l'ID permanent de la ressource. Pour en savoir plus sur le format d'une liaison de tag, consultez la documentation de référence sur les liaisons de tag.

Pour associer le tag à une ressource zonale, telle qu'une instance de VM, utilisez la méthode tagBindings.create avec le point de terminaison régional où se trouve votre ressource. Exemple :

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

Le corps de la requête peut être l'une des deux options suivantes :

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Remplacez les éléments suivants :

  • LOCATION_NAME : région contenant la ressource cible (dans cet exemple, la région de l'instance de VM)
  • PROJECT_NUMBER : ID numérique du projet contenant la ressource cible.
  • ZONE : zone contenant la ressource cible (dans cet exemple, la zone de l'instance de VM)
  • VM_ID : ID de l'instance de VM
  • TAGVALUE_ID : ID permanent de la valeur de tag associée (par exemple, 4567890123)
  • TAGVALUE_NAMESPACED_NAME : nom de l'espace de noms de la valeur de tag associée, au format suivant : parentNamespace/tagKeyShortName/tagValueShortName

Ajouter des tags sécurisés à une instance de VM lors de la création de la VM

Dans certains scénarios, vous pouvez ajouter des tags aux ressources lors de leur création plutôt qu'après leur création.

Console

Selon le type de ressource, les étapes exactes peuvent varier. Les étapes suivantes concernent une VM :

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez le projet et cliquez sur Continuer.

  3. Cliquez sur Créer une instance. La page Créer une instance s'affiche et le volet Configuration de la machine s'ouvre.

  4. Dans le menu de navigation, cliquez sur Avancé. Dans le volet Avancé qui s'affiche, procédez comme suit :

    1. Développez la section Gérer les tags et les libellés.
    2. Cliquez sur Ajouter des tags.
    3. Dans le volet Tags qui s'ouvre, suivez les instructions pour ajouter un tag à l'instance.
    4. Cliquez sur Enregistrer.

  5. Spécifiez d'autres options de configuration pour votre instance. Pour en savoir plus, consultez Options de configuration lors de la création d'une instance.

  6. Pour créer et démarrer la VM, cliquez sur Créer.

gcloud

Pour associer un tag à une ressource lors de la création de la ressource, ajoutez l'option --resource-manager-tags avec la commande create correspondante. Par exemple, pour associer un tag à une VM, utilisez la commande suivante :

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Remplacez les éléments suivants :

  • INSTANCE_NAME : nom de votre instance de VM
  • ZONE : zone contenant l'instance de VM
  • TAGKEY_ID : ID numérique du numéro de clé de tag
  • TAGVALUE_ID : ID numérique permanent de la valeur de tag associée (par exemple, 4567890123)

Spécifiez plusieurs tags en les séparant par une virgule, par exemple, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Envoyez une requête POST à l'URL suivante :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Incluez le corps JSON de la requête suivante :

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Remplacez les éléments suivants :

  • INSTANCE_NAME : nom de votre instance de VM
  • TAGKEY_ID : ID numérique du numéro de clé de tag
  • TAGVALUE_ID : ID numérique permanent de la valeur de tag associée (par exemple, 4567890123)

Utiliser des tags sécurisés sur les réseaux appairés

Vous pouvez utiliser des tags sécurisés dans l'appairage de réseaux VPC. Supposons que les réseaux connectés soient server et client. Pour utiliser des tags sécurisés sur deux réseauxGoogle Cloud connectés, effectuez les tâches suivantes dans l'ordre spécifié.

  1. Attribuez le rôle Administrateur de balises (roles/resourcemanager.tagAdmin) à l'utilisateur. Un administrateur d'organisation attribue le rôle Administrateur de balises (roles/resourcemanager.tagAdmin) aux utilisateurs au niveau de l'organisation, et un propriétaire de projet peut l'attribuer au niveau du projet.roles/resourcemanager.tagAdmin Pour en savoir plus, consultez Accorder des autorisations pour sécuriser les tags.

  2. Créez une clé et une valeur de tag sécurisées dans le réseau server. Pour savoir comment créer des clés et des valeurs de tags sécurisées, consultez Créer des clés et des valeurs de tags sécurisées.

  3. Créez une règle de stratégie de pare-feu dans le réseau server pour autoriser le trafic entrant à partir du tag sécurisé créé à l'étape précédente. Pour en savoir plus, consultez Créer une règle de stratégie de pare-feu avec des tags sécurisés.

  4. Accordez les autorisations requises à l'utilisateur client pour sécuriser les tags dans les deux réseaux VPC. Pour en savoir plus, consultez Accorder des autorisations pour sécuriser les tags.

  5. Dans le réseau client, liez les tags sécurisés à une instance de VM. Pour en savoir plus, consultez Associer des tags sécurisés. La VM client ouvre maintenant des connexions à la VM server.

  6. La règle de stratégie de pare-feu du serveur autorise le trafic, car il provient des tags sécurisés auxquels il est lié. La règle autorise également le paquet de réponse, car le trafic de sortie est autorisé par défaut.

Étapes suivantes