Este documento explica como criar e gerir etiquetas seguras para políticas de firewall. Antes de usar etiquetas seguras em políticas de firewall ou associá-las a recursos, tem de as criar.
Este documento aborda os seguintes tópicos:
- Conceder as autorizações adequadas para gerir e usar etiquetas
- Criar chaves e valores de etiquetas
- Criar políticas e regras de firewall que usam etiquetas seguras
- Associar etiquetas seguras a instâncias de máquinas virtuais (VMs)
- Usar etiquetas seguras em redes com peering
Para mais informações sobre as etiquetas seguras e o respetivo funcionamento, consulte o artigo Etiquetas seguras para firewalls.
Conceda autorizações para proteger etiquetas
Um administrador da organização pode conceder funções ao nível da organização e um proprietário do projeto pode conceder funções ao nível do projeto.
Conceda a função de administrador da etiqueta
A função de administrador da etiqueta (roles/resourcemanager.tagAdmin) permite-lhe criar, atualizar e eliminar etiquetas seguras.
Consola
Para conceder a função de administrador da etiqueta (roles/resourcemanager.tagAdmin)
ao utilizador, faça o seguinte:
Na Google Cloud consola, aceda à página IAM.
Na lista do seletor de projetos, selecione a organização ou o projeto ao qual quer conceder a função.
Clique em Conceder acesso.
No campo Novos membros, introduza o endereço de email do utilizador. Por exemplo,
my-user@example.com.Na lista Selecionar uma função, introduza Etiqueta no campo Filtro e, de seguida, selecione Administrador de etiquetas.
Clique em Guardar.
gcloud
Para conceder a função de administrador de etiquetas (roles/resourcemanager.tagAdmin) a um principal da IAM na política de IAM de uma organização, use o comando gcloud organizations add-iam-policy-binding:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member=user:EMAIL_ADDRESS \
--role=roles/resourcemanager.tagAdmin
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organizaçãoEMAIL_ADDRESS: o endereço de email do utilizador
Conceda a função de utilizador da etiqueta
A função de utilizador da etiqueta (roles/resourcemanager.tagUser) permite-lhe aceder à lista de etiquetas seguras e gerir as respetivas associações com os recursos.
Consola
Para conceder a função de utilizador da etiqueta (roles/resourcemanager.tagUser) ao utilizador,
faça o seguinte:
Na Google Cloud consola, aceda à página IAM.
Na lista do seletor de projetos, selecione a organização ou o projeto ao qual quer conceder a função.
Clique em Conceder acesso.
No campo Novos membros, introduza o endereço de email do utilizador. Por exemplo,
my-user@example.com.Na lista Selecionar uma função, introduza Etiqueta no campo Filtro e, de seguida, selecione Utilizador de etiquetas.
Opcional: adicione uma condição à função.
Clique em Guardar.
gcloud
Para conceder a função de utilizador da etiqueta (
roles/resourcemanager.tagUser) ao utilizador para uma etiqueta específica, use o comandogcloud resource-manager tags keys add-iam-policy-binding:gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSubstitua o seguinte:
ORGANIZATION_ID: o ID da sua organizaçãoTAG_KEY: a chave da etiqueta seguraEMAIL_ADDRESS: o endereço de email do utilizador
Para conceder a função de utilizador da etiqueta (
roles/resourcemanager.tagUser) a um principal do IAM para que possa usar todos os valores das etiquetas de cada chave de etiqueta na organização, use o comandogcloud organizations add-iam-policy-binding:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSubstitua o seguinte:
ORGANIZATION_ID: o ID da sua organizaçãoEMAIL_ADDRESS: o endereço de email do utilizador
Para conceder a função de utilizador de etiquetas (
roles/resourcemanager.tagUser) a um principal do IAM para que possa usar um valor de etiqueta específico de uma chave de etiqueta cujo elemento principal seja a organização, use o comandogcloud resource-manager tags values add-iam-policy-binding:gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSubstitua o seguinte:
ORGANIZATION_ID: o ID da sua organizaçãoTAG_KEY: a chave da etiqueta seguraTAG_VALUE: o valor da etiqueta seguraEMAIL_ADDRESS: o endereço de email do utilizador
Para conceder a função de utilizador de etiquetas (
roles/resourcemanager.tagUser) a um principal do IAM para que possa usar todos os valores de etiquetas de cada chave de etiqueta num projeto, use o comandogcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSubstitua o seguinte:
PROJECT_NAME: nome do seu projetoEMAIL_ADDRESS: o endereço de email do utilizador
Funções personalizadas para gerir etiquetas seguras
A função de administrador da etiqueta (roles/resourcemanager.tagAdmin) permite-lhe criar, atualizar e eliminar etiquetas seguras.
Se precisar de algumas destas capacidades, pode criar uma função de gestão de identidade e acesso (IAM) personalizada com as autorizações relevantes e, em seguida, conceder a nova função ao utilizador de destino. Para ver a lista de autorizações relevantes,
consulte o artigo Funções de IAM.
As etiquetas seguras usadas nas políticas de firewall têm de ser designadas com uma GCE_FIREWALLfinalidade. Embora a finalidade GCE_FIREWALL seja necessária para que a etiqueta segura seja usada em funcionalidades de rede, pode usar a etiqueta segura para outras ações.
Crie as chaves e os valores das etiquetas seguras
Antes de associar etiquetas seguras a políticas de firewall, tem de criar as chaves e os valores das etiquetas seguras.
Depois de criar a chave da etiqueta, não a pode alterar e tem de ser exclusiva no mesmo espaço de nomes.
Consola
Para criar uma chave e valores de etiqueta seguros, faça o seguinte:
Na Google Cloud consola, aceda à página Etiquetas.
Na lista do seletor de projetos, selecione a organização ou o projeto no qual quer criar uma chave de etiqueta.
Clique em Criar.
No campo Chave da etiqueta, introduza o nome a apresentar da chave da etiqueta. Isto passa a fazer parte do nome do espaço de nomes da sua etiqueta.
Opcional: no campo Descrição da chave da etiqueta, introduza uma descrição da chave da etiqueta.
Em Finalidade da etiqueta, selecione Para utilização com o NGFW da nuvem.
Para criar uma etiqueta segura, faça uma das seguintes ações:
Se os dados de finalidade especificarem uma rede, selecione Restringir âmbito a uma única rede.
Se os dados de finalidade especificarem uma organização, desmarque a opção Restringir âmbito a uma única rede.
No separador Seleção da rede, selecione a organização ou o projeto no qual quer criar uma chave de etiqueta segura.
Na lista Rede, selecione a rede.
Se quiser adicionar valores de etiquetas a esta chave, clique em Adicionar valor para cada valor de etiqueta que quiser criar.
No campo Valor da etiqueta, introduza o nome a apresentar do valor da etiqueta. Isto passa a fazer parte do nome do espaço de nomes da sua etiqueta.
Opcional: no campo Descrição do valor da etiqueta, introduza uma descrição do valor da etiqueta.
Quando terminar de adicionar valores de etiquetas, clique em Criar chave de etiqueta.
gcloud
Depois de receber as autorizações necessárias, crie a chave de etiqueta segura ao nível da organização ou do projeto.
Para criar uma chave de etiqueta segura para uma organização, use o comando
gcloud resource-manager tags keys create:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data organization=autoSubstitua o seguinte:
TAG_KEY: a chave da etiqueta seguraORGANIZATION_ID: o ID da sua organização
Para criar uma chave de etiqueta segura para um projeto principal ou uma organização cujos dados de finalidade identifiquem uma única rede VPC, use o comando
gcloud resource-manager tags keys create:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORKSubstitua o seguinte:
TAG_KEY: a chave da etiqueta seguraORGANIZATION_ID: o ID da sua organizaçãoPROJECT_ID: o ID do seu projetoNETWORK: o nome da sua rede
Para adicionar os valores de etiquetas seguras relevantes às chaves de etiquetas seguras, use o comando
gcloud resource-manager tags values create:gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEYSubstitua o seguinte:
TAG_VALUE: o valor a atribuir à chave da etiqueta seguraORGANIZATION_ID: o ID da sua organizaçãoTAG_KEY: a chave da etiqueta segura
Execute o comando várias vezes para adicionar vários valores. Certifique-se de que cada valor de etiqueta segura adicionado à chave de etiqueta segura é único.
Crie uma política de firewall
Pode usar chaves de etiquetas seguras em políticas de firewall depois de as criar. Pode usar chaves de etiquetas seguras definidas ao nível da organização em políticas de firewall hierárquicas ou políticas de firewall de rede. Só pode usar etiquetas seguras definidas ao nível da rede nas políticas de firewall de rede.
Crie uma política de firewall hierárquica
Pode criar uma política em qualquer recurso (organização ou pasta) da hierarquia da sua organização.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o ID da sua organização ou uma pasta na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza o nome.
Se quiser criar regras para a sua política, clique em Continuar > Criar regra de firewall.
Para ver detalhes, consulte o artigo Crie uma regra de política de firewall hierárquica com etiquetas seguras.
Se quiser associar a política a um recurso, clique em Continuar > Adicionar.
Para ver detalhes, consulte o artigo Associe uma política à organização ou à pasta.
Clique em Continuar > Criar.
gcloud
Para criar uma política de firewall hierárquica, use o comando gcloud compute firewall-policies create:
gcloud compute firewall-policies create \
[--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
--short-name SHORT_NAME
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organizaçãoEspecifique este ID se estiver a criar a política ao nível da organização. Este ID indica apenas onde a política reside. Não associa automaticamente a política ao recurso da organização.
FOLDER_ID: o ID de uma pastaEspecifique este ID se estiver a criar a política numa determinada pasta. Este ID indica apenas onde a política reside. Não associa automaticamente a política a essa pasta.
SHORT_NAME: um nome para a políticaUma política criada através da CLI do Google Cloud tem dois nomes: um nome gerado pelo sistema e um nome abreviado fornecido por si. Quando usa a Google Cloud CLI para atualizar uma política existente, pode fornecer o nome gerado pelo sistema ou o nome abreviado e o ID da organização. Quando usar a API para atualizar a política, tem de indicar o nome gerado pelo sistema.
Crie uma política de firewall de rede global
Depois de criar uma etiqueta segura, pode usá-la nas regras de uma política de firewall de rede global.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o seu projeto na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza o nome.
Para Âmbito de implementação, selecione Global.
Se quiser criar regras para a sua política, clique em Continuar > Criar regra de firewall.
Para ver detalhes, consulte o artigo Crie uma regra de política de firewall de rede com etiquetas seguras.
Se quiser associar a política a uma rede, clique em Continuar > Associar.
Para ver detalhes, consulte o artigo Associe uma política à rede.
Clique em Continuar > Criar.
gcloud
Para criar uma política de firewall de rede, use o comando gcloud compute network-firewall-policies create:
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
Substitua o seguinte:
NETWORK_FIREWALL_POLICY_NAME: um nome para a políticaDESCRIPTION: uma descrição da política
Crie uma regra de política de firewall com etiquetas seguras
Depois de criar uma etiqueta segura e uma política de firewall, pode criar uma regra de política de firewall com os valores de etiqueta de origem específicos e os valores de etiqueta de destino para permitir o tráfego escolhido entre as VMs com as etiquetas de origem e as etiquetas de destino.
Crie uma regra de política de firewall hierárquica com etiquetas seguras
Pode criar uma regra de política de firewall hierárquica com as chaves e os valores de origem e destino específicos apenas se tiver criado uma política de firewall hierárquica. Para mais informações, consulte o artigo Crie uma política de firewall hierárquica.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique no nome da política e, de seguida, clique em Criar regra de firewall.
Introduza a prioridade da regra.
Especifique a direção do trânsito.
Para Ação em caso de correspondência, escolha uma definição.
Para Registos, escolha Ativado ou Desativado.
Em Destino, selecione Etiquetas seguras e, de seguida, clique em Selecionar âmbito das etiquetas.
Na página Selecionar um recurso, selecione a organização ou o projeto no qual quer criar etiquetas seguras.
Introduza os pares de chave-valor aos quais a regra se aplica.
Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.
Na secção Origem, para Etiquetas, clique em Selecionar âmbito das etiquetas.
Na página Selecionar um recurso, selecione a organização ou a pasta que contém as chaves de etiquetas seguras.
Clique em Criar.
gcloud
Para criar uma regra de política de firewall hierárquica, use o comando gcloud compute firewall-policies rules create:
gcloud compute firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT
Substitua o seguinte:
FIREWALL_POLICY_NAME: o nome da política de firewall hierárquicaORGANIZATION_ID: o ID da sua organizaçãoTAG_KEY: a chave da etiqueta seguraTAG_VALUE: o valor a atribuir à chave da etiqueta seguraDIRECTION: indica se a regra é uma regra deingressouegressACTION: uma das seguintes ações:allow: permite ligações que correspondem à regradeny: nega as ligações que correspondem à regragoto_next: passa a avaliação da associação para o nível seguinte na hierarquia, que pode ser uma pasta ou a rede
PORT: o número da porta para aceder ao recurso
Crie uma regra de política de firewall de rede com etiquetas seguras
Pode criar uma regra de política de firewall de rede com os valores de etiqueta de origem específicos e os valores de etiqueta de destino que permitem o tráfego escolhido entre as VMs com as etiquetas de origem e as etiquetas de destino. Para mais informações, consulte o artigo Crie uma política de firewall de rede global.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o seu projeto ou a pasta que contém a sua política.
Clique no nome da política e, de seguida, clique em Criar regra de firewall.
Introduza a prioridade da regra.
Especifique a direção do trânsito.
Para Ação em caso de correspondência, escolha uma definição.
Para Registos, escolha Ativado ou Desativado.
Em Destino, selecione Etiquetas seguras e, de seguida, clique em Selecionar âmbito das etiquetas.
Na página Selecionar um recurso, selecione a organização ou o projeto no qual quer criar etiquetas seguras.
Introduza os pares de chave-valor aos quais a regra se aplica.
Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.
Na secção Origem, para Etiquetas, clique em Selecionar âmbito das etiquetas.
Na página Selecionar um recurso, selecione a organização ou a pasta que contém as chaves de etiquetas seguras.
Clique em Criar.
gcloud
Para criar uma regra de política de firewall de rede, use o comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT \
--global-firewall-policy
Substitua o seguinte:
FIREWALL_POLICY_NAME: o nome da nova política de firewall de rede globalORGANIZATION_ID: o ID da sua organizaçãoTAG_KEY: a chave da etiquetaTAG_VALUE: o valor a atribuir à chave da etiquetaDIRECTION: indica se a regra é uma regraingressouegressACTION: uma das seguintes ações:allow: permite ligações que correspondem à regradeny: nega as ligações que correspondem à regragoto_next: passa a avaliação da associação para o nível seguinte na hierarquia, que pode ser uma pasta ou a rede
PORT: o número da porta para aceder ao recurso
Associe etiquetas seguras
Para compreender como funciona a associação de etiquetas seguras para políticas de firewall de rede e políticas de firewall hierárquicas, consulte o artigo Associe etiquetas seguras.
Antes de começar
Certifique-se de que tem a função de administrador da etiqueta (
roles/resourcemanager.tagAdmin). Como administrador da etiqueta, pode associar as etiquetas seguras a instâncias de VMs individuais.Se não tiver a função de administrador de etiquetas (
roles/resourcemanager.tagAdmin), pode pedir ao administrador da organização que lhe conceda a função de utilizador de etiquetas (roles/resourcemanager.tagUser). Para mais informações, consulte o artigo Conceda autorizações a etiquetas seguras.Certifique-se de que tem a função de utilizador de etiquetas (
roles/resourcemanager.tagUser) nos recursos aos quais as etiquetas estão associadas. Para mais informações sobre como conceder a função de utilizador da etiqueta (roles/resourcemanager.tagUser) nos recursos aos quais as etiquetas vão ser associadas, consulte o artigo Conceda autorizações a etiquetas seguras.Certifique-se de que criou as chaves e os valores de etiquetas seguras e a regra de política de firewall com etiquetas seguras.
Certifique-se de que criou uma instância de VM. Para mais informações, consulte o artigo Crie e inicie uma instância do Compute Engine.
Associe etiquetas seguras a instâncias de VM
Pode anexar etiquetas existentes a determinados recursos. Depois de criar o recurso, anexe etiquetas a esse recurso através das seguintes instruções.
Consola
Para associar as etiquetas seguras a instâncias de VM, faça o seguinte:
Na Google Cloud consola, aceda à página Instâncias de VM.
Selecione o projeto e clique em Continuar.
Na coluna Nome, clique no nome da VM à qual quer adicionar etiquetas.
Na página de detalhes da instância de VM, conclua os seguintes passos:
- Clique em Edit.
- Na secção Informações básicas, clique em Gerir etiquetas e adicione as etiquetas que quer para a instância.
- Clique em Guardar.
gcloud
Para obter informações sobre como usar estas flags, leia o artigo Anexar etiquetas a recursos na documentação do Resource Manager.
Por exemplo, o comando seguinte anexa uma etiqueta a uma VM:
gcloud resource-manager tags bindings create \
--location LOCATION_NAME \
--tag-value=tagValues/TAGVALUE_ID \
--parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID
Substitua o seguinte:
LOCATION_NAME: a região que contém o recurso de destino; neste exemplo, a região da instância de VMTAGVALUE_ID: o ID numérico do valor da etiquetaPROJECT_NUMBER: o ID numérico do seu projeto que contém o recurso de destinoZONE: a zona que contém o recurso de destino; neste exemplo, a zona da instância de VMVM_ID: o ID da instância de VM
REST
Para anexar uma etiqueta a um recurso, primeiro tem de criar uma representação JSON de uma associação de etiquetas que inclua o ID permanente ou o nome do espaço de nomes do valor da etiqueta e o ID permanente do recurso. Para mais informações sobre o formato de uma associação de etiquetas, consulte a referência tagBindings.
Para anexar a etiqueta a um recurso zonal, como uma instância de VM, use o método tagBindings.create com o ponto final regional onde o recurso está localizado. Por exemplo:
POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
O corpo do pedido pode ser uma das duas opções seguintes:
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValue": "tagValue/TAGVALUE_ID"
}
{
"parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
"tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}Substitua o seguinte:
LOCATION_NAME: a região que contém o recurso de destino; neste exemplo, a região da instância de VMPROJECT_NUMBER: o ID numérico do seu projeto que contém o recurso de destinoZONE: a zona que contém o recurso de destino; neste exemplo, a zona da instância de VMVM_ID: o ID da instância de VMTAGVALUE_ID: o ID permanente do valor da etiqueta que está anexado, por exemplo:4567890123TAGVALUE_NAMESPACED_NAME: o nome do espaço de nomes do valor da etiqueta que está anexado e tem o seguinte formato:parentNamespace/tagKeyShortName/tagValueShortName
Adicione etiquetas seguras a uma instância de VM durante a criação da VM
Em determinados cenários, pode querer etiquetar recursos durante a criação de recursos, em vez de o fazer após a criação do recurso.
Consola
Consoante o tipo de recurso, os passos exatos podem variar. Os passos seguintes destinam-se a uma VM:
Na Google Cloud consola, aceda à página Instâncias de VM.
Selecione o projeto e clique em Continuar.
Clique em Criar instância. É apresentada a página Criar uma instância, que mostra o painel Configuração da máquina.
No menu de navegação, clique em Avançadas. No painel Avançadas apresentado, faça o seguinte:
- Expanda a secção Gerir etiquetas.
- Clique em Adicionar etiquetas.
- No painel Etiquetas que é aberto, siga as instruções para adicionar uma etiqueta à instância.
- Clique em Guardar.
Especifique outras opções de configuração para a sua instância. Para mais informações, consulte Opções de configuração durante a criação da instância.
Para criar e iniciar a VM, clique em Criar.
gcloud
Para anexar uma etiqueta a um recurso durante a criação do recurso, adicione a flag --resource-manager-tags com o comando create respetivo. Por exemplo, para anexar uma etiqueta a uma VM, use o seguinte comando:
gcloud compute instances create INSTANCE_NAME \
--zone=ZONE \
--resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_IDSubstitua o seguinte:
INSTANCE_NAME: o nome da sua instância de VMZONE: a zona que contém a instância de VMTAGKEY_ID: o ID numérico do número da chave da etiquetaTAGVALUE_ID: o ID numérico permanente do valor da etiqueta que está anexado, por exemplo:4567890123
Especifique várias etiquetas separando-as com uma vírgula, por exemplo,
TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.
REST
Faça um pedido POST para o seguinte URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
Inclua o seguinte corpo JSON do pedido:
{
"name": INSTANCE_NAME,
"params": {
"resourceManagerTags": {
"tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
},
}
// other fields omitted
}Substitua o seguinte:
INSTANCE_NAME: o nome da sua instância de VMTAGKEY_ID: o ID numérico do número da chave da etiquetaTAGVALUE_ID: o ID numérico permanente do valor da etiqueta que está anexado, por exemplo:4567890123
Use etiquetas seguras em redes com peering
Pode usar etiquetas seguras no intercâmbio da rede de VPC. Suponha que as redes ligadas são server e client. Para usar etiquetas seguras em duas redes
Google Cloud associadas, conclua as seguintes tarefas pela ordem
especificada.
Atribua a função de administrador da etiqueta (
roles/resourcemanager.tagAdmin) ao utilizador. Um administrador da organização concede a função de administrador de etiquetas (roles/resourcemanager.tagAdmin) aos utilizadores ao nível da organização, e um proprietário do projeto pode conceder a função de administrador de etiquetas (roles/resourcemanager.tagAdmin) ao nível do projeto. Para mais informações, consulte o artigo Conceda autorizações a etiquetas seguras.Crie um valor e uma chave de etiqueta seguros na rede
server. Para ver informações sobre como criar chaves e valores de etiquetas seguros, consulte o artigo Crie chaves e valores de etiquetas seguros.Crie uma regra de política de firewall na rede
serverpara permitir o tráfego de entrada a partir da etiqueta segura criada no passo anterior. Para mais informações, consulte o artigo Crie uma regra de política de firewall com etiquetas seguras.Conceda as autorizações necessárias ao utilizador
clientpara proteger as etiquetas em ambas as redes de VPC. Para mais informações, consulte o artigo Conceda autorizações a etiquetas seguras.Na rede
client, associe as etiquetas seguras a uma instância de VM. Para mais informações, consulte o artigo Associe etiquetas seguras. Agora, a VMclientabre ligações à VMserver.A regra da política de firewall do servidor permite o tráfego porque o tráfego vem das etiquetas seguras às quais está associado. A regra também permite o pacote de resposta porque o tráfego de saída é permitido por predefinição.