Tag-Repositories

Verwenden Sie Tags, um Repositories und andere Ressourcen in Google Cloud für die Berichterstellung, Prüfung und Zugriffssteuerung in Ihrer Google Cloud-Organisation zu gruppieren.

Verwenden Sie Labels, um Repositories in Artifact Registry zu Automatisierungs- und Abrechnungszwecken zu gruppieren. Tags und Labels funktionieren unabhängig voneinander und Sie können beide auf dasselbe Repository anwenden. Weitere Informationen zu den Unterschieden zwischen Tags und Labels finden Sie unter Tags und Labels.

Was sind Tags?

Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Ressourcen anwenden können.

Projektadministratoren erstellen Tags für Ressourcen in Google Cloud auf Organisationsebene und verwalten sie in Resource Manager. Wenn Sie ein Tag an ein Artifact Registry-Repository anhängen, können Sie das Tag mit IAM-Bedingungen verwenden, um bedingten Zugriff auf das Repository zu gewähren. Sie können an einzelne Artefakte keine Tags anhängen.

Beachten Sie die folgenden Einschränkungen:

  • Organisationsrichtlinien können bedingt auf Tags verweisen, die vom übergeordneten Projekt und höher übernommen werden. Sie unterstützen jedoch keine Tags, die Sie direkt an Repositories anhängen.

  • Cloud-Audit-Logs werden nicht generiert, um Tags anzuhängen und Tag-Bindungen in Repositories aufzurufen.

Weitere Informationen zu Tags und der bedingten Zugriffssteuerung mit Tags finden Sie unter Tags und Zugriffssteuerung.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.
  • listEffectiveTags
    • für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listEffectiveTags zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.

Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

Erforderliche Berechtigungen

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen.
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen.
  • Erforderliche Berechtigungen für den Tag-Wert:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Tags an Repositories anhängen

Nachdem ein Projektadministrator Tags erstellt hat, können Sie Tags an ein Repository anhängen. Jedes Tag hat einen Schlüssel und einen Wert. Sie taggen ein Repository, indem Sie einen Wert an das Repository binden.

So hängen Sie ein Tag an ein Repository an:

Console

  1. Fragen Sie Ihren Administrator nach dem Tag-Wert, den Sie anhängen möchten.

    Sie können einen Tag-Wert mit einem der folgenden Kennungstypen anhängen:

    • Einen Namespace wie 123456789012/env/dev
    • Eine dauerhafte ID, z. B. tagValues/567890123456

  2. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus, das Sie taggen möchten.

  4. Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Klicken Sie im Bereich Direkte Tags auf Bereich auswählen.

  7. Wählen Sie Ihr Repository-Projekt aus.

  8. Geben Sie im Feld Schlüssel den gewünschten Begriff ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Schlüssel aus.

  9. Geben Sie im Feld Wert den gewünschten Wert ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Wert aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie auf Bestätigen.

    Das Tag wird an Ihr Repository angehängt.

gcloud-CLI

  1. Fragen Sie Ihren Administrator nach dem Tag-Wert, den Sie anhängen möchten.

    Sie können einen Tag-Wert mit einem der folgenden Kennungstypen anhängen:

    • Einen Namespace wie 123456789012/env/dev
    • Eine dauerhafte ID, z. B. tagValues/567890123456

  2. Hängen Sie den Tag-Wert mit dem folgenden Befehl an:

    gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE ist die permanente ID oder der Namespace des hinzuzufügenden Tag-Werts.

    • REPOSITORY_ID ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//artifactregistry.googleapis.com/). Beispiel: //artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo

    • LOCATION ist der Speicherort des Repositorys.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag an das Repository angehängt:

    gcloud alpha resource-manager tags bindings create \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

An Repositories angehängte Tags auflisten

Sie können Tags auflisten, die an eine Ressource angehängt sind, für die Sie Zugriffsberechtigungen haben.

Console

  1. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  2. Wählen Sie das Repository aus, das Sie ansehen möchten.

  3. Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    Die Liste Tags enthält alle Repository-Tags, einschließlich direkter und übernommener Tags von höher in der Ressourcenhierarchie.

gcloud-CLI

Führen Sie den folgenden Befehl aus, um die an ein Repository angehängten Tags aufzulisten:

gcloud alpha resource-manager tags bindings list \
        --parent=REPOSITORY_ID \
        --location=LOCATION

Mit dem Befehl werden nur Tags aufgelistet, die direkt an die angegebene Ressource angehängt sind. Es werden also keine Tags zurückgegeben, die vom übergeordneten Projekt oder höher übernommen wurden. Sie können vom übergeordneten Projekt übernommene Tags auflisten. Geben Sie dazu mit dem Flag --parent ein Projekt anstelle eines Repositorys an.

Mit diesem Befehl werden beispielsweise Tags aufgelistet, die an das Repository my-repo im Projekt my-project und den Speicherort us-east1 angehängt sind:

gcloud alpha resource-manager tags bindings list \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Mit diesem Befehl werden die Tags aufgelistet, die an die Projektnummer 7890123456 angehängt sind:

gcloud alpha resource-manager tags bindings list \
    --parent=//cloudresourcemanager.googleapis.com/projects/7890123456 \

Tags von Repositories trennen

Sie können ein Tag trennen, das direkt an ein Repository angehängt ist. Wenn Sie ein Tag entfernen müssen, das vom übergeordneten Projekt oder einem anderen Teil der Ressourcenhierarchie übernommen wurde, muss ein Projektadministrator es von der Ressource trennen, an die das Tag angehängt ist.

So entfernen Sie ein Tag, das an ein Repository angehängt ist:

Console

  1. Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tagwert nicht kennen, listen Sie die Tags auf, die an das Repository angehängt sind.

  2. Öffnen Sie in der Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus.

  4. Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Suchen Sie im Bereich Direkte Tags nach dem Tag, das Sie entfernen möchten.

  7. Klicken Sie neben dem Tag, das Sie entfernen möchten, auf das Symbol Löschen.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Bestätigen.

    Das Tag wird aus Ihrem Repository entfernt.

gcloud-CLI

  1. Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tagwert nicht kennen, listen Sie die Tags auf, die an das Repository angehängt sind.

  2. Trennen Sie den Tag-Wert mit dem folgenden Befehl:

    gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE-Tagwert, der entfernt werden soll.

    • REPOSITORY_ID ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//artifactregistry.googleapis.com/). Beispiel: //artifactregistry.googleapis.com/projects/my-project/my-repo

    • LOCATION ist der Speicherort des Repositorys.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag vom Repository getrennt:

    gcloud alpha resource-manager tags bindings delete \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Nächste Schritte