Questo documento spiega come creare e gestire tag sicuri per i criteri firewall. Prima di utilizzare i tag sicuri nelle policy firewall o di associarli alle risorse, devi crearli.
Questo documento tratta i seguenti argomenti:
- Concedere le autorizzazioni appropriate per gestire e utilizzare i tag
- Creazione di chiavi e valori dei tag
- Creazione di criteri e regole firewall che utilizzano tag sicuri
- Associazione di tag sicuri alle istanze di macchine virtuali (VM)
- Utilizzo di tag sicuri nelle reti in peering
Per saperne di più sui tag sicuri e sul loro funzionamento, consulta Tag sicuri per i firewall.
Concedere le autorizzazioni ai tag protetti
Un amministratore dell'organizzazione può concedere ruoli a livello di organizzazione, mentre un proprietario del progetto può concedere ruoli a livello di progetto.
Concedi il ruolo Amministratore del tag
Il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) consente di creare,
aggiornare ed eliminare i tag sicuri.
Console
Per concedere all'utente il ruolo Amministratore tag (roles/resourcemanager.tagAdmin):
Nella console Google Cloud , vai alla pagina IAM.
Nell'elenco del selettore di progetti, seleziona l'organizzazione o il progetto a cui vuoi assegnare il ruolo.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'utente. Ad esempio,
my-user@example.com.Nell'elenco Seleziona un ruolo, inserisci Tag nel campo Filtro e poi seleziona Amministratore tag.
Fai clic su Salva.
gcloud
Per concedere il ruolo Amministratore tag (roles/resourcemanager.tagAdmin)
a un'entità IAM nella policy IAM di un'organizzazione, utilizza il
comando gcloud organizations add-iam-policy-binding:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member=user:EMAIL_ADDRESS \
--role=roles/resourcemanager.tagAdmin
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneEMAIL_ADDRESS: l'indirizzo email dell'utente
Concedi ruolo Utente tag
Il ruolo Utente tag (roles/resourcemanager.tagUser) consente di accedere all'elenco dei tag sicuri e gestire le relative associazioni con le risorse.
Console
Per concedere all'utente il ruolo Utente tag (roles/resourcemanager.tagUser),
svolgi le seguenti operazioni:
Nella console Google Cloud , vai alla pagina IAM.
Nell'elenco del selettore di progetti, seleziona l'organizzazione o il progetto a cui vuoi assegnare il ruolo.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'utente. Ad esempio,
my-user@example.com.Nell'elenco Seleziona un ruolo, inserisci Tag nel campo Filtro e poi seleziona Utente tag.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva.
gcloud
Per concedere il ruolo Utente con tag (
roles/resourcemanager.tagUser) all'utente per un tag specifico, utilizza il comandogcloud resource-manager tags keys add-iam-policy-binding:gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un principal IAM in modo che possa utilizzare tutti i valori dei tag di ogni chiave tag nell'organizzazione, utilizza il comandogcloud organizations add-iam-policy-binding:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un principal IAM in modo che possa utilizzare un valore di tag specifico di una chiave di tag il cui parent è l'organizzazione, utilizza il comandogcloud resource-manager tags values add-iam-policy-binding:gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraTAG_VALUE: il valore del tag sicuroEMAIL_ADDRESS: l'indirizzo email dell'utente
Per concedere il ruolo Utente tag (
roles/resourcemanager.tagUser) a un principal IAM in modo che possa utilizzare tutti i valori dei tag di ogni chiave tag in un progetto, utilizza il comandogcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_NAME \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUserSostituisci quanto segue:
PROJECT_NAME: il nome del progettoEMAIL_ADDRESS: l'indirizzo email dell'utente
Ruoli personalizzati per gestire i tag protetti
Il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) consente di creare,
aggiornare ed eliminare i tag sicuri.
Se hai bisogno di alcune di queste funzionalità, puoi creare un ruolo
IAM (Identity and Access Management) personalizzato con le autorizzazioni pertinenti e poi concedere
il nuovo ruolo all'utente di destinazione. Per l'elenco delle autorizzazioni pertinenti,
consulta Ruoli IAM.
I tag sicuri utilizzati nelle policy firewall devono essere designati con uno scopo GCE_FIREWALL. Sebbene lo scopo GCE_FIREWALL sia necessario per utilizzare il tag sicuro nelle funzionalità di networking, puoi utilizzare il tag sicuro per altre azioni.
Crea le chiavi e i valori dei tag protetti
Prima di associare i tag sicuri alle policy firewall, devi creare le chiavi e i valori dei tag sicuri.
Una volta creata, la chiave del tag non può essere modificata e deve essere univoca all'interno dello stesso spazio dei nomi.
Console
Per creare una chiave e dei valori di tag sicuri:
Nella console Google Cloud , vai alla pagina Tag.
Nell'elenco di selezione del progetto, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag.
Fai clic su Crea.
Nel campo Chiave tag, inserisci il nome visualizzato della chiave tag. Questo diventa parte del nome dello spazio dei nomi del tag.
(Facoltativo) Nel campo Descrizione chiave tag, inserisci una descrizione della chiave tag.
In Scopo del tag, seleziona Per l'utilizzo con Cloud NGFW.
Per creare un tag sicuro, esegui una delle seguenti operazioni:
Se i dati sullo scopo specificano una rete, seleziona Limita l'ambito a una singola rete.
Se i dati sullo scopo specificano un'organizzazione, deseleziona Limita l'ambito a una singola rete.
Nella scheda Selezione rete, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag sicura.
Nell'elenco Rete, seleziona la rete.
Se vuoi aggiungere valori tag a questa chiave, fai clic su Aggiungi valore per ogni valore tag che vuoi creare.
Nel campo Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome dello spazio dei nomi del tag.
(Facoltativo) Nel campo Descrizione valore tag, inserisci una descrizione del valore tag.
Al termine dell'aggiunta dei valori dei tag, fai clic su Crea chiave tag.
gcloud
Dopo aver ottenuto le autorizzazioni richieste, crea la chiave tag sicura a livello di organizzazione o progetto.
Per creare una chiave tag sicura per un'organizzazione, utilizza il comando
gcloud resource-manager tags keys create:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data organization=autoSostituisci quanto segue:
TAG_KEY: la chiave tag sicuraORGANIZATION_ID: l'ID della tua organizzazione
Per creare una chiave tag sicura per un progetto padre o un'organizzazione i cui dati sullo scopo identificano una singola rete VPC, utilizza il comando
gcloud resource-manager tags keys create:gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORKSostituisci quanto segue:
TAG_KEY: la chiave tag sicuraORGANIZATION_ID: l'ID della tua organizzazionePROJECT_ID: l'ID del progettoNETWORK: il nome della tua rete
Per aggiungere i valori dei tag sicuri pertinenti alle chiavi dei tag sicuri, utilizza il comando
gcloud resource-manager tags values create:gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEYSostituisci quanto segue:
TAG_VALUE: il valore da assegnare alla chiave del tag sicuroORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicura
Esegui il comando più volte per aggiungere più valori. Assicurati che ogni valore del tag sicuro aggiunto alla chiave del tag sicuro sia univoco.
Crea una policy firewall
Puoi utilizzare le chiavi dei tag sicuri nelle policy firewall dopo averle create. Puoi utilizzare le chiavi dei tag sicuri definite a livello di organizzazione nei criteri firewall gerarchici o nei criteri firewall di rete. Puoi utilizzare solo i tag sicuri definiti a livello di rete nelle policy firewall di rete.
Crea una policy firewall gerarchica
Puoi creare una policy in qualsiasi risorsa (organizzazione o cartella) della gerarchia dell'organizzazione.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore dei progetti, seleziona l'ID organizzazione o una cartella all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome policy, inserisci il nome.
Se vuoi creare regole per il criterio, fai clic su Continua > Crea regola firewall.
Per maggiori dettagli, vedi Creare una regola di policy dei firewall gerarchica con tag sicuri.
Se vuoi associare la norma a una risorsa, fai clic su Continua > Aggiungi.
Per maggiori dettagli, vedi Associare un criterio all'organizzazione o alla cartella.
Fai clic su Continua > Crea.
gcloud
Per creare una policy firewall gerarchica, utilizza il
comando gcloud compute firewall-policies create:
gcloud compute firewall-policies create \
[--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
--short-name SHORT_NAME
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazioneSpecifica questo ID se stai creando la policy a livello di organizzazione. Questo ID indica solo dove risiede la policy, ma non la associa automaticamente alla risorsa organizzazione.
FOLDER_ID: l'ID di una cartellaSpecifica questo ID se stai creando la policy in una determinata cartella. Questo ID indica solo la posizione in cui risiede il criterio; non associa automaticamente il criterio a quella cartella.
SHORT_NAME: un nome per la policyUna policy creata utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzi Google Cloud CLI per aggiornare una policy esistente, puoi fornire il nome generato dal sistema o il nome breve e l'ID organizzazione. Quando utilizzi l'API per aggiornare la policy, devi fornire il nome generato dal sistema.
Crea una policy del firewall di rete globale
Dopo aver creato un tag sicuro, puoi utilizzarlo nelle regole di una policy del firewall di rete globale.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome policy, inserisci il nome.
In Ambito di deployment, seleziona Globale.
Se vuoi creare regole per il criterio, fai clic su Continua > Crea regola firewall.
Per maggiori dettagli, vedi Creare una regola del criterio firewall di rete con tag sicuri.
Se vuoi associare le norme a un'emittente, fai clic su Continua > Associa.
Per maggiori dettagli, vedi Associare una policy alla rete.
Fai clic su Continua > Crea.
gcloud
Per creare una policy firewall di rete, utilizza il
comando gcloud compute network-firewall-policies create:
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
Sostituisci quanto segue:
NETWORK_FIREWALL_POLICY_NAME: un nome per la policyDESCRIPTION: una descrizione della policy
Crea una regola della policy firewall con tag sicuri
Dopo aver creato un tag sicuro e un criterio firewall, puoi creare una regola del criterio firewall con i valori specifici dei tag di origine e di destinazione per consentire il traffico scelto tra le VM con i tag di origine e di destinazione.
Crea una regola della policy firewall gerarchica con tag sicuri
Puoi creare una regola del criterio firewall gerarchico con le chiavi e i valori di origine e di destinazione specifici solo se hai creato un criterio firewall gerarchico. Per saperne di più, consulta Crea una policy firewall gerarchica.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.
Fai clic sul nome della policy e poi su Crea regola firewall.
Inserisci la priorità della regola.
Specifica la direzione del traffico.
Per Azione in caso di corrispondenza, scegli un'impostazione.
Per Log, scegli On o Off.
Per Target, seleziona Tag sicuri, quindi fai clic su Seleziona ambito per i tag.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o il progetto in cui vuoi creare tag sicuri.
Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
Nella sezione Origine, per Tag, fai clic su Seleziona ambito per i tag.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o la cartella che contiene le chiavi dei tag sicuri.
Fai clic su Crea.
gcloud
Per creare una regola dei criteri firewall gerarchici, utilizza il
comando gcloud compute firewall-policies rules create:
gcloud compute firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT
Sostituisci quanto segue:
FIREWALL_POLICY_NAME: il nome della policy firewall gerarchicaORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tag sicuraTAG_VALUE: il valore da assegnare alla chiave del tag sicuroDIRECTION: indica se la regola è una regolaingressoegressACTION: una delle seguenti azioni:allow: consente le connessioni che corrispondono alla regoladeny: nega le connessioni che corrispondono alla regolagoto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
PORT: il numero di porta per accedere alla risorsa
Crea una regola della policy firewall di rete con tag sicuri
Puoi creare una regola del criterio firewall di rete con i valori dei tag di origine specifici e i valori dei tag di destinazione che consentono il traffico scelto tra le VM con i tag di origine e i tag di destinazione. Per saperne di più, consulta Crea una policy del firewall di rete globale.
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nell'elenco del selettore di progetti, seleziona il tuo progetto o la cartella che contiene la policy.
Fai clic sul nome della policy e poi su Crea regola firewall.
Inserisci la priorità della regola.
Specifica la direzione del traffico.
Per Azione in caso di corrispondenza, scegli un'impostazione.
Per Log, scegli On o Off.
Per Target, seleziona Tag sicuri, quindi fai clic su Seleziona ambito per i tag.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o il progetto in cui vuoi creare tag sicuri.
Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
Nella sezione Origine, per Tag, fai clic su Seleziona ambito per i tag.
Nella pagina Seleziona una risorsa, seleziona l'organizzazione o la cartella che contiene le chiavi dei tag sicuri.
Fai clic su Crea.
gcloud
Per creare una regola della policy firewall di rete, utilizza il
comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create \
--firewall-policy FIREWALL_POLICY_NAME \
--src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
--direction DIRECTION \
--action ACTION \
--layer4-configs tcp:PORT \
--global-firewall-policy
Sostituisci quanto segue:
FIREWALL_POLICY_NAME: il nome della nuova policy firewall di rete globaleORGANIZATION_ID: l'ID della tua organizzazioneTAG_KEY: la chiave tagTAG_VALUE: il valore da assegnare alla chiave tagDIRECTION: indica se la regola è una regolaingressoegressACTION: una delle seguenti azioni:allow: consente le connessioni che corrispondono alla regoladeny: nega le connessioni che corrispondono alla regolagoto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
PORT: il numero di porta per accedere alla risorsa
Associa tag protetti
Per capire come funziona l'associazione sicura dei tag sia per i criteri firewall di rete sia per i criteri firewall gerarchici, consulta Associare tag sicuri.
Prima di iniziare
Assicurati di disporre del ruolo Amministratore tag (
roles/resourcemanager.tagAdmin). In qualità di amministratore tag, puoi associare i tag sicuri alle singole istanze VM.Se non disponi del ruolo Amministratore tag (
roles/resourcemanager.tagAdmin), puoi chiedere all'amministratore dell'organizzazione di concederti il ruolo Utente tag (roles/resourcemanager.tagUser). Per saperne di più, consulta Concedere autorizzazioni per proteggere i tag.Assicurati di disporre del ruolo Utente con tag (
roles/resourcemanager.tagUser) nelle risorse a cui sono associati i tag. Per saperne di più su come concedere il ruolo Utente tag (roles/resourcemanager.tagUser) sulle risorse a cui devono essere associati i tag, consulta Concedere autorizzazioni per proteggere i tag.Assicurati di aver creato le chiavi e i valori dei tag sicuri e la regola della policy firewall con tag sicuri.
Assicurati di aver creato un'istanza VM. Per saperne di più, consulta Crea e avvia un'istanza Compute Engine.
Associa tag sicuri alle istanze VM
Puoi collegare tag esistenti a determinate risorse. Dopo aver creato la risorsa, collega i tag alla risorsa seguendo le istruzioni riportate di seguito.
Console
Per associare i tag sicuri alle istanze VM:
Nella console Google Cloud , vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Nella colonna Nome, fai clic sul nome della VM per cui vuoi aggiungere i tag.
Nella pagina dei dettagli dell'istanza VM, completa i seguenti passaggi:
- Fai clic su Modifica.
- Nella sezione Informazioni di base, fai clic su Gestisci tag e aggiungi i tag che preferisci per l'istanza.
- Fai clic su Salva.
gcloud
Per informazioni su come utilizzare questi flag, leggi Collegare tag alle risorse nella documentazione di Resource Manager.
Ad esempio, il seguente comando associa un tag a una VM:
gcloud resource-manager tags bindings create \
--location=LOCATION_NAME \
--tag-value=tagValues/TAGVALUE_ID \
--parent=FULL_RESOURCE_NAME
Sostituisci quanto segue:
LOCATION_NAME: la zona in cui si trova l'istanza. Per una risorsa globale, ometti il flag--location.TAGVALUE_ID: l'ID numerico del valore tagFULL_RESOURCE_NAME: il nome completo della risorsa della risorsa di destinazione; in questo esempio, il nome completo della risorsa dell'istanza VM://compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID
Sostituisci quanto segue:
PROJECT_NUMBER: l'ID numerico del progetto che contiene la risorsa di destinazioneZONE: la zona contenente l'istanzaINSTANCE_ID: l'ID istanza VM
REST
Per associare un tag a una risorsa, devi prima creare una rappresentazione JSON di un'associazione di tag che includa l'ID permanente o il nome dello spazio dei nomi del valore del tag e l'ID permanente della risorsa. Per ulteriori informazioni sul formato di un'associazione di tag, consulta la documentazione di riferimento di tagBindings.
Per collegare il tag a una risorsa di zona, ad esempio un'istanza VM, utilizza
il metodo tagBindings.create con l'endpoint di regione in cui
si trova la risorsa. Ad esempio:
POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
Il corpo della richiesta può essere una delle seguenti due opzioni:
{
"parent": "FULL_RESOURCE_NAME",
"tagValue": "tagValue/TAGVALUE_ID"
}
{
"parent": "FULL_RESOURCE_NAME",
"tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}Sostituisci quanto segue:
LOCATION_NAME: la posizione della risorsa a livello di zona o regione. Per un'istanza VM, specifica la zona. Per una risorsa globale, ometti il parametroLOCATION_NAME-FULL_RESOURCE_NAME: il nome completo della risorsa della risorsa di destinazione; in questo esempio, il nome completo della risorsa dell'istanza VM://compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID
Sostituisci quanto segue:
PROJECT_NUMBER: l'ID numerico del progetto che contiene la risorsa di destinazioneZONE: la zona contenente l'istanzaINSTANCE_ID: l'ID istanza VM
TAGVALUE_ID: l'ID permanente del valore del tag allegato, ad esempio:4567890123TAGVALUE_NAMESPACED_NAME: il nome dello spazio dei nomi del valore tag collegato e ha il formato:parentNamespace/tagKeyShortName/tagValueShortName
Aggiungi tag sicuri a un'istanza VM durante la creazione della VM
In alcuni scenari, potresti voler taggare le risorse durante la loro creazione, piuttosto che dopo.
Console
A seconda del tipo di risorsa, i passaggi esatti potrebbero variare. I passaggi riportati di seguito si riferiscono a una VM:
Nella console Google Cloud , vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Fai clic su Crea istanza. Viene visualizzata la pagina Crea un'istanza, che mostra il riquadro Configurazione macchina.
Nel menu di navigazione, fai clic su Avanzate. Nel riquadro Avanzate visualizzato, segui questi passaggi:
- Espandi la sezione Gestisci tag ed etichette.
- Fai clic su Aggiungi tag.
- Nel riquadro Tag visualizzato, segui le istruzioni per aggiungere un tag all'istanza.
- Fai clic su Salva.
Specifica altre opzioni di configurazione per l'istanza. Per ulteriori informazioni, consulta Opzioni di configurazione durante la creazione dell'istanza.
Per creare e avviare la VM, fai clic su Crea.
gcloud
Per collegare un tag a una risorsa durante la creazione, aggiungi il
--resource-manager-tags flag con il rispettivo comando create. Ad esempio,
per collegare un tag a una VM, utilizza il seguente comando:
gcloud compute instances create INSTANCE_NAME \
--zone=ZONE \
--resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_IDSostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza VMZONE: la zona che contiene l'istanza VMTAGKEY_ID: l'ID numerico del numero della chiave del tagTAGVALUE_ID: l'ID numerico permanente del valore del tag allegato, ad esempio:4567890123
Specifica più tag separandoli con una virgola, ad esempio
TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.
REST
Invia una richiesta POST al seguente URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
Includi il seguente corpo JSON della richiesta:
{
"name": INSTANCE_NAME,
"params": {
"resourceManagerTags": {
"tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
},
}
// other fields omitted
}Sostituisci quanto segue:
INSTANCE_NAME: il nome dell'istanza VMTAGKEY_ID: l'ID numerico del numero della chiave del tagTAGVALUE_ID: l'ID numerico permanente del valore del tag allegato, ad esempio:4567890123
Utilizzare tag sicuri nelle reti in peering
Puoi utilizzare tag sicuri nel peering di rete VPC. Supponi che le reti
connesse siano server e client. Per utilizzare i tag sicuri in due retiGoogle Cloud connesse, completa le seguenti attività nell'ordine specificato.
Assegna all'utente il ruolo Amministratore del tag (
roles/resourcemanager.tagAdmin). Un amministratore dell'organizzazione concede il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) agli utenti a livello di organizzazione, mentre un proprietario del progetto può concedere il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) a livello di progetto. Per maggiori informazioni, vedi Concedere autorizzazioni ai tag sicuri.Crea una chiave e un valore di tag sicuri nella rete
server. Per informazioni su come creare chiavi e valori dei tag sicuri, vedi Creare chiavi e valori dei tag sicuri.Crea una regola della policy firewall nella rete
serverper consentire il traffico in entrata dal tag sicuro creato nel passaggio precedente. Per saperne di più, consulta Creare una regola di policy firewall con tag sicuri.Concedi le autorizzazioni richieste all'utente
clientper proteggere i tag in entrambe le reti VPC. Per maggiori informazioni, vedi Concedere autorizzazioni ai tag sicuri.Nella rete
client, associa i tag sicuri a un'istanza VM. Per saperne di più, consulta Associare tag sicuri. Ora la VMclientapre le connessioni alla VMserver.La regola dei criteri firewall del server consente il traffico perché proviene dai tag sicuri a cui è associato. La regola consente anche il pacchetto di risposta perché il traffico in uscita è consentito per impostazione predefinita.