このページでは、 Google Cloud のタグと、AlloyDB for PostgreSQL での使用方法について説明します。Google Cloud CLI を使用して AlloyDB クラスタとバックアップにタグを追加するには、タグの適用と管理をご覧ください。
タグの概要
Google Cloud タグは、AlloyDB リソースの整理に使用できる Key-Value ペアです。
たとえば、タグキーには environment などのプロパティがあり、タグ値は development や production などの属性です。特定のリソースの特定のキーに対して、1 つのタグで指定できる値は 1 つのみです。
タグは、組織レベルまたはプロジェクト レベルで作成します。AlloyDB では、 Google Cloud全体で使用される Resource Manager を介して、クラスタまたはバックアップ リソースにタグが適用されます。
Identity and Access Management(IAM)ポリシー バインディングでタグへの参照を追加し、リソースへの条件付きアクセスを許可できます。AlloyDB リソースを整理してフィルタリングする際にラベルを使用することもできますが、タグとラベルは異なります。タグとラベルは互いに独立しているため、同じ AlloyDB リソースにタグとラベルの両方を使用できます。
条件付きタグ バインディングに基づいて権限を付与する
AlloyDB リソースにタグを適用すると、IAM 条件でタグを使用して、AlloyDB リソースへのアクセスを条件付きで許可できます。タグに基づく条件の設定の詳細については、リソースタグをご覧ください。IAM Conditions を使用すると、AlloyDB リソースにきめ細かいアクセス制御を実施できます。
IAM Conditions を使用するには、IAM ポリシー バインディングでタグを参照します。IAM でタグを使用してリソースへのアクセスを制御する詳しい方法については、タグと条件付きアクセスをご覧ください。 Google Cloud
リソースレベルのタグを使用して Cloud Billing データを BigQuery にエクスポートする
Cloud Billing データを BigQuery にエクスポートするようにプロジェクトを構成すると、使用量、費用の見積もり、料金の詳細などの Cloud Billing データが BigQuery データセットに自動的かつ継続的にエクスポートされます。その後、BigQuery でリソースレベルのタグを使用して、このデータをクエリできます。
設定手順とクエリの例については、以下をご覧ください。
組織のポリシーを使用した必須タグの適用
組織のポリシーを使用して、AlloyDB クラスタ リソースとバックアップ リソースに必須タグを適用できます。コンプライアンスを確保するため、必須タグは組織のタグ付けポリシーを適用し、必須タグ値がない場合は AlloyDB リソースの作成を防ぎます。
カスタム組織のポリシーを使用して必須タグを適用する方法については、Resource Manager ドキュメントの必須タグの適用をご覧ください。
制限事項
タグには以下のような制限があります。
- AlloyDB のインスタンス リソースにタグを適用することはできません。
- バックアップ リソースは、対応するクラスタからタグを継承しません。
- タグベースの権限では、UI から実行した権限チェックが失敗することがあります。これは、AlloyDB がリソースレベルでポリシーが適用されているリソースへのアクセスを誤って拒否する可能性があるためです。ただし、Google Cloud CLI、REST API、Terraform などの他のアクセス方法は正常に機能します。
- 必須タグを適用できるのは、オンデマンド バックアップのみです。自動バックアップまたは継続的バックアップで必須タグを適用することはできません。
次のステップ
- Resource Manager を使用してタグを作成および管理する方法を学習する。
- AlloyDB のタグを管理するで、AlloyDB の
gcloud CLIコマンドを調べる。