Puedes adjuntar etiquetas a los siguientes recursos de Cloud Armor:
- Servicio de seguridad de Network Edge
- Política de Seguridad Global
- Política de seguridad regional
Acerca de las etiquetas
Una etiqueta es un par clave-valor que se puede adjuntar a un recurso de Trusted Cloud by S3NS. Puede usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes asignar roles de Gestión de Identidades y Accesos (IAM) de forma condicional en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulte el artículo Descripción general de las etiquetas.
Las etiquetas se adjuntan a los recursos creando un recurso de vinculación de etiquetas que vincula el valor al recurso. Trusted Cloud by S3NS
Permisos obligatorios
Los permisos que necesitas dependen de la acción que quieras realizar.
Para obtener estos permisos, pide a tu administrador que te asigne el rol sugerido en el nivel adecuado de la jerarquía de recursos.
Ver etiquetas
Para ver las definiciones de etiquetas y las etiquetas que están asociadas a recursos, necesitas el rol Lector de etiquetas (roles/resourcemanager.tagViewer) u otro rol que incluya los siguientes permisos:
Permisos obligatorios
resourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.tagValues.listresourcemanager.tagValues.getlistTagBindingsdel tipo de recurso correspondiente. Por ejemplo,compute.instances.listTagBindingspara ver las etiquetas asociadas a las instancias de Compute Engine.listEffectiveTags para el tipo de recurso adecuado.
Por ejemplo,
compute.instances.listEffectiveTags para ver todas las etiquetas asociadas o heredadas por las instancias de Compute Engine.
Para ver las etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.
Administrar etiquetas
Para crear, actualizar y eliminar definiciones de etiquetas, necesitas el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) u otro rol que incluya los siguientes permisos:
Permisos obligatorios
resourcemanager.tagKeys.createresourcemanager.tagKeys.updateresourcemanager.tagKeys.deleteresourcemanager.tagKeys.listresourcemanager.tagKeys.getresourcemanager.tagKeys.getIamPolicyresourcemanager.tagKeys.setIamPolicyresourcemanager.tagValues.createresourcemanager.tagValues.updateresourcemanager.tagValues.deleteresourcemanager.tagValues.listresourcemanager.tagValues.getresourcemanager.tagValues.getIamPolicyresourcemanager.tagValues.setIamPolicy
Para administrar etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.
Gestionar etiquetas en recursos
Para añadir y quitar etiquetas asociadas a recursos, necesitas el rol Usuario de etiquetas (roles/resourcemanager.tagUser) u otro rol con permisos equivalentes en el valor de etiqueta y en los recursos a los que vas a asociar el valor de etiqueta. El rol Etiquetar usuario incluye los siguientes permisos:
Permisos obligatorios
- Permisos necesarios para el recurso al que vas a adjuntar el valor de la etiqueta
- Permiso
createTagBindingespecífico de un recurso, comocompute.instances.createTagBindingpara las instancias de Compute Engine. - Permiso
deleteTagBindingespecífico de un recurso, comocompute.instances.deleteTagBindingpara las instancias de Compute Engine. - Permisos necesarios para el valor de la etiqueta:
resourcemanager.tagValueBindings.createresourcemanager.tagValueBindings.delete- Permisos que te permiten ver proyectos y definiciones de etiquetas:
resourcemanager.tagValues.getresourcemanager.tagValues.listresourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.projects.get
Para adjuntar etiquetas a los recursos de Cloud Armor, necesitas el rol de administrador de Compute (roles/compute.admin).
Crear claves y valores de etiquetas
Para poder adjuntar una etiqueta, primero debes crearla y configurar su valor. Para crear claves y valores de etiqueta, consulte Crear una etiqueta y Añadir un valor de etiqueta.
Añadir etiquetas a recursos
Para añadir una etiqueta a recursos de Cloud Armor, sigue estos pasos:
gcloud
Para asociar una etiqueta a un recurso de Cloud Armor, debes crear un recurso de enlace de etiqueta con el comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta adjunta. Por ejemplo,tagValues/567890123456.-
RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los IDs numéricos de los recursos, no sus nombres.Por ejemplo:
- El ID de recurso de un recurso global, como una política de seguridad
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - El ID de recurso de un recurso regional, como un servicio de seguridad de Network Edge
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- El ID de recurso de un recurso global, como una política de seguridad
en
LOCATION: la ubicación de tu recurso. Si vas a asociar una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si vas a asociar una etiqueta a un recurso regional o zonal, debes especificar la ubicación. Por ejemplo,us-central1(región) ous-central1-a(zona).
Mostrar las etiquetas asociadas a los recursos
Puede ver una lista de las vinculaciones de etiquetas adjuntas directamente al recurso de Cloud Armor o heredadas por él.
gcloud
Para obtener una lista de las vinculaciones de etiquetas asociadas a un recurso, usa el comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
-
RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los IDs numéricos de los recursos, no sus nombres.Por ejemplo:
- El ID de recurso de un recurso global, como una política de seguridad
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - El ID de recurso de un recurso regional, como un servicio de seguridad de Network Edge
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- El ID de recurso de un recurso global, como una política de seguridad
en
LOCATION: la ubicación de tu recurso. Si estás viendo una etiqueta asociada a un recurso global, como una carpeta o un proyecto, omite esta marca. Si estás viendo una etiqueta asociada a un recurso regional o zonal, debes especificar la ubicación. Por ejemplo,us-central1(región) ous-central1-a(zona).
Deberías obtener una respuesta similar a la siguiente:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource:
//compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
Desvincular etiquetas de recursos
Puede separar etiquetas que se hayan adjuntado directamente a un recurso de Cloud Armor. Las etiquetas heredadas se pueden anular adjuntando una etiqueta con la misma clave y un valor diferente, pero no se pueden separar.
gcloud
Para eliminar un enlace de etiqueta, usa el comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta adjunta. Por ejemplo,tagValues/567890123456.-
RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los IDs numéricos de los recursos, no sus nombres.Por ejemplo:
- El ID de recurso de un recurso global, como una política de seguridad
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - El ID de recurso de un recurso regional, como un servicio de seguridad de Network Edge
en
projects/7890123456, es el siguiente://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- El ID de recurso de un recurso global, como una política de seguridad
en
LOCATION: la ubicación de tu recurso. Si vas a asociar una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si vas a asociar una etiqueta a un recurso regional o zonal, debes especificar la ubicación. Por ejemplo,us-central1(región) ous-central1-a(zona).
Eliminar claves y valores de etiquetas
Cuando elimine una definición de clave o valor de etiqueta, asegúrese de que la etiqueta se haya separado del recurso de Cloud Armor. Debes eliminar los archivos adjuntos de etiquetas, denominados enlaces de etiquetas, antes de eliminar la definición de la etiqueta. Para eliminar claves y valores de etiquetas, consulta Eliminar etiquetas.
Condiciones y etiquetas de gestión de identidades y accesos
Puedes usar etiquetas y condiciones de gestión de identidades y accesos para conceder enlaces de roles de forma condicional a los usuarios de tu jerarquía. Si se cambia o se elimina la etiqueta asociada a un recurso, se puede retirar el acceso de los usuarios a ese recurso si se ha aplicado una política de gestión de identidades y accesos con enlaces de roles condicionales. Para obtener más información, consulta Condiciones y etiquetas de Gestión de Identidades y Accesos.
Siguientes pasos
- Consulta los otros servicios que admiten etiquetas.
- Consulta Etiquetas y control de acceso para saber cómo usar etiquetas con gestión de identidades y accesos.