セキュアタグを作成、管理する

このドキュメントでは、ファイアウォール ポリシーの安全なタグを作成して管理する方法について説明します。ファイアウォール ポリシーでセキュアタグを使用したり、リソースにバインドしたりする前に、セキュアタグを作成する必要があります。

このドキュメントでは、次のトピックについて説明します。

  • タグの管理と使用に適切な権限を付与する
  • タグキーと値の作成
  • セキュアタグを使用するファイアウォール ポリシーとルールを作成する
  • 安全なタグを仮想マシン(VM)インスタンスにバインドする
  • ピアリングされたネットワーク間でセキュアタグを使用する

セキュアタグとその仕組みの詳細については、ファイアウォールのセキュアタグをご覧ください。

セキュアタグに権限を付与する

組織管理者は組織レベルでロールを付与でき、プロジェクト オーナーはプロジェクト レベルでロールを付与できます。

タグ管理者のロールを付与する

タグ管理者ロール(roles/resourcemanager.tagAdmin)を使用すると、セキュアタグの作成、更新、削除を行うことができます。

コンソール

ユーザーにタグ管理者ロール(roles/resourcemanager.tagAdmin)を付与するには、次の操作を行います。

  1. Google Cloud コンソールで、[IAM] ページに移動します。

    [IAM] に移動

  2. プロジェクト セレクタのリストで、ロールを付与する組織またはプロジェクトを選択します。

  3. [アクセス権を付与] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザーのメールアドレスを入力します。例: my-user@example.com

  5. [ロールを選択] リストで、[フィルタ] フィールドに「タグ」と入力し、[タグ管理者] を選択します。

  6. [保存] をクリックします。

gcloud

組織の IAM ポリシーで IAM プリンシパルにタグ管理者ロール(roles/resourcemanager.tagAdmin)を付与するには、gcloud organizations add-iam-policy-binding コマンドを使用します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

次のように置き換えます。

  • ORGANIZATION_ID: 組織の ID
  • EMAIL_ADDRESS: ユーザーのメールアドレス

タグユーザーのロールを付与する

タグユーザーのロール(roles/resourcemanager.tagUser)を使用すると、セキュアタグのリストにアクセスして、リソースとの関連付けを管理できます。

コンソール

ユーザーにタグユーザー ロール(roles/resourcemanager.tagUser)を付与するには、次の操作を行います。

  1. Google Cloud コンソールで、[IAM] ページに移動します。

    [IAM] に移動

  2. プロジェクト セレクタのリストで、ロールを付与する組織またはプロジェクトを選択します。

  3. [アクセス権を付与] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザーのメールアドレスを入力します。例: my-user@example.com

  5. [ロールを選択] リストの [フィルタ] フィールドに「タグ」と入力し、[タグ ユーザー] を選択します。

  6. (省略可)ロールに条件を追加します。

  7. [保存] をクリックします。

gcloud

  1. 特定のタグのユーザーにタグユーザーのロール(roles/resourcemanager.tagUser)を付与するには、gcloud resource-manager tags keys add-iam-policy-binding コマンドを使用します。

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    次のように置き換えます。

    • ORGANIZATION_ID: 組織の ID
    • TAG_KEY: セキュアタグキー
    • EMAIL_ADDRESS: ユーザーのメールアドレス

  2. 組織内のすべてのタグキーのすべてのタグ値を使用できるように、IAM プリンシパルにタグユーザー ロール(roles/resourcemanager.tagUser)を付与するには、gcloud organizations add-iam-policy-binding コマンドを使用します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    次のように置き換えます。

    • ORGANIZATION_ID: 組織の ID
    • EMAIL_ADDRESS: ユーザーのメールアドレス

  3. IAM プリンシパルにタグユーザー ロール(roles/resourcemanager.tagUser)を付与して、親が組織であるタグキーの特定のタグ値を使用できるようにするには、gcloud resource-manager tags values add-iam-policy-binding コマンドを使用します。

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    次のように置き換えます。

    • ORGANIZATION_ID: 組織の ID
    • TAG_KEY: セキュアタグキー
    • TAG_VALUE: セキュアタグの値
    • EMAIL_ADDRESS: ユーザーのメールアドレス

  4. IAM プリンシパルにタグユーザー ロール(roles/resourcemanager.tagUser)を付与して、プロジェクト内のすべてのタグキーのすべてのタグ値を使用できるようにするには、gcloud projects add-iam-policy-binding コマンドを使用します。

    gcloud projects add-iam-policy-binding PROJECT_NAME \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagUser

    次のように置き換えます。

    • PROJECT_NAME: プロジェクトの名前
    • EMAIL_ADDRESS: ユーザーのメールアドレス

セキュアタグを管理するためのカスタムロール

タグ管理者ロール(roles/resourcemanager.tagAdmin)を使用すると、セキュアタグの作成、更新、削除を行うことができます。これらの機能の一部が必要な場合は、関連する権限を含む Identity and Access Management(IAM)カスタムロールを作成して、新しいロールを対象ユーザーに付与できます。関連する権限のリストについては、IAM ロールをご覧ください。

ファイアウォール ポリシーで使用されるセキュアタグは、GCE_FIREWALL の目的を指定する必要があります。セキュアタグをネットワーク機能で使用するには GCE_FIREWALL の目的が必要ですが、セキュアタグは他のアクションにも使用できます。

セキュアタグのキーと値を作成する

セキュアタグをファイアウォール ポリシーに関連付ける前に、セキュアタグのキーと値を作成する必要があります。

タグキーは、作成した後は変更できません。また、同じ名前空間内で一意である必要があります。

コンソール

セキュアタグのキーと値を作成するには、次の操作を行います。

  1. Google Cloud コンソールで、[タグ] ページに移動します。

    [タグ] に移動

  2. プロジェクト セレクタのリストで、タグキーを作成する組織またはプロジェクトを選択します。

  3. [作成] をクリックします。

  4. [タグキー] フィールドに、タグキーの表示名を入力します。これは、タグの Namespace 名の一部になります。

  5. 省略可: [タグキーの説明] フィールドに、タグキーの説明を入力します。

  6. [タグの目的] で [Cloud NGFW で使用する] を選択します。

  7. セキュアタグを作成するには、次のいずれかを行います。

    • 目的データでネットワークが指定されている場合は、[スコープを 1 つのネットワークに制限する] を選択します。

    • 目的データで組織が指定されている場合は、[スコープを 1 つのネットワークに制限する] をオフにします。

  8. [ネットワークの選択] タブで、セキュアタグキーを作成する組織またはプロジェクトを選択します。

  9. [ネットワーク] リストで、ネットワークを選択します。

  10. このキーにタグ値を追加する場合は、作成する各タグ値の [値を追加] をクリックします。

  11. [タグ値] フィールドに、タグ値の表示名を入力します。これは、タグの Namespace 名の一部になります。

  12. 省略可: [タグの値の説明] フィールドに、タグ値の説明を入力します。

  13. タグ値の追加が完了したら、[タグキーを作成] をクリックします。

gcloud

  1. 必要な権限を取得したら、組織またはプロジェクト レベルでセキュアタグキーを作成します。

    • 組織の安全なタグキーを作成するには、gcloud resource-manager tags keys create コマンドを使用します。

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data organization=auto

      次のように置き換えます。

      • TAG_KEY: セキュアタグキー
      • ORGANIZATION_ID: 組織の ID

    • 目的データが単一の VPC ネットワークを識別する親プロジェクトまたは組織のセキュアタグキーを作成するには、gcloud resource-manager tags keys create コマンドを使用します。

      gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK

      次のように置き換えます。

      • TAG_KEY: セキュアタグキー
      • ORGANIZATION_ID: 組織の ID
      • PROJECT_ID: プロジェクトの ID
      • NETWORK: ネットワークの名前

  2. 関連するセキュアタグ値をセキュアタグキーに追加するには、gcloud resource-manager tags values create コマンドを使用します。

      gcloud resource-manager tags values create TAG_VALUE \
      --parent ORGANIZATION_ID/TAG_KEY

    次のように置き換えます。

    • TAG_VALUE: セキュアタグのキーに割り当てる値
    • ORGANIZATION_ID: 組織の ID
    • TAG_KEY: セキュアタグキー

    複数の値を追加するには、このコマンドを複数回実行します。セキュアタグキーに追加された各セキュアタグ値が一意であることを確認してください。

ファイアウォール ポリシーの作成

セキュアタグキーは、作成後にファイアウォール ポリシーで使用できます。組織レベルで定義されたセキュアタグキーは、階層型ファイアウォール ポリシーまたはネットワーク ファイアウォール ポリシーで使用できます。ネットワーク ファイアウォール ポリシーで使用できるのは、ネットワーク レベルで定義されたセキュアタグのみです。

階層型ファイアウォール ポリシーを作成する

ポリシーは、組織階層の任意のリソース(組織またはフォルダ)に作成できます。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのリストで、組織 ID または組織内のフォルダを選択します。

  3. [ファイアウォール ポリシーを作成] をクリックします。

  4. [ポリシー名] フィールドに名前を入力します。

  5. ポリシーのルールを作成する場合は、[続行] > [ファイアウォール ルールを作成] をクリックします。

    詳細については、セキュアタグを使用して階層型ファイアウォール ポリシー ルールを作成するをご覧ください。

  6. ポリシーをリソースに関連付けるには、[続行] > [追加] をクリックします。

    詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。

  7. [続行> 作成] をクリックします。

gcloud

階層型ファイアウォール ポリシーを作成するには、gcloud compute firewall-policies create コマンドを使用します。

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

次のように置き換えます。

  • ORGANIZATION_ID: 組織の ID

    組織レベルでポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーが組織のリソースに自動的に関連付けられることはありません。

  • FOLDER_ID: フォルダの ID

    特定のフォルダにポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーがそのフォルダに自動的に関連付けられることはありません。

  • SHORT_NAME: ポリシーの名前

    Google Cloud CLI で作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。Google Cloud CLI を使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。

グローバル ネットワーク ファイアウォール ポリシーを作成する

セキュアタグを作成したら、グローバル ネットワーク ファイアウォール ポリシーのルールで使用できます。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。

  3. [ファイアウォール ポリシーを作成] をクリックします。

  4. [ポリシー名] フィールドに名前を入力します。

  5. [デプロイのスコープ] で [グローバル] を選択します。

  6. ポリシーのルールを作成する場合は、[続行] > [ファイアウォール ルールを作成] をクリックします。

    詳細については、セキュアタグを使用してネットワーク ファイアウォール ポリシー ルールを作成するをご覧ください。

  7. ポリシーをネットワークに関連付けるには、[続行] > [関連付け] をクリックします。

    詳しくは、ポリシーをネットワークに関連付けるをご覧ください。

  8. [続行> 作成] をクリックします。

gcloud

ネットワーク ファイアウォール ポリシーを作成するには、gcloud compute network-firewall-policies create コマンドを使用します。

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

次のように置き換えます。

  • NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前
  • DESCRIPTION: ポリシーの説明

セキュアタグを使用してファイアウォール ポリシー ルールを作成する

セキュアタグとファイアウォール ポリシーを作成したら、特定のソースタグ値とターゲットタグ値を使用してファイアウォール ポリシー ルールを作成し、ソースタグと宛先タグを使用して VM 間で選択したトラフィックを許可できます。

セキュアタグを使用して階層型ファイアウォール ポリシー ルールを作成する

特定のソースとターゲットのキーと値を使用して階層型ファイアウォール ポリシー ルールを作成できるのは、階層型ファイアウォール ポリシーを作成した場合のみです。詳細については、階層型ファイアウォール ポリシーを作成するをご覧ください。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのリストで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーの名前をクリックし、[ファイアウォール ルールを作成] をクリックします。

  4. ルールの優先度を入力します。

  5. トラフィックの方向を指定します。

  6. [一致したときのアクション] で設定を選択します。

  7. [ログ] で、[オン] または [オフ] を選択します。

  8. [ターゲット] で [安全なタグ] を選択し、[タグのスコープを選択] をクリックします。

  9. [リソースを選択] ページで、セキュアタグを作成する組織またはプロジェクトを選択します。

  10. ルールを適用する Key-Value ペアを入力します。

  11. Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。

  12. [送信元] セクションの [タグ] で、[タグのスコープを選択] をクリックします。

  13. [リソースを選択] ページで、セキュアタグキーを含む組織またはフォルダを選択します。

  14. [作成] をクリックします。

gcloud

階層型ファイアウォール ポリシー ルールを作成するには、gcloud compute firewall-policies rules create コマンドを使用します。

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

次のように置き換えます。

  • FIREWALL_POLICY_NAME: 階層型ファイアウォール ポリシーの名前
  • ORGANIZATION_ID: 組織の ID
  • TAG_KEY: セキュアタグキー
  • TAG_VALUE: セキュアタグのキーに割り当てる値
  • DIRECTION: ルールが ingress ルールまたは egress ルールのどちらであるかを示します。
  • ACTION: 次のいずれかのアクション。
    • allow: ルールに一致する接続を許可します。
    • deny: ルールに一致する接続を拒否します。
    • goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
  • PORT: リソースにアクセスするためのポート番号

セキュアタグを使用してネットワーク ファイアウォール ポリシールールを作成する

特定のソースタグ値とターゲットタグ値を使用してネットワーク ファイアウォール ポリシー ルールを作成し、ソースタグと宛先タグを使用して VM 間で選択したトラフィックを許可できます。詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するをご覧ください。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのリストで、プロジェクトまたはポリシーを含むフォルダを選択します。

  3. ポリシーの名前をクリックし、[ファイアウォール ルールを作成] をクリックします。

  4. ルールの優先度を入力します。

  5. トラフィックの方向を指定します。

  6. [一致したときのアクション] で設定を選択します。

  7. [ログ] で、[オン] または [オフ] を選択します。

  8. [ターゲット] で [安全なタグ] を選択し、[タグのスコープを選択] をクリックします。

  9. [リソースを選択] ページで、セキュアタグを作成する組織またはプロジェクトを選択します。

  10. ルールを適用する Key-Value ペアを入力します。

  11. Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。

  12. [送信元] セクションの [タグ] で、[タグのスコープを選択] をクリックします。

  13. [リソースを選択] ページで、セキュアタグキーを含む組織またはフォルダを選択します。

  14. [作成] をクリックします。

gcloud

ネットワーク ファイアウォール ポリシー ルールを作成するには、gcloud compute network-firewall-policies rules create コマンドを使用します。

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

次のように置き換えます。

  • FIREWALL_POLICY_NAME: 新しいネットワークのグローバル ネットワーク ファイアウォール ポリシーの名前
  • ORGANIZATION_ID: 組織の ID
  • TAG_KEY: タグキー
  • TAG_VALUE: タグキーに割り当てる値
  • DIRECTION: ルールが ingress ルールまたは egress ルールのどちらであるかを示します。
  • ACTION: 次のいずれかのアクション。
    • allow: ルールに一致する接続を許可します。
    • deny: ルールに一致する接続を拒否します。
    • goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
  • PORT: リソースにアクセスするためのポート番号

セキュアタグをバインドする

ネットワーク ファイアウォール ポリシーと階層型ファイアウォール ポリシーの両方でセキュアタグ バインディングがどのように機能するかについては、セキュアタグをバインドするをご覧ください。

始める前に

セキュアタグを VM インスタンスにバインドする

既存のタグを特定のリソースに付加できます。リソースの作成後、次の手順に沿ってそのリソースにタグを付加します。

コンソール

安全なタグを VM インスタンスにバインドするには、次の操作を行います。

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. プロジェクトを選択し、[続行] をクリックします。

  3. [名前] 列で、タグを追加する VM の名前をクリックします。

  4. [VM インスタンスの詳細] ページで、次の手順を実施します。

    1. [編集] をクリックします。
    2. [基本情報] セクションで [タグを管理] をクリックし、インスタンスに必要なタグを追加します。
    3. [保存] をクリックします。

gcloud

これらのフラグの使用方法については、Resource Manager ドキュメントのリソースへのタグ付けをご覧ください。

たとえば、次のコマンドにより VM にタグが付加されます。

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

次のように置き換えます。

  • LOCATION_NAME: ターゲット リソースを含むリージョン(この例では VM インスタンスのリージョン)
  • TAGVALUE_ID: タグ値の数値 ID
  • PROJECT_NUMBER: ターゲット リソースを含むプロジェクトの数値 ID
  • ZONE: ターゲット リソースを含むゾーン(この例では、VM インスタンスのゾーン)
  • VM_ID: VM インスタンス ID

REST

リソースにタグを付加するには、まず、タグ値の永続 ID または名前空間の名前と、リソースの永続 ID を含むタグ バインディングの JSON 表現を作成する必要があります。タグ バインディングの形式の詳細については、tagBindings リファレンスをご覧ください。

VM インスタンスなどのゾーンリソースにタグを付加するには、リソースが配置されているリージョン エンドポイントで tagBindings.create メソッドを使用します。例:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

リクエスト本文は次の 2 つのオプションのいずれかです。

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

次のように置き換えます。

  • LOCATION_NAME: ターゲット リソースを含むリージョン(この例では VM インスタンスのリージョン)
  • PROJECT_NUMBER: ターゲット リソースを含むプロジェクトの数値 ID
  • ZONE: ターゲット リソースを含むゾーン(この例では、VM インスタンスのゾーン)
  • VM_ID: VM インスタンス ID
  • TAGVALUE_ID: 付加されるタグ値の永続 ID(例: 4567890123
  • TAGVALUE_NAMESPACED_NAME: 付加されるタグ値の名前空間名(形式は parentNamespace/tagKeyShortName/tagValueShortName

VM の作成時に VM インスタンスに安全なタグを追加する

状況によっては、リソースの作成後ではなく、リソースの作成時にリソースにタグを付ける場合があります。

コンソール

リソースの種類によっては、正確な手順が異なる場合があります。VM の場合、次の手順を実施します。

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. プロジェクトを選択し、[続行] をクリックします。

  3. [インスタンスを作成] をクリックします。[インスタンスの作成] ページが表示され、[マシンの構成] ペインが表示されます。

  4. ナビゲーション メニューで、[詳細設定] をクリックします。表示された [詳細設定] ペインで、次の操作を行います。

    1. [タグとラベルを管理] セクションを開きます。
    2. [タグを追加] をクリックします。
    3. 開いた [タグ] ペインで、手順に沿ってインスタンスにタグを追加します。
    4. [保存] をクリックします。

  5. インスタンスの他の構成オプションを指定します。詳細については、インスタンス作成時の構成オプションをご覧ください。

  6. VM を作成して起動するには、[作成] をクリックします。

gcloud

リソースの作成時にタグをリソースに付加するには、それぞれの create コマンドで --resource-manager-tags フラグを追加します。たとえば、VM にタグを付加するには、次のコマンドを使用します。

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

次のように置き換えます。

  • INSTANCE_NAME: VM インスタンスの名前
  • ZONE: VM インスタンスを含むゾーン
  • TAGKEY_ID: タグキー番号の数値 ID
  • TAGVALUE_ID: 付加されているタグ値の永続的な数値 ID(例: 4567890123

複数のタグを指定する場合は、タグをカンマで区切ります(例: TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2)。

REST

次の URL に POST リクエストを送信します。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

次のリクエスト JSON 本文を含めます。

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

次のように置き換えます。

  • INSTANCE_NAME: VM インスタンスの名前
  • TAGKEY_ID: タグキー番号の数値 ID
  • TAGVALUE_ID: 付加されているタグ値の永続的な数値 ID(例: 4567890123

ピアリングされたネットワーク間でセキュアタグを使用する

VPC ネットワーク ピアリングでは、安全なタグを使用できます。接続されたネットワークが serverclient であるとします。接続された 2 つのGoogle Cloud ネットワークでセキュアタグを使用するには、次のタスクを指定された順序で実行します。

  1. ユーザーにタグ管理者のロール(roles/resourcemanager.tagAdmin)を割り当てます。組織管理者は組織レベルでユーザーにタグ管理者ロール(roles/resourcemanager.tagAdmin)を付与し、プロジェクト オーナーはプロジェクト レベルでタグ管理者ロール(roles/resourcemanager.tagAdmin)を付与できます。詳細については、安全なタグに権限を付与するをご覧ください。

  2. server ネットワークにセキュアタグのキーと値を作成します。セキュアタグのキーと値を作成する方法については、セキュアタグのキーと値を作成するをご覧ください。

  3. server ネットワークにファイアウォール ポリシールールを作成して、前の手順で作成したセキュアタグからの上り(内向き)トラフィックを許可します。詳細については、セキュアタグを使用してファイアウォール ポリシールールを作成するをご覧ください。

  4. 両方の VPC ネットワークでタグを保護するため、client ユーザーに必要な権限を付与します。詳細については、安全なタグに権限を付与するをご覧ください。

  5. client ネットワークで、安全なタグを VM インスタンスにバインドします。詳細については、セキュアタグをバインドするをご覧ください。これで、client VM が server VM への接続を開きます。

  6. トラフィックはバインドされているセキュアタグから送信されるため、サーバーのファイアウォール ポリシー ルールでトラフィックが許可されます。下り(外向き)トラフィックはデフォルトで許可されているため、このルールではレスポンス パケットも許可されます。

次のステップ