이 문서에서는 방화벽 정책의 보안 태그를 만들고 관리하는 방법을 설명합니다. 방화벽 정책에서 보안 태그를 사용하거나 리소스에 바인딩하려면 먼저 보안 태그를 만들어야 합니다.
이 문서에서는 다음 주제를 다룹니다.
- 태그를 관리하고 사용할 적절한 권한 부여
- 태그 키 및 값 만들기
- 보안 태그를 사용하는 방화벽 정책 및 규칙 만들기
- 가상 머신 (VM) 인스턴스에 보안 태그 바인딩
- 피어링된 네트워크에서 보안 태그 사용
보안 태그 및 작동 방식에 대한 자세한 내용은 방화벽용 보안 태그를 참고하세요.
보안 태그에 권한 부여
조직 관리자는 조직 수준에서 역할을 부여할 수 있고 프로젝트 소유자는 프로젝트 수준에서 역할을 부여할 수 있습니다.
태그 관리자 역할 부여
태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 사용하면 보안 태그를 만들고, 업데이트하고, 삭제할 수 있습니다.
콘솔
사용자에게 태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 부여하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
프로젝트 선택기 목록에서 역할을 부여할 조직 또는 프로젝트를 선택합니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원 필드에 사용자의 이메일 주소를 입력합니다. 예를 들면
my-user@example.com입니다.역할 선택 목록의 필터 필드에 태그를 입력한 다음 태그 관리자를 선택합니다.
저장을 클릭합니다.
gcloud
조직의 IAM 정책에서 IAM 주 구성원에게 태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 부여하려면 gcloud organizations add-iam-policy-binding 명령어를 사용합니다.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member=user:EMAIL_ADDRESS \
--role=roles/resourcemanager.tagAdmin
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDEMAIL_ADDRESS: 사용자의 이메일 주소
태그 사용자 역할 부여
태그 사용자 역할 (roles/resourcemanager.tagUser)을 사용하면 보안 태그 목록에 액세스하고 리소스와의 연결을 관리할 수 있습니다.
콘솔
사용자에게 태그 사용자 역할 (roles/resourcemanager.tagUser)을 부여하려면 다음 단계를 따르세요.
gcloud
특정 태그에 대한 사용자에게 태그 사용자 역할 (
roles/resourcemanager.tagUser)을 부여하려면gcloud resource-manager tags keys add-iam-policy-binding명령어를 사용합니다.gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDTAG_KEY: 보안 태그 키EMAIL_ADDRESS: 사용자의 이메일 주소
조직의 모든 태그 키의 모든 태그 값을 사용할 수 있도록 IAM 주 구성원에게 태그 사용자 역할 (
roles/resourcemanager.tagUser)을 부여하려면gcloud organizations add-iam-policy-binding명령어를 사용합니다.gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDEMAIL_ADDRESS: 사용자의 이메일 주소
조직이 상위인 태그 키의 특정 태그 값을 사용할 수 있도록 IAM 주 구성원에게 태그 사용자 역할 (
roles/resourcemanager.tagUser)을 부여하려면gcloud resource-manager tags values add-iam-policy-binding명령어를 사용합니다.gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDTAG_KEY: 보안 태그 키TAG_VALUE: 보안 태그 값EMAIL_ADDRESS: 사용자의 이메일 주소
IAM 주 구성원이 프로젝트의 모든 태그 키의 모든 태그 값을 사용할 수 있도록 태그 사용자 역할 (
roles/resourcemanager.tagUser)을 부여하려면gcloud projects add-iam-policy-binding명령어를 사용합니다.gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser다음을 바꿉니다.
PROJECT_NAME: 프로젝트 이름EMAIL_ADDRESS: 사용자의 이메일 주소
보안 태그 관리를 위한 맞춤 역할
태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 사용하면 보안 태그를 만들고, 업데이트하고, 삭제할 수 있습니다.
이러한 기능 중 일부가 필요한 경우 관련 권한이 있는 맞춤 Identity and Access Management (IAM) 역할을 만들고 새 역할을 대상 사용자에게 부여할 수 있습니다. 관련 권한 목록은 IAM 역할을 참고하세요.
방화벽 정책에 사용되는 보안 태그는 GCE_FIREWALL 용도로 지정되어야 합니다. 보안 태그를 네트워킹 기능에 사용하려면 GCE_FIREWALL 용도가 필요하지만 다른 작업에는 보안 태그를 사용할 수 있습니다.
보안 태그 키 및 값 만들기
보안 태그를 방화벽 정책에 연결하기 전에 보안 태그 키와 값을 만들어야 합니다.
태그 키가 생성되면 변경할 수 없으며 동일한 네임스페이스 내에서 고유해야 합니다.
콘솔
보안 태그 키와 값을 만들려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 태그 페이지로 이동합니다.
프로젝트 선택기 목록에서 태그 키를 만들려는 조직 또는 프로젝트를 선택합니다.
만들기를 클릭합니다.
태그 키 필드에 태그 키의 표시 이름을 입력합니다. 이 이름은 태그의 네임스페이스 이름의 일부가 됩니다.
선택사항: 태그 키 설명 필드에 태그 키에 대한 설명을 입력합니다.
태그 용도에서 Cloud NGFW와 함께 사용을 선택합니다.
보안 태그를 만들려면 다음 중 하나를 수행하세요.
목적 데이터에 네트워크가 지정된 경우 범위를 단일 네트워크로 제한을 선택합니다.
목적 데이터에 조직이 지정된 경우 범위를 단일 네트워크로 제한을 선택 해제합니다.
네트워크 선택 탭에서 보안 태그 키를 만들려는 조직 또는 프로젝트를 선택합니다.
네트워크 목록에서 네트워크를 선택합니다.
이 키에 태그 값을 추가하려면 만들려는 각 태그 값에 대해 값 추가를 클릭합니다.
태그 값 필드에 태그 값의 표시 이름을 입력합니다. 이 이름은 태그의 네임스페이스 이름의 일부가 됩니다.
선택사항: 태그 값 설명 필드에 태그 값에 대한 설명을 입력합니다.
태그 값 추가를 완료했으면 태그 키 만들기를 클릭합니다.
gcloud
필요한 권한을 가져온 후 조직 또는 프로젝트 수준에서 보안 태그 키를 만듭니다.
조직의 보안 태그 키를 만들려면
gcloud resource-manager tags keys create명령어를 사용합니다.gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data organization=auto다음을 바꿉니다.
TAG_KEY: 보안 태그 키ORGANIZATION_ID: 조직의 ID
목적 데이터가 단일 VPC 네트워크를 식별하는 상위 프로젝트 또는 조직의 보안 태그 키를 만들려면
gcloud resource-manager tags keys create명령어를 사용합니다.gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORK다음을 바꿉니다.
TAG_KEY: 보안 태그 키ORGANIZATION_ID: 조직의 IDPROJECT_ID: 프로젝트의 IDNETWORK: 네트워크의 이름
관련 보안 태그 값을 보안 태그 키에 추가하려면
gcloud resource-manager tags values create명령어를 사용합니다.gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEY다음을 바꿉니다.
TAG_VALUE: 보안 태그 키에 할당할 값ORGANIZATION_ID: 조직의 IDTAG_KEY: 보안 태그 키
명령어를 여러 번 실행하여 여러 값을 추가합니다. 보안 태그 키에 추가된 각 보안 태그 값이 고유한지 확인합니다.
방화벽 정책 만들기
보안 태그 키를 만든 후 방화벽 정책에서 사용할 수 있습니다. 계층식 방화벽 정책 또는 네트워크 방화벽 정책에서 조직 수준으로 정의된 보안 태그 키를 사용할 수 있습니다. 네트워크 방화벽 정책에서는 네트워크 수준에서 정의된 보안 태그만 사용할 수 있습니다.
계층식 방화벽 정책 만들기
조직 계층 구조의 모든 리소스 (조직 또는 폴더)에서 정책을 만들 수 있습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 목록에서 조직 ID 또는 조직 내의 폴더를 선택합니다.
방화벽 정책 만들기를 클릭합니다.
정책 이름 필드에 이름을 입력합니다.
정책에 대한 규칙을 만들려면 계속 > 방화벽 규칙 만들기를 클릭합니다.
자세한 내용은 보안 태그를 사용하여 계층식 방화벽 정책 규칙 만들기를 참고하세요.
정책을 리소스와 연결하려면 계속 > 추가를 클릭합니다.
자세한 내용은 정책을 조직 또는 폴더와 연결을 참고하세요.
계속 > 만들기를 클릭합니다.
gcloud
계층식 방화벽 정책을 만들려면 gcloud compute firewall-policies create 명령어를 사용합니다.
gcloud compute firewall-policies create \
[--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
--short-name SHORT_NAME
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 ID조직 수준에서 정책을 만드는 경우 이 ID를 지정합니다. 이 ID는 정책이 적용되는 위치만 나타내며 정책을 해당 조직 리소스와 자동으로 연결하지 않습니다.
FOLDER_ID: 폴더의 ID특정 폴더에 정책을 만드는 경우 이 ID를 지정합니다. 이 ID는 정책이 적용되는 위치만 나타내며 정책을 해당 폴더와 자동으로 연결하지 않습니다.
SHORT_NAME: 정책 이름Google Cloud CLI를 사용하여 만든 정책에는 시스템 생성 이름과 개발자가 제공한 닉네임, 이렇게 두 가지가 있습니다. Google Cloud CLI를 사용하여 기존 정책을 업데이트할 때 시스템 생성 이름 또는 닉네임과 조직 ID를 제공할 수 있습니다. API를 사용하여 정책을 업데이트하는 경우 시스템 생성 이름을 제공해야 합니다.
전역 네트워크 방화벽 정책 만들기
보안 태그를 만든 후 전역 네트워크 방화벽 정책의 규칙에서 사용할 수 있습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 목록에서 조직 내의 프로젝트를 선택합니다.
방화벽 정책 만들기를 클릭합니다.
정책 이름 필드에 이름을 입력합니다.
배포 범위에서 전역을 선택합니다.
정책에 대한 규칙을 만들려면 계속 > 방화벽 규칙 만들기를 클릭합니다.
자세한 내용은 보안 태그를 사용하여 네트워크 방화벽 정책 규칙 만들기를 참고하세요.
정책을 네트워크와 연결하려면 계속 > 연결을 클릭합니다.
자세한 내용은 정책을 네트워크에 연결을 참조하세요.
계속 > 만들기를 클릭합니다.
gcloud
네트워크 방화벽 정책을 만들려면 gcloud compute network-firewall-policies create 명령어를 사용합니다.
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
다음을 바꿉니다.
NETWORK_FIREWALL_POLICY_NAME: 정책 이름DESCRIPTION: 정책에 대한 설명
보안 태그를 사용한 방화벽 정책 규칙 만들기
보안 태그와 방화벽 정책을 만든 후 특정 소스 태그 값과 대상 태그 값으로 방화벽 정책 규칙을 만들어 해당 소스 태그와 대상 태그가 있는 VM 간에 선택한 트래픽을 허용할 수 있습니다.
보안 태그를 사용하여 계층식 방화벽 정책 규칙 만들기
계층적 방화벽 정책을 만든 경우에만 특정 소스 및 대상 키와 값을 사용하여 계층적 방화벽 정책 규칙을 만들 수 있습니다. 자세한 내용은 계층식 방화벽 정책 만들기를 참고하세요.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 목록에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책 이름을 클릭한 다음 방화벽 규칙 만들기를 클릭합니다.
규칙의 우선순위를 입력합니다.
트래픽 방향을 지정합니다.
일치 시 작업에서 설정을 선택합니다.
로그에서 사용 또는 사용 중지를 선택합니다.
대상에서 보안 태그를 선택한 다음 태그 범위 선택을 클릭합니다.
리소스 선택 페이지에서 보안 태그를 만들려는 조직 또는 프로젝트를 선택합니다.
규칙을 적용할 키-값 쌍을 입력합니다.
키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.
소스 섹션의 태그에서 태그 범위 선택을 클릭합니다.
리소스 선택 페이지에서 보안 태그 키가 포함된 조직 또는 폴더를 선택합니다.
만들기를 클릭합니다.
gcloud
계층식 방화벽 정책 규칙을 만들려면 gcloud compute firewall-policies rules create 명령어를 사용합니다.
gcloud compute firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT
다음을 바꿉니다.
FIREWALL_POLICY_NAME: 계층적 방화벽 정책의 이름ORGANIZATION_ID: 조직의 IDTAG_KEY: 보안 태그 키TAG_VALUE: 보안 태그 키에 할당할 값DIRECTION: 규칙이ingress또는egress규칙인지를 나타냄ACTION: 다음 작업 중 하나입니다.allow: 규칙과 일치하는 연결을 허용합니다.deny: 규칙과 일치하는 연결을 거부합니다.goto_next: 계층 구조의 다음 수준(폴더 또는 네트워크)으로 연결 평가를 전달합니다.
PORT: 리소스에 액세스할 포트 번호
보안 태그를 사용하여 네트워크 방화벽 정책 규칙 만들기
특정 소스 태그 값과 대상 태그 값을 사용하여 네트워크 방화벽 정책 규칙을 만들면 소스 태그와 대상 태그가 있는 VM 간에 선택한 트래픽을 허용할 수 있습니다. 자세한 내용은 전역 네트워크 방화벽 정책 만들기를 참고하세요.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 목록에서 프로젝트 또는 정책이 포함된 폴더를 선택합니다.
정책 이름을 클릭한 다음 방화벽 규칙 만들기를 클릭합니다.
규칙의 우선순위를 입력합니다.
트래픽 방향을 지정합니다.
일치 시 작업에서 설정을 선택합니다.
로그에서 사용 또는 사용 중지를 선택합니다.
대상에서 보안 태그를 선택한 다음 태그 범위 선택을 클릭합니다.
리소스 선택 페이지에서 보안 태그를 만들려는 조직 또는 프로젝트를 선택합니다.
규칙을 적용할 키-값 쌍을 입력합니다.
키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.
소스 섹션의 태그에서 태그 범위 선택을 클릭합니다.
리소스 선택 페이지에서 보안 태그 키가 포함된 조직 또는 폴더를 선택합니다.
만들기를 클릭합니다.
gcloud
네트워크 방화벽 정책 규칙을 만들려면 gcloud compute network-firewall-policies rules create 명령어를 사용합니다.
gcloud compute network-firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT \
--global-firewall-policy
다음을 바꿉니다.
FIREWALL_POLICY_NAME: 새 네트워크 전역 네트워크 방화벽 정책의 이름ORGANIZATION_ID: 조직의 IDTAG_KEY: 태그 키TAG_VALUE: 태그 키에 할당할 값DIRECTION: 규칙이ingress또는egress규칙인지를 나타냄ACTION: 다음 작업 중 하나입니다.allow: 규칙과 일치하는 연결을 허용합니다.deny: 규칙과 일치하는 연결을 거부합니다.goto_next: 계층 구조의 다음 수준(폴더 또는 네트워크)으로 연결 평가를 전달합니다.
PORT: 리소스에 액세스할 포트 번호
보안 태그 바인딩
네트워크 방화벽 정책과 계층식 방화벽 정책 모두에서 보안 태그 바인딩이 작동하는 방식을 알아보려면 보안 태그 바인딩을 참고하세요.
시작하기 전에
태그 관리자 역할(
roles/resourcemanager.tagAdmin)이 있는지 확인합니다. 태그 관리자는 보안 태그를 개별 VM 인스턴스에 바인딩할 수 있습니다.태그 관리자 역할(
roles/resourcemanager.tagAdmin)이 없는 경우 조직 관리자에게 태그 사용자 역할(roles/resourcemanager.tagUser)을 부여해 달라고 요청할 수 있습니다. 자세한 내용은 보안 태그에 권한 부여를 참고하세요.태그가 바인딩된 리소스에 태그 사용자 역할 (
roles/resourcemanager.tagUser)이 있는지 확인합니다. 태그가 바인드될 리소스에 태그 사용자 역할 (roles/resourcemanager.tagUser)을 부여하는 방법에 대한 자세한 내용은 태그 보안을 위한 권한 부여를 참고하세요.보안 태그 키와 값 및 보안 태그가 있는 방화벽 정책 규칙을 만들었는지 확인합니다.
VM 인스턴스를 만들었는지 확인합니다. 자세한 내용은 Compute Engine 인스턴스 만들기 및 시작을 참고하세요.
VM 인스턴스에 보안 태그 바인딩
기존 태그를 특정 리소스에 연결할 수 있습니다. 리소스가 생성된 후 다음 안내에 따라 해당 리소스에 태그를 연결합니다.
콘솔
보안 태그를 VM 인스턴스에 바인딩하려면 다음을 실행하세요.
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
프로젝트를 선택하고 계속을 클릭합니다.
이름 열에서 태그를 추가할 VM의 이름을 클릭합니다.
VM 인스턴스 세부정보 페이지에서 다음 단계를 완료합니다.
- 수정을 클릭합니다.
- 기본 정보 섹션에서 태그 관리를 클릭하고 인스턴스에 원하는 태그를 추가합니다.
- 저장을 클릭합니다.
gcloud
이러한 플래그를 사용하는 방법에 대한 자세한 내용은 Resource Manager 문서의 리소스에 태그 연결을 참고하세요.
예를 들어 다음 명령어는 VM에 태그를 연결합니다.
gcloud resource-manager tags bindings create \
--location LOCATION_NAME \
--tag-value=tagValues/TAGVALUE_ID \
--parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID
다음을 바꿉니다.
LOCATION_NAME: 대상 리소스가 포함된 리전입니다. 이 예에서는 VM 인스턴스의 리전입니다.TAGVALUE_ID: 태그 값의 숫자 IDPROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 IDZONE: 대상 리소스가 포함된 영역입니다. 이 예에서는 VM 인스턴스의 영역입니다.VM_ID: VM 인스턴스 ID
REST
리소스에 태그를 연결하려면 먼저 태그 값의 영구 ID 또는 네임스페이스 이름과 리소스의 영구 ID가 포함된 태그 바인딩의 JSON 표현을 만들어야 합니다. 태그 바인딩의 형식에 대한 자세한 내용은 tagBindings 참조를 확인하세요.
VM 인스턴스와 같은 영역별 리소스에 태그를 연결하려면 리소스가 있는 리전 엔드포인트가 지정된 tagBindings.create 메서드를 사용합니다. 예를 들면 다음과 같습니다.
POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
요청 본문은 다음 두 옵션 중 하나일 수 있습니다.
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValue": "tagValue/TAGVALUE_ID"
}
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}다음을 바꿉니다.
LOCATION_NAME: 대상 리소스가 포함된 리전입니다. 이 예에서는 VM 인스턴스의 리전입니다.PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 IDZONE: 대상 리소스가 포함된 영역입니다. 이 예에서는 VM 인스턴스의 영역입니다.VM_ID: VM 인스턴스 IDTAGVALUE_ID: 연결된 태그 값의 영구 ID(예:4567890123)TAGVALUE_NAMESPACED_NAME: 연결된 태그 값의 네임스페이스 이름이며,parentNamespace/tagKeyShortName/tagValueShortName형식입니다.
VM 생성 중 VM 인스턴스에 보안 태그 추가
특정 시나리오에서는 리소스를 만든 후가 아닌 리소스를 생성하는 동안 리소스에 태그를 지정해야 할 수 있습니다.
콘솔
리소스 유형에 따라 정확한 단계가 달라질 수 있습니다. VM에는 다음 단계가 적용됩니다.
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
프로젝트를 선택하고 계속을 클릭합니다.
인스턴스 만들기를 클릭합니다. 인스턴스 만들기 페이지가 표시되고 머신 구성 창이 표시됩니다.
탐색 메뉴에서 고급을 클릭합니다. 고급 창이 표시되면 다음을 수행합니다.
- 태그 및 라벨 관리 섹션을 펼칩니다.
- 태그 추가를 클릭합니다.
- 열리는 태그 창에서 안내에 따라 인스턴스에 태그를 추가합니다.
- 저장을 클릭합니다.
인스턴스의 다른 구성 옵션을 지정합니다. 자세한 내용은 인스턴스 생성 중 구성 옵션을 참조하세요.
만들기를 클릭하여 VM을 만들고 시작합니다.
gcloud
리소스 생성 중에 리소스에 태그를 연결하려면 해당 create 명령어와 함께 --resource-manager-tags 플래그를 추가합니다. 예를 들어 VM에 태그를 연결하려면 다음 명령어를 사용합니다.
gcloud compute instances create INSTANCE_NAME \
--zone=ZONE \
--resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID다음을 바꿉니다.
INSTANCE_NAME: VM 인스턴스의 이름ZONE: VM 인스턴스를 포함하는 영역TAGKEY_ID: 태그 키 번호 숫자 IDTAGVALUE_ID: 연결된 태그 값의 영구 숫자 ID(예:4567890123)
태그를 쉼표로 구분하여 여러 태그를 지정합니다(예: TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2).
REST
다음 URL로 POST 요청을 수행합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
다음 요청 JSON 본문을 포함합니다.
{
"name": INSTANCE_NAME,
"params": {
"resourceManagerTags": {
"tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
},
}
// other fields omitted
}다음을 바꿉니다.
INSTANCE_NAME: VM 인스턴스의 이름TAGKEY_ID: 태그 키 번호 숫자 IDTAGVALUE_ID: 연결된 태그 값의 영구 숫자 ID(예:4567890123)
피어링된 네트워크에서 보안 태그 사용
VPC 네트워크 피어링에서 보안 태그를 사용할 수 있습니다. 연결된 네트워크가 server 및 client이라고 가정합니다. 연결된 두Google Cloud 네트워크에서 보안 태그를 사용하려면 지정된 순서에 따라 다음 작업을 완료하세요.
사용자에게 태그 관리자 역할 (
roles/resourcemanager.tagAdmin)을 할당합니다. 조직 관리자는 조직 수준에서 사용자에게 태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 부여하고 프로젝트 소유자는 프로젝트 수준에서 태그 관리자 역할 (roles/resourcemanager.tagAdmin)을 부여할 수 있습니다. 자세한 내용은 태그 보안을 위한 권한 부여를 참고하세요.server네트워크에서 보안 태그 키와 값을 만듭니다. 보안 태그 키와 값을 만드는 방법은 보안 태그 키와 값 만들기를 참고하세요.이전 단계에서 만든 보안 태그에서 인그레스 트래픽을 허용하도록
server네트워크에 방화벽 정책 규칙을 만듭니다. 자세한 내용은 보안 태그를 사용하여 방화벽 정책 규칙 만들기를 참고하세요.두 VPC 네트워크에서 태그를 보호할 수 있도록
client사용자에게 필요한 권한을 부여합니다. 자세한 내용은 태그 보안을 위한 권한 부여를 참고하세요.client네트워크에서 보안 태그를 VM 인스턴스에 바인딩합니다. 자세한 내용은 보안 태그 바인딩을 참고하세요. 이제clientVM이serverVM에 연결을 엽니다.트래픽이 바인딩된 보안 태그에서 발생하므로 서버의 방화벽 정책 규칙은 트래픽을 허용합니다. 이 규칙은 이그레스 트래픽이 기본적으로 허용되므로 응답 패킷도 허용합니다.