Pode anexar etiquetas aos seguintes recursos do Cloud Armor:
- Serviço de segurança de rede perimetral
- Política de segurança global
- Política de segurança regional
Acerca das etiquetas
Uma etiqueta é um par de chave-valor que pode anexar a um recurso em Trusted Cloud by S3NS. Pode usar etiquetas para permitir ou recusar condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Por exemplo, pode conceder condicionalmente funções de gestão de identidade e de acesso (IAM) com base no facto de um recurso ter uma etiqueta específica. Para mais informações sobre etiquetas, consulte o artigo Vista geral das etiquetas.
As etiquetas são anexadas aos recursos através da criação de um recurso de associação de etiquetas que associa o valor ao recurso Trusted Cloud by S3NS .
Autorizações necessárias
As autorizações de que precisa dependem da ação que tem de realizar.
Para obter estas autorizações, peça ao administrador para conceder a função sugerida no nível adequado da hierarquia de recursos.
Ver etiquetas
Para ver as definições de etiquetas e as etiquetas anexadas a recursos, precisa da função Visualizador de etiquetas (roles/resourcemanager.tagViewer) ou de outra função que inclua as seguintes autorizações:
Autorizações necessárias
resourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.tagValues.listresourcemanager.tagValues.getlistTagBindingspara o tipo de recurso adequado. Por exemplo,compute.instances.listTagBindingspara ver etiquetas anexadas a instâncias do Compute Engine.listEffectiveTags para o tipo de recurso adequado.
Por exemplo,
compute.instances.listEffectiveTags para ver
todas as etiquetas anexadas ou herdadas por instâncias do Compute Engine.
Para ver etiquetas ao nível da organização, precisa da função Visitante da organização
(roles/resourcemanager.organizationViewer) no recurso da organização.
Administre etiquetas
Para criar, atualizar e eliminar definições de etiquetas, precisa da função de administrador de etiquetas (roles/resourcemanager.tagAdmin) ou de outra função que inclua as seguintes autorizações:
Autorizações necessárias
resourcemanager.tagKeys.createresourcemanager.tagKeys.updateresourcemanager.tagKeys.deleteresourcemanager.tagKeys.listresourcemanager.tagKeys.getresourcemanager.tagKeys.getIamPolicyresourcemanager.tagKeys.setIamPolicyresourcemanager.tagValues.createresourcemanager.tagValues.updateresourcemanager.tagValues.deleteresourcemanager.tagValues.listresourcemanager.tagValues.getresourcemanager.tagValues.getIamPolicyresourcemanager.tagValues.setIamPolicy
Para administrar etiquetas ao nível da organização, precisa da função de
Leitor da organização (roles/resourcemanager.organizationViewer) no
recurso da organização.
Faça a gestão de etiquetas em recursos
Para adicionar e remover etiquetas anexadas a recursos, precisa da função Utilizador de etiquetas (roles/resourcemanager.tagUser) ou de outra função com autorizações
equivalentes, no valor da etiqueta e nos recursos aos quais está a anexar
o valor da etiqueta. A função Utilizador da etiqueta inclui as seguintes autorizações:
Autorizações necessárias
- Autorizações necessárias para o recurso ao qual está a anexar o valor da etiqueta
- Autorização
createTagBindingespecífica do recurso, comocompute.instances.createTagBindingpara instâncias do Compute Engine. - Autorização
deleteTagBindingespecífica do recurso, comocompute.instances.deleteTagBindingpara instâncias do Compute Engine. - Autorizações necessárias para o valor da etiqueta:
resourcemanager.tagValueBindings.createresourcemanager.tagValueBindings.delete- Autorizações que lhe permitem ver projetos e definições de etiquetas:
resourcemanager.tagValues.getresourcemanager.tagValues.listresourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.projects.get
Para anexar etiquetas a recursos do Cloud Armor, precisa da função de administrador de computação (roles/compute.admin).
Crie chaves e valores de etiquetas
Antes de poder anexar uma etiqueta, tem de criar uma etiqueta e configurar o respetivo valor. Para criar chaves de etiquetas e valores de etiquetas, consulte os artigos Criar uma etiqueta e Adicionar um valor de etiqueta.
Adicione etiquetas a recursos existentes
Para adicionar uma etiqueta a recursos do Cloud Armor existentes, siga estes passos:
gcloud
Para anexar uma etiqueta a um recurso do Cloud Armor, tem de criar um recurso de associação de etiquetas através do comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta anexado, por exemplo,tagValues/567890123456.-
RESOURCE_ID: o ID completo do recurso, incluindo o nome do domínio da API para identificar o tipo de recurso (//compute.googleapis.com/). Tem de usar os IDs numéricos dos recursos e não os respetivos nomes.Por exemplo:
- O ID de recurso de um recurso global, como uma política de segurança
no
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - O ID do recurso de um recurso regional, como um serviço de segurança de limite de rede
em
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- O ID de recurso de um recurso global, como uma política de segurança
no
LOCATION: a localização do seu recurso. Se estiver a anexar uma etiqueta a um recurso global, como uma pasta ou um projeto, omita esta flag. Se estiver a anexar uma etiqueta a um recurso regional ou zonal, tem de especificar a localização, por exemplo,us-central1(região) ouus-central1-a(zona).
Liste as etiquetas anexadas aos recursos
Pode ver uma lista de associações de etiquetas diretamente anexadas ou herdadas pelo recurso do Cloud Armor.
gcloud
Para obter uma lista de associações de etiquetas anexadas a um recurso, use o comando
gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
-
RESOURCE_ID: o ID completo do recurso, incluindo o nome do domínio da API para identificar o tipo de recurso (//compute.googleapis.com/). Tem de usar os IDs numéricos dos recursos e não os respetivos nomes.Por exemplo:
- O ID de recurso de um recurso global, como uma política de segurança
no
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - O ID do recurso de um recurso regional, como um serviço de segurança de limite de rede
em
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- O ID de recurso de um recurso global, como uma política de segurança
no
LOCATION: a localização do seu recurso. Se estiver a ver uma etiqueta anexada a um recurso global, como uma pasta ou um projeto, omita esta flag. Se estiver a ver uma etiqueta anexada a um recurso regional ou zonal, tem de especificar a localização, por exemplo,us-central1(região) ouus-central1-a(zona).
Deve receber uma resposta semelhante à seguinte:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource:
//compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
Desassocie etiquetas de recursos
Pode desanexar etiquetas que tenham sido anexadas diretamente a um recurso do Cloud Armor. As etiquetas herdadas podem ser substituídas anexando uma etiqueta com a mesma chave e um valor diferente, mas não podem ser desanexadas.
gcloud
Para eliminar uma associação de etiqueta, use o comando:
gcloud resource-manager tags bindings delete
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta anexado, por exemplo,tagValues/567890123456.-
RESOURCE_ID: o ID completo do recurso, incluindo o nome do domínio da API para identificar o tipo de recurso (//compute.googleapis.com/). Tem de usar os IDs numéricos dos recursos e não os respetivos nomes.Por exemplo:
- O ID de recurso de um recurso global, como uma política de segurança
no
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/global/securityPolicies/{resource-id} - O ID do recurso de um recurso regional, como um serviço de segurança de limite de rede
em
projects/7890123456, é o seguinte://compute.googleapis.com/projects/7890123456/regions/REGION/networkEdgeSecurityServices/{resource-id}
- O ID de recurso de um recurso global, como uma política de segurança
no
LOCATION: a localização do seu recurso. Se estiver a anexar uma etiqueta a um recurso global, como uma pasta ou um projeto, omita esta flag. Se estiver a anexar uma etiqueta a um recurso regional ou zonal, tem de especificar a localização, por exemplo,us-central1(região) ouus-central1-a(zona).
Elimine chaves e valores de etiquetas
Quando remover uma definição de valor ou chave de etiqueta, certifique-se de que a etiqueta está desassociada do recurso do Cloud Armor. Tem de eliminar as associações de etiquetas existentes, denominadas associações de etiquetas, antes de eliminar a própria definição de etiqueta. Para eliminar chaves de etiquetas e valores de etiquetas, consulte o artigo Eliminar etiquetas.
Condições e etiquetas da gestão de identidade e de acesso
Pode usar etiquetas e condições da IAM para conceder condicionalmente associações de funções a utilizadores na sua hierarquia. A alteração ou a eliminação da etiqueta anexada a um recurso pode remover o acesso do utilizador a esse recurso se tiver sido aplicada uma política do IAM com associações de funções condicionais. Para mais informações, consulte o artigo Condições e etiquetas da gestão de identidade e de acesso.
O que se segue?
- Consulte os outros serviços que suportam etiquetas.
- Consulte o artigo Etiquetas e controlo de acesso para saber como usar etiquetas com a IAM.