Tag-Repositories

Nutzen Sie Tags, um Repositories und andere Ressourcen in Google Cloud für Berichterstellung, Auditing und Zugriffssteuerung in Google Cloud Unternehmen.

Verwenden Sie Labels, um Repositories in der Artifact Registry zu Automatisierungs- und Abrechnungszwecken zu gruppieren. Tags und Labels funktionieren unabhängig voneinander. Sie können beide auf dasselbe Repository anwenden. Für Weitere Informationen zu den Unterschieden zwischen Tags und Labels finden Sie unter Tags und Labels:

Was sind Tags?

Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Ressourcen anwenden können.

Projektadministratoren erstellen Tags für Ressourcen in Google Cloud auf Organisationsebene und verwalten sie im Resource Manager. Wenn Sie ein Tag an ein Artifact Registry-Repository anhängen, können Sie das Tag IAM-Bedingungen zum Gewähren von bedingtem Zugriff auf das Repository. Sie können einzelnen Artefakten keine Tags zuweisen.

Beachten Sie die folgenden Einschränkungen:

  • Organisationsrichtlinien können bedingt auf Tags verweisen, die vom übergeordneten Projekt und höher übernommen wurden. Sie unterstützen jedoch keine Tags, die Sie direkt an Repositories anhängen.

  • Cloud-Audit-Logs werden nicht generiert, wenn Sie Tags anhängen und Anzeigen von Tag-Bindungen für Repositories

Weitere Informationen zu Tags und zur bedingten Zugriffssteuerung mit Tags finden Sie unter Tags und Zugriffssteuerung:

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.
  • listEffectiveTags
    • für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listEffectiveTags zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.

Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

Erforderliche Berechtigungen

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen.
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen.
  • Erforderliche Berechtigungen für den Tag-Wert:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Tags an Repositories anhängen

Nachdem ein Projektadministrator Tags erstellt hat, können Sie Tags an ein Repository anhängen. Jedes Tag hat einen Schlüssel und einen Wert. Sie taggen ein Repository, indem Sie eine an das Repository übergeben.

So hängen Sie einem Repository ein Tag an:

Console

  1. Rufen Sie den Tag-Wert, den Sie anhängen möchten, von Ihrem Administrator ab.

    Sie können einem Tag-Wert eine der folgenden ID-Typen zuordnen:

    • Ein Namespace-Name, z. B. 123456789012/env/dev
    • Eine permanente ID wie tagValues/567890123456

  2. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus, dem Sie ein Tag hinzufügen möchten.

  4. Klicken Sie im Bereich Repository-Details auf Mehr anzeigen.

    Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Klicken Sie im Bereich Direkte Tags auf Umfang auswählen.

  7. Wählen Sie Ihr Repository-Projekt aus.

  8. Geben Sie im Feld Schlüssel einen Suchbegriff ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Schlüssel aus.

  9. Geben Sie im Feld Wert einen Wert ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Wert aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie auf Bestätigen.

    Das Tag wird an Ihr Repository angehängt.

gcloud-CLI

  1. Rufen Sie den Tag-Wert, den Sie anhängen möchten, von Ihrem Administrator ab.

    Sie können einem Tag-Wert eine der folgenden ID-Typen zuordnen:

    • Ein Namespace-Name, z. B. 123456789012/env/dev
    • Eine permanente ID, z. B. tagValues/567890123456

  2. Hängen Sie den Tag-Wert mit dem folgenden Befehl an:

    gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE ist die permanente ID oder Namespace-Name des anzuhängenden Tag-Werts.

    • REPOSITORY_ID ist die vollständige ID des Repositories, einschließlich des API-Domainnamens, um den Ressourcentyp (//artifactregistry.googleapis.com/) zu identifizieren. Beispiel: //artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo.

    • LOCATION ist der Standort des zu erstellen.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag an den Repository:

    gcloud alpha resource-manager tags bindings create \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

An Repositories angehängte Tags auflisten

Sie können Tags auflisten, die an eine Ressource angehängt sind, für die Sie Berechtigungen haben Zugriff haben.

Console

  1. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  2. Wählen Sie das Repository aus, das Sie ansehen möchten.

  3. Klicken Sie im Abschnitt Repository-Details auf Mehr anzeigen.

    In der Liste Tags werden alle Repository-Tags angezeigt, einschließlich direkter Tags und übernommener Tags von höheren Ebenen in der Ressourcenhierarchie.

gcloud-CLI

Führen Sie den folgenden Befehl aus, um die Tags aufzulisten, die mit einem Repository verknüpft sind:

gcloud alpha resource-manager tags bindings list \
        --parent=REPOSITORY_ID \
        --location=LOCATION

Der Befehl listet nur Tags auf, die direkt an die angegebene Ressource angehängt sind. Tags, die vom übergeordneten Projekt oder höher übernommen wurden, werden nicht zurückgegeben. Sie können Tags auflisten, die vom übergeordneten Projekt übernommen wurden, indem Sie mit dem Flag --parent ein Projekt anstelle eines Repositories angeben.

Mit diesem Befehl werden beispielsweise die Tags aufgelistet, die dem Repository my-repo im Projekt my-project und dem Speicherort us-east1 zugewiesen sind:

gcloud alpha resource-manager tags bindings list \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Mit diesem Befehl werden Tags aufgelistet, die an die Projektnummer 7890123456 angehängt sind:

gcloud alpha resource-manager tags bindings list \
    --parent=//cloudresourcemanager.googleapis.com/projects/7890123456 \

Tags von Repositories trennen

Sie können ein Tag trennen, das direkt an ein Repository angehängt ist. Bei Bedarf Entfernen Sie ein Tag, das vom übergeordneten Projekt oder einem anderen Teil des Ressourcenhierarchie benötigt, muss ein Projektadministrator diese von dieser trennen der Ressource, an die das Tag angehängt ist.

So entfernen Sie ein Tag, das an ein Repository angehängt ist:

Console

  1. Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tag-Wert nicht kennen, listen Sie die Tags auf, die mit dem Repository verknüpft sind.

  2. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus.

  4. Klicken Sie im Bereich Repository-Details auf Mehr anzeigen.

    Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Suchen Sie im Bereich Direkte Tags nach dem Tag, das Sie entfernen möchten.

  7. Klicken Sie neben dem Tag, das Sie entfernen möchten, auf das Symbol  Löschen.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Bestätigen.

    Das Tag wird aus Ihrem Repository entfernt.

gcloud-CLI

  1. Ermitteln Sie den Tag-Wert, den Sie entfernen möchten. Wenn Sie den Tag-Wert nicht kennen, list-Tags, die an das Repository angehängt sind.

  2. Trennen Sie den Tag-Wert mit dem folgenden Befehl:

    gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE-Tag-Wert, der getrennt werden soll.

    • REPOSITORY_ID ist die vollständige ID des Repositories, einschließlich des API-Domainnamens, um den Ressourcentyp (//artifactregistry.googleapis.com/) zu identifizieren. Beispiel: //artifactregistry.googleapis.com/projects/my-project/my-repo.

    • LOCATION ist der Speicherort des Repositorys.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag vom Repository:

    gcloud alpha resource-manager tags bindings delete \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Nächste Schritte