יצירה וניהול של תגים מאובטחים

המסוף

כדי להעניק למשתמש את תפקיד ה-Tag Administrator (roles/resourcemanager.tagAdmin):

1. נכנסים לדף IAM במסוף Cloud de Confiance .

   כניסה לדף IAM

2. ברשימת הפרויקטים, בוחרים את הארגון או הפרויקט שרוצים להקצות להם את התפקיד.

3. לוחצים על person_addGrant access.

4. בשדה New principals, מזינים את כתובת האימייל של המשתמש. לדוגמה, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com.

5. ברשימה Select a role, כותבים Tag בשדה Filter ואז בוחרים באפשרות Tag administrator.

6. לוחצים על Save.

gcloud

כדי להקצות את התפקיד Tag Administrator (אדמין תגים) (roles/resourcemanager.tagAdmin) לחשבון ראשי ב-IAM במדיניות IAM של ארגון, משתמשים בפקודה gcloud organizations add-iam-policy-binding:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:EMAIL_ADDRESS \
    --role=roles/resourcemanager.tagAdmin

מחליפים את מה שכתוב בשדות הבאים:

• ‫ORGANIZATION_ID: מזהה הארגון
• ‫EMAIL_ADDRESS: כתובת האימייל של המשתמש

המסוף

כדי להעניק למשתמש את התפקיד Tag User (roles/resourcemanager.tagUser):

1. נכנסים לדף IAM במסוף Cloud de Confiance .

   כניסה לדף IAM

2. ברשימת הפרויקטים, בוחרים את הארגון או הפרויקט שרוצים להקצות להם את התפקיד.

3. לוחצים על person_addGrant access.

4. בשדה New principals, מזינים את כתובת האימייל של המשתמש. לדוגמה, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com.

5. ברשימה Select a role, כותבים Tag בשדה Filter ואז בוחרים באפשרות Tag user.

6. אם רוצים, מוסיפים תנאי לתפקיד.

7. לוחצים על Save.

gcloud

1. כדי להקצות למשתמש את התפקיד Tag User ‏ (roles/resourcemanager.tagUser) לתג ספציפי, משתמשים בפקודה gcloud resource-manager tags keys add-iam-policy-binding:

   gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ORGANIZATION_ID: מזהה הארגון
   • ‫TAG_KEY: מפתח התג המאובטח
   • ‫EMAIL_ADDRESS: כתובת האימייל של המשתמש

2. כדי להקצות את התפקיד Tag User (roles/resourcemanager.tagUser) לישות (principal) ב-IAM כדי שהיא תוכל להשתמש בכל ערכי התגים של כל מפתח תג בארגון, משתמשים בפקודה gcloud organizations add-iam-policy-binding:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ORGANIZATION_ID: מזהה הארגון
   • ‫EMAIL_ADDRESS: כתובת האימייל של המשתמש

3. כדי להעניק את התפקיד Tag User (משתמש בתגים, roles/resourcemanager.tagUser) לסובייקט ב-IAM כדי שיוכל להשתמש בערך תג ספציפי של מפתח תג שההורה שלו הוא הארגון, משתמשים בפקודה gcloud resource-manager tags values add-iam-policy-binding:

   gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ORGANIZATION_ID: מזהה הארגון
   • ‫TAG_KEY: מפתח התג המאובטח
   • ‫TAG_VALUE: ערך התג המאובטח
   • ‫EMAIL_ADDRESS: כתובת האימייל של המשתמש

4. כדי להקצות את התפקיד Tag User (roles/resourcemanager.tagUser) לחשבון ראשי ב-IAM כדי שיוכל להשתמש בכל ערכי התגים של כל מפתח תג בפרויקט, משתמשים בפקודה gcloud projects add-iam-policy-binding:

   gcloud projects add-iam-policy-binding PROJECT_NAME \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_NAME: שם הפרויקט
   • ‫EMAIL_ADDRESS: כתובת האימייל של המשתמש

המסוף

כדי ליצור מפתח ותגי ערך מאובטחים:

1. נכנסים לדף Tags במסוף Cloud de Confiance .

   מעבר אל Tags

2. ברשימת הפרויקטים, בוחרים את הארגון או הפרויקט שרוצים ליצור בהם מפתח תג.

3. לוחצים על addיצירה.

4. בשדה Tag key (מפתח התג), מזינים את השם לתצוגה של מפתח התג. השם הזה הופך לחלק משם מרחב השמות של התג.

5. אופציונלי: בשדה Tag key description (תיאור מפתח התג), מזינים תיאור של מפתח התג.

6. בקטע Tag purpose (מטרת התג), בוחרים באפשרות For use with Cloud NGFW (לשימוש עם Cloud NGFW).

7. כדי ליצור תג מאובטח, מבצעים אחת מהפעולות הבאות:

   • אם נתוני המטרה מציינים רשת, בוחרים באפשרות הגבלת ההיקף לרשת אחת.

   • אם נתוני המטרה מציינים ארגון, מבטלים את הסימון של האפשרות הגבלת ההיקף לרשת אחת.

8. בכרטיסייה Network selection (בחירת רשת), בוחרים את הארגון או הפרויקט שרוצים ליצור עבורם מפתח תג מאובטח.

9. ברשימה Network, בוחרים את הרשת.

10. אם רוצים להוסיף ערכי תג למפתח הזה, לוחצים על addהוספת ערך לכל ערך תג שרוצים ליצור.

11. בשדה Tag value (ערך התג), מזינים את השם המוצג של ערך התג. השם הזה הופך לחלק משם מרחב השמות של התג.

12. אופציונלי: בשדה תיאור ערך התג, מזינים תיאור של ערך התג.

13. כשמסיימים להוסיף ערכי תג, לוחצים על יצירת מפתח תג.

gcloud

1. אחרי שמקבלים את ההרשאות הנדרשות, יוצרים את מפתח התג המאובטח ברמת הארגון או הפרויקט.

   • כדי ליצור מפתח תג מאובטח לארגון, משתמשים בפקודה gcloud resource-manager tags keys create:

     gcloud resource-manager tags keys create TAG_KEY \
         --parent organizations/ORGANIZATION_ID \
         --purpose GCE_FIREWALL \
         --purpose-data organization=auto
     

     מחליפים את מה שכתוב בשדות הבאים:

     • ‫TAG_KEY: מפתח התג המאובטח
     • ‫ORGANIZATION_ID: מזהה הארגון

   • כדי ליצור מפתח תג מאובטח לפרויקט אב או לארגון שנתוני הייעוד שלו מזהים רשת VPC אחת, משתמשים בפקודה gcloud resource-manager tags keys create:

     gcloud resource-manager tags keys create TAG_KEY \
         --parent organizations/ORGANIZATION_ID \
         --purpose GCE_FIREWALL \
         --purpose-data network=PROJECT_ID/NETWORK
     

     מחליפים את מה שכתוב בשדות הבאים:

     • ‫TAG_KEY: מפתח התג המאובטח
     • ‫ORGANIZATION_ID: מזהה הארגון
     • ‫PROJECT_ID: מזהה הפרויקט
     • ‫NETWORK: השם של הרשת

2. כדי להוסיף את הערכים הרלוונטיים של התג המאובטח למפתחות של התג המאובטח, משתמשים בפקודה gcloud resource-manager tags values create:

     gcloud resource-manager tags values create TAG_VALUE \
         --parent ORGANIZATION_ID/TAG_KEY
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫TAG_VALUE: הערך להקצאה למפתח התג המאובטח
   • ‫ORGANIZATION_ID: מזהה הארגון
   • ‫TAG_KEY: מפתח התג המאובטח

   מריצים את הפקודה כמה פעמים כדי להוסיף כמה ערכים. חשוב לוודא שכל ערך של תג מאובטח שמוסיפים למפתח התג המאובטח הוא ייחודי.

המסוף

1. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את מזהה הארגון או תיקייה בארגון.

3. לוחצים על יצירת מדיניות חומת אש.

4. בשדה Policy name, כותבים את השם.

5. כדי ליצור כללים למדיניות, לוחצים על המשך > יצירת כלל חומת אש.

   פרטים נוספים זמינים במאמר בנושא יצירת כלל במדיניות היררכית של חומת אש עם תגים מאובטחים.

6. אם רוצים לשייך את המדיניות למשאב, לוחצים על המשך > הוספה.

   פרטים נוספים זמינים במאמר בנושא שיוך מדיניות לארגון או לתיקייה.

7. לוחצים על המשך > יצירה.

gcloud

כדי ליצור מדיניות היררכית של חומת אש, משתמשים בפקודה gcloud compute firewall-policies create:

gcloud compute firewall-policies create \
    [--organization ORGANIZATION_ID] | [--folder FOLDER_ID] \
    --short-name SHORT_NAME

מחליפים את מה שכתוב בשדות הבאים:

• ‫ORGANIZATION_ID: מזהה הארגון

  צריך לציין את המזהה הזה אם יוצרים את המדיניות ברמת הארגון. המזהה הזה מציין רק איפה המדיניות נמצאת, והוא לא משייך את המדיניות למשאב הארגון באופן אוטומטי.

• ‫FOLDER_ID: המזהה של תיקייה

  צריך לציין את המזהה הזה אם יוצרים את המדיניות בתיקייה מסוימת. המזהה הזה מציין רק את המקום שבו המדיניות נמצאת, והוא לא משייך את המדיניות לתיקייה באופן אוטומטי.

• SHORT_NAME: שם למדיניות

  למדיניות שנוצרת באמצעות Google Cloud CLI יש שני שמות: שם שהמערכת יוצרת ושם קצר שאתם מספקים. כשמשתמשים ב-Google Cloud CLI כדי לעדכן מדיניות קיימת, אפשר לציין את השם שנוצר על ידי המערכת או את השם הקצר ואת מזהה הארגון. כשמשתמשים ב-API כדי לעדכן את המדיניות, צריך לציין את השם שנוצר על ידי המערכת.

המסוף

1. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את הפרויקט בארגון.

3. לוחצים על יצירת מדיניות חומת אש.

4. בשדה Policy name, כותבים את השם.

5. בקטע היקף הפריסה, בוחרים באפשרות גלובלי.

6. כדי ליצור כללים למדיניות, לוחצים על המשך > יצירת כלל חומת אש.

   פרטים נוספים מופיעים במאמר בנושא יצירת כלל במדיניות חומת אש בין רשתות עם תגים מאובטחים.

7. אם רוצים לשייך את המדיניות לרשת, לוחצים על המשך > שיוך.

   פרטים נוספים מופיעים במאמר בנושא שיוך מדיניות לרשת.

8. לוחצים על המשך > יצירה.

gcloud

כדי ליצור מדיניות חומת אש ברשת, משתמשים בפקודה gcloud compute network-firewall-policies create:

 gcloud compute network-firewall-policies create \
     NETWORK_FIREWALL_POLICY_NAME \
     --description DESCRIPTION \
     --global

מחליפים את מה שכתוב בשדות הבאים:

• NETWORK_FIREWALL_POLICY_NAME: שם למדיניות
• ‫DESCRIPTION: תיאור של המדיניות

המסוף

1. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

3. לוחצים על שם המדיניות ואז על יצירת כלל חומת אש.

4. מזינים את העדיפות של הכלל.

5. מציינים את כיוון התנועה.

6. בקטע פעולה במקרה של התאמה, בוחרים הגדרה.

7. בקטע יומנים, בוחרים באפשרות מופעל או מושבת.

8. בקטע יעד, בוחרים באפשרות תגי אבטחה ולוחצים על בחירת היקף התגים.

9. בדף Select a resource (בחירת משאב), בוחרים את הארגון או הפרויקט שבהם רוצים ליצור תגים מאובטחים.

10. מזינים את צמדי המפתח/ערך שהכלל יחול עליהם.

11. כדי להוסיף עוד צמדי מפתח/ערך, לוחצים על הוספת תג.

12. בקטע מקור, בשורה תגים, לוחצים על בחירת היקף לתגים.

13. בדף בחירת משאב, בוחרים את הארגון או התיקייה שמכילים את מפתחות התגים המאובטחים.

14. לוחצים על יצירה.

gcloud

כדי ליצור כלל במדיניות היררכית של חומת אש, משתמשים בפקודה gcloud compute firewall-policies rules create:

 gcloud compute firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT

מחליפים את מה שכתוב בשדות הבאים:

• ‫FIREWALL_POLICY_NAME: השם של מדיניות חומת האש ההיררכית
• ‫ORGANIZATION_ID: מזהה הארגון
• ‫TAG_KEY: מפתח התג המאובטח
• ‫TAG_VALUE: הערך להקצאה למפתח התג המאובטח
• ‫DIRECTION: מציין אם הכלל הוא כלל ingress או כלל egress
• ‫ACTION: אחת מהפעולות הבאות:
  • ‫allow: מאפשר חיבורים שתואמים לכלל
  • ‫deny: דחיית חיבורים שתואמים לכלל
  • ‫goto_next: עובר להערכת החיבור ברמה הבאה בהיררכיה, בין אם מדובר בתיקייה או ברשת
• PORT: מספר היציאה לגישה למשאב

המסוף

1. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את הפרויקט או את התיקייה שמכילים את המדיניות.

3. לוחצים על שם המדיניות ואז על יצירת כלל חומת אש.

4. מזינים את העדיפות של הכלל.

5. מציינים את כיוון התנועה.

6. בקטע פעולה במקרה של התאמה, בוחרים הגדרה.

7. בקטע יומנים, בוחרים באפשרות מופעל או מושבת.

8. בקטע יעד, בוחרים באפשרות תגי אבטחה ולוחצים על בחירת היקף התגים.

9. בדף Select a resource (בחירת משאב), בוחרים את הארגון או הפרויקט שבהם רוצים ליצור תגים מאובטחים.

10. מזינים את צמדי המפתח/ערך שהכלל יחול עליהם.

11. כדי להוסיף עוד צמדי מפתח/ערך, לוחצים על הוספת תג.

12. בקטע מקור, בשורה תגים, לוחצים על בחירת היקף לתגים.

13. בדף בחירת משאב, בוחרים את הארגון או התיקייה שמכילים את מפתחות התגים המאובטחים.

14. לוחצים על יצירה.

gcloud

כדי ליצור כלל במדיניות חומת האש של הרשת, משתמשים בפקודה gcloud compute network-firewall-policies rules create:

 gcloud compute network-firewall-policies rules create \
     --firewall-policy FIREWALL_POLICY_NAME \
     --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
     --direction DIRECTION \
     --action ACTION \
     --layer4-configs tcp:PORT \
     --global-firewall-policy

מחליפים את מה שכתוב בשדות הבאים:

• ‫FIREWALL_POLICY_NAME: השם של מדיניות חומת האש החדשה ברשת הגלובלית
• ‫ORGANIZATION_ID: מזהה הארגון
• ‫TAG_KEY: מפתח התג
• ‫TAG_VALUE: הערך להקצאה למפתח התג
• DIRECTION: מציין אם הכלל הוא כלל ingress או כלל egress
• ‫ACTION: אחת מהפעולות הבאות:
  • ‫allow: מאפשר חיבורים שתואמים לכלל
  • ‫deny: דחיית חיבורים שתואמים לכלל
  • ‫goto_next: עובר להערכת החיבור ברמה הבאה בהיררכיה, בין אם מדובר בתיקייה או ברשת
• PORT: מספר היציאה לגישה למשאב

המסוף

כדי לקשר את התגים המאובטחים למופעי מכונות וירטואליות:

1. נכנסים לדף VM instances במסוף Cloud de Confiance .

   כניסה לדף VM instances

2. בוחרים פרויקט ולוחצים על המשך.

3. בעמודה Name (שם), לוחצים על שם המכונה הווירטואלית שרוצים להוסיף לה תגים.

4. בדף הפרטים של מכונת ה-VM, מבצעים את השלבים הבאים:

   1. לוחצים על Edit.
   2. בקטע Basic information, לוחצים על Manage tags ומוסיפים את התגים הרצויים למופע.
   3. לוחצים על Save.

gcloud

במאמר צירוף תגים למשאבים במאמרי העזרה של Resource Manager מוסבר איך להשתמש בדגלים האלה.

לדוגמה, הפקודה הבאה מצרפת תג למכונה וירטואלית:

gcloud resource-manager tags bindings create \
    --location=LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=FULL_RESOURCE_NAME

מחליפים את מה שכתוב בשדות הבאים:

• ‫LOCATION_NAME: האזור שבו נמצאת המכונה. אם המשאב הוא גלובלי, לא מציינים את הדגל --location.
• ‫TAGVALUE_ID: המזהה המספרי של ערך התג

• ‫FULL_RESOURCE_NAME: שם המשאב המלא של משאב היעד. בדוגמה הזו, שם המשאב המלא של מכונת ה-VM:

  //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫PROJECT_NUMBER: המזהה המספרי של הפרויקט שמכיל את משאב היעד
  • ‫ZONE: האזור שבו נמצאת המכונה
  • ‫INSTANCE_ID: מזהה המופע של המכונה הווירטואלית

REST

כדי לצרף תג למשאב, קודם צריך ליצור ייצוג JSON של קישור תג שכולל את המזהה הקבוע או את שם מרחב השמות של ערך התג ואת המזהה הקבוע של המשאב. למידע נוסף על הפורמט של tagBinding, אפשר לעיין בחומר העזר בנושא tagBindings.

כדי לצרף את התג למשאב של תחום מוגדר, כמו מכונה וירטואלית, משתמשים בשיטה tagBindings.create עם נקודת הקצה האזורית שבה נמצא המשאב. לדוגמה:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

גוף הבקשה יכול להיות אחת משתי האפשרויות הבאות:

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫LOCATION_NAME: המיקום האזורי של המשאב. למכונה וירטואלית, מציינים את האזור. למשאב גלובלי, משמיטים את הפרמטר LOCATION_NAME-

• ‫FULL_RESOURCE_NAME: שם המשאב המלא של משאב היעד. בדוגמה הזו, שם המשאב המלא של מכונת ה-VM:

  //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫PROJECT_NUMBER: המזהה המספרי של הפרויקט שמכיל את משאב היעד
  • ‫ZONE: האזור שבו נמצאת המכונה
  • ‫INSTANCE_ID: מזהה המופע של המכונה הווירטואלית

• ‫TAGVALUE_ID: המזהה הקבוע של ערך התג שמצורף. לדוגמה: 4567890123

• ‫TAGVALUE_NAMESPACED_NAME: שם מרחב השמות של ערך התג שמצורף, בפורמט: parentNamespace/tagKeyShortName/tagValueShortName

המסוף

השלבים המדויקים עשויים להשתנות בהתאם לסוג המשאב. השלבים הבאים מיועדים למכונה וירטואלית:

1. נכנסים לדף VM instances במסוף Cloud de Confiance .

   כניסה לדף VM instances

2. בוחרים פרויקט ולוחצים על המשך.

3. לוחצים על Create instance. הדף Create an instance מופיע ובו החלונית Machine configuration.

4. בתפריט הניווט, לוחצים על מתקדם. בחלונית Advanced שמופיעה, מבצעים את הפעולות הבאות:

   1. מרחיבים את הקטע expand_moreManage tags and labels (ניהול תגים ותוויות).
   2. לוחצים על addהוספת תגים.
   3. בחלונית Tags שנפתחת, פועלים לפי ההוראות להוספת תג למופע.
   4. לוחצים על Save.

5. מציינים אפשרויות הגדרה אחרות למופע. למידע נוסף, קראו את המאמר אפשרויות הגדרה במהלך יצירת מכונה.

6. כדי ליצור את המכונה הווירטואלית ולהפעיל אותה, לוחצים על Create.

gcloud

כדי לצרף תג למשאב במהלך יצירת המשאב, מוסיפים את הדגל --resource-manager-tags עם הפקודה המתאימה create. לדוגמה, כדי לצרף תג למכונה וירטואלית, משתמשים בפקודה הבאה:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

מחליפים את מה שכתוב בשדות הבאים:

• ‫INSTANCE_NAME: השם של מופע מכונת ה-VM
• ‫ZONE: האזור שמכיל את המופע של המכונה הווירטואלית
• ‫TAGKEY_ID: המזהה המספרי של מפתח התג
• ‫TAGVALUE_ID: המזהה המספרי הקבוע של ערך התג שמצורף – לדוגמה: 4567890123

כדי לציין כמה תגים, מפרידים ביניהם באמצעות פסיק, למשל, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

שולחים בקשת POST לכתובת ה-URL הבאה:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

כוללים את תוכן בקשת ה-JSON הבא:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

מחליפים את מה שכתוב בשדות הבאים:

• ‫INSTANCE_NAME: השם של מופע מכונת ה-VM
• ‫TAGKEY_ID: המזהה המספרי של מפתח התג
• ‫TAGVALUE_ID: המזהה המספרי הקבוע של ערך התג שמצורף – לדוגמה: 4567890123