Questa pagina è stata tradotta dall'API Cloud Translation.

Tag per firewall

I tag consentono di definire origini e destinazioni nei criteri firewall di rete globali e firewall di rete a livello di regione criteri.

I tag sono diversi dai tag di rete. I tag di rete sono stringhe semplici, non chiavi e valori, e non offrono tipo di controllo dell'accesso. Per ulteriori informazioni sulle differenze tra tag e i tag di rete e i prodotti che li supportano, consulta Confronto tra tag e tag di rete.

Specifiche

I tag hanno le seguenti specifiche:

Risorsa principale: i tag sono risorse create all'interno di una organizzazione o di progetto. Quando crei un Tag da usare in un criterio firewall di rete, scegli quale Rete Virtual Private Cloud (VPC) per associare il tag.
- Le reti VPC devono appartenere a un progetto all'interno di un dell'organizzazione. Se non hai un'organizzazione, consulta guida alle operazioni preliminari per le organizzazioni.
Struttura e formato: i tag sono risorse che contengono due componenti: un e uno o più valori.
- Puoi creare un massimo di 1000 chiavi tag in un'organizzazione o in un progetto.
- Ogni chiave tag può avere un massimo di 1000 valori tag.
Controllo dell'accesso: i criteri di Identity and Access Management (IAM) determinano quali Le entità IAM possono creare e utilizzare tag. IAM Le entità con il ruolo Amministratore tag possono creare definizioni di tag. Oltre ad altre autorizzazioni IAM necessarie, la concessione a un'entità di Tag User consente all'utente di utilizzare il tag durante la creazione delle VM e l'applicazione della rete regole firewall che usano il tag. La concessione del ruolo Utente tag consente di delegare l'assegnazione dei criteri firewall di rete per le VM all'applicazione sviluppatori, amministratori di database o team operativi. Per ulteriori informazioni informazioni sulle autorizzazioni richieste, consulta Ruoli IAM.
Associazione alle VM:ogni tag può essere collegato a un numero illimitato di di istanze VM di Compute Engine. Puoi collegare un massimo di 10 tag per interfaccia di rete (NIC) di una VM. Ad esempio:
- Se una VM ha un singolo NIC, puoi collegare fino a 10 tag. Ogni tag deve essere associati alla stessa rete VPC utilizzata un singolo NIC.
- Se una VM ha due NIC, puoi collegare fino a 10 tag associati Rete VPC utilizzata da nic0 e fino a 10 tag associati con la rete VPC utilizzata da nic1.
Supporto firewall:solo criteri firewall di rete, inclusi quelli a livello di regione firewall, supportano i tag. Nessuno dei criteri firewall gerarchici e le regole firewall VPC supportano i tag.
- Le regole firewall VPC supportano i tag di rete. Per maggiori dettagli, consulta la sezione Confronto tra tag e tag di rete.
Supporto del peering di rete VPC:regole in entrata in un firewall di rete il criterio può identificare le origini sia nella stessa rete VPC reti VPC in peering.
- Fornitori di servizi che pubblicano servizi utilizzando servizi privati di accesso consentono ai clienti di controllare a quali delle loro istanze VM è consentito accedere a un servizio o il provider di servizi di terze parti.
Tag, destinazioni e origini: i tag utilizzano l'interfaccia di rete della VM come identità del mittente o destinatario:
- Per le regole in entrata e in uscita nei criteri firewall di rete, puoi utilizzare il --target-secure-tags per specificare le istanze VM a cui si applica la regola. Per le regole in entrata, il target definisce la destinazione; per le regole in uscita, il target definisce l'origine.
- Per le regole in entrata nei criteri firewall di rete, puoi utilizzare i tag per specifica le fonti con --src-secure-tags predefinito.
- Per ulteriori dettagli, consulta la sezione Traduzione di tag in IP indirizzi IP.

Esempio

Per rappresentare le diverse funzioni delle istanze VM in una rete, viene utilizzato un amministratore può creare un tag con una chiave vm-function e un elenco di possibili come database, app-client e app-server. Tag l'amministratore può scegliere qualsiasi nome per la chiave tag e per i relativi valori.

Per ulteriori dettagli sulla creazione e l'utilizzo dei tag, consulta Creazione e gestione dei tag .

Confronto tra tag e tag di rete

La tabella seguente riassume le differenze tra tag e tag di rete.

Attributo	Tag	Tag di rete
Risorsa padre	Organizzazione o progetto	Progetto
Struttura e formato	Chiave con un massimo di 1000 valori	Stringa semplice
Controllo degli accessi	Utilizzo di IAM	Nessun controllo dell'accesso
Associazione istanze	Per interfaccia di rete (singola rete VPC)	Tutte le interfacce di rete
Supportato da criteri firewall gerarchici
Supportata dai criteri firewall di rete
Supportata dalle regole firewall VPC
Peering di rete VPC	Se utilizzato per specificare un'origine per una regola in entrata in una rete criterio firewall, un tag può identificare le origini sia la rete VPC a cui è limitato l'ambito del tag, a qualsiasi rete VPC peer connessa Rete VPC a cui è limitato l'ambito del tag. Quando viene utilizzato per specificare una destinazione per una regola in entrata o in uscita in una criterio firewall di rete, un tag può identificare i target nella rete VPC a cui il tag con ambito.	Se utilizzato per specificare un'origine per un VPC in entrata una regola firewall, un tag di rete identifica solo le origini all'interno Rete VPC specificata nel VPC una regola firewall. Quando utilizzato per specificare una destinazione per un traffico in entrata o in uscita regola firewall VPC, un tag di rete identifica solo i target all'interno della rete VPC specificata regola firewall VPC.

Traduzione di tag sicuri in indirizzi IP

Per i tag sicuri nei parametri target:

Per le regole in entrata, consulta Destinazioni e indirizzi IP per il traffico in entrata .
Per le regole in uscita, consulta Destinazioni e indirizzi IP per il traffico in uscita .

Per i tag nei parametri di origine delle regole in entrata, consulta Modalità di protezione dell'origine i tag implicano l'origine dei pacchetti.

Ruoli IAM

Per creare e gestire chiavi tag e valori tag, devi disporre del ruolo Amministratore tag o di un ruolo personalizzato con autorizzazioni equivalenti. Per ulteriori informazioni, vedi Amministrazione .

Per gestire i tag su una VM, sono necessari entrambi:

Autorizzazioni per utilizzare il tag specifico
Autorizzazioni per gestire il tag su una VM specifica

Attività	Autorizzazione	Ruolo
Utilizza un Tag	Le seguenti autorizzazioni per lo specifico tag: resourcemanager.tagValueBindings.create resourcemanager.tagValueBindings.delete	Concedi il ruolo Utente tag per il tag specifico.
Gestire un tag su una VM	Le seguenti autorizzazioni per la VM specifica: compute.instances.createTagBinding compute.instances.deleteTagBinding	Concedi uno dei seguenti ruoli sulla VM specifica. Molti ruoli includono le autorizzazioni richieste, tra cui: Utente tag Amministratore istanze Compute (v1) Amministratore Compute

Attività

Autorizzazione

Ruolo

Utilizza un Tag

Le seguenti autorizzazioni per lo specifico tag:

resourcemanager.tagValueBindings.create

resourcemanager.tagValueBindings.delete

Concedi il ruolo Utente tag per il tag specifico.

Gestire un tag su una VM

Le seguenti autorizzazioni per la VM specifica:

compute.instances.createTagBinding

compute.instances.deleteTagBinding

Concedi uno dei seguenti ruoli sulla VM specifica.

Molti ruoli includono le autorizzazioni richieste, tra cui:

Utente tag

Amministratore istanze Compute (v1)

Amministratore Compute

Per ulteriori informazioni sulle autorizzazioni relative ai tag, consulta Gestione dei tag su Google Cloud. Per saperne di più su quali ruoli includono autorizzazioni IAM specifiche, consulta Autorizzazioni IAM riferimento.

Passaggi successivi

Per concedere le autorizzazioni ai tag e creare chiavi e valori dei tag, consulta Utilizza i tag per i firewall.