Dépôts de balises

Utilisez des tags pour regrouper des dépôts et d'autres ressources dans Google Cloud des rapports, des audits et un contrôle des accès au sein de votre Google Cloud organisation.

Pour regrouper des dépôts dans Artifact Registry à des fins d'automatisation et de facturation, utilisez des étiquettes. Les tags et les libellés fonctionnent indépendamment les uns des autres. Vous pouvez appliquer les deux au même dépôt. Pour en savoir plus sur les différences entre les tags et les libellés, consultez la section Tags et libellés.

Qu'est-ce qu'un tag ?

Les tags sont des paires clé/valeur que vous pouvez appliquer à vos ressources pour un contrôle d'accès précis.

Les administrateurs de projet créent des tags pour les ressources dans Google Cloud au niveau de l'organisation et les gèrent dans Resource Manager. Lorsque vous associez un tag à un dépôt Artifact Registry, vous pouvez l'utiliser avec des conditions IAM pour accorder un accès conditionnel au dépôt. Vous ne pouvez pas associer de tags à des artefacts individuels.

Gardez ces restrictions à l'esprit :

  • Les règles d'administration peuvent référencer de manière conditionnelle des tags hérités du projet parent ou d'un niveau supérieur, mais elles ne sont pas compatibles avec les tags que vous associez directement aux dépôts.

  • Les journaux d'audit Cloud ne sont pas générés pour associer des tags ni pour afficher des liaisons de tags sur des dépôts.

Pour en savoir plus sur les tags et le contrôle de l'accès conditionnel avec des tags, consultez la section Tags et contrôle des accès.

Autorisations requises

Les autorisations dont vous avez besoin dépendent de l'action que vous devez effectuer.

Pour obtenir ces autorisations, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources.

Afficher les tags

Pour afficher les définitions de tag et les tags associés aux ressources, vous devez disposer du rôle Lecteur de tags (roles/resourcemanager.tagViewer) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings pour le type de ressource approprié. Par exemple, compute.instances.listTagBindings pour afficher les tags associés aux instances Compute Engine.
  • listEffectiveTags
    • pour le type de ressource approprié. Par exemple, compute.instances.listEffectiveTags pour afficher tous les tags associés aux instances Compute Engine ou dont celles-ci ont hérité.

Pour afficher les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Administrer les tags

Pour créer, mettre à jour et supprimer des définitions de tag, vous devez disposer du rôle Administrateur de tags (roles/resourcemanager.tagAdmin) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Pour administrer les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Gérer les tags sur les ressources

Pour ajouter et supprimer des tags associés à des ressources, vous devez disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser) ou d'un autre rôle doté d'autorisations équivalentes sur la valeur de tag et sur la ressource à laquelle vous associez la valeur de tag. Le rôle Utilisateur de tags inclut les autorisations suivantes :

Autorisations requises

  • Autorisations requises pour la ressource à laquelle vous associez la valeur de tag
    • Autorisation createTagBinding spécifique à la ressource, telle que compute.instances.createTagBinding pour les instances Compute Engine
    • Autorisation deleteTagBinding spécifique à la ressource, telle que compute.instances.deleteTagBinding pour les instances Compute Engine
  • Autorisations requises pour la valeur du tag :
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorisations vous permettant d'afficher les projets et les définitions de tags :
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Associer des tags à des dépôts

Une fois qu'un administrateur de projet a créé des tags, vous pouvez les associer à un dépôt. Chaque balise possède une clé et une valeur. Pour taguer un dépôt, vous devez associer une valeur à celui-ci.

Pour associer un tag à un dépôt:

Console

  1. Demandez à votre administrateur la valeur de la balise à associer.

    Vous pouvez associer une valeur de balise à l'un des types d'identifiants suivants:

    • Un nom d'espace de noms, tel que 123456789012/env/dev
    • Un ID permanent, tel que tagValues/567890123456

  2. Ouvrez la page Dépôts de la console Google Cloud.

    Ouvrir la page "Dépôts"

  3. Sélectionnez le dépôt que vous souhaitez taguer.

  4. Dans la section Détails du dépôt, cliquez sur Afficher plus.

    Les balises existantes du dépôt, y compris les balises héritées, sont affichées.

  5. Cliquez sur l'icône Modifier Modifier les tags.

  6. Dans la section Tags directs, cliquez sur Sélectionner le champ d'application.

  7. Sélectionnez votre projet de dépôt.

  8. Dans le champ clé, saisissez du texte pour filtrer la liste des balises, puis sélectionnez la clé de balise.

  9. Dans le champ Valeur, saisissez du texte pour filtrer la liste des balises, puis sélectionnez la valeur de la balise.

  10. Cliquez sur Enregistrer.

  11. Cliquez sur Confirmer.

    La balise est associée à votre dépôt.

CLI gcloud

  1. Demandez à votre administrateur la valeur de la balise à associer.

    Vous pouvez associer une valeur de balise à l'un des types d'identifiants suivants:

    • Un nom d'espace de noms, tel que 123456789012/env/dev
    • Un ID permanent, tel que tagValues/567890123456

  2. Associez la valeur de la balise à l'aide de la commande suivante:

    gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Remplacez les valeurs suivantes :

    • TAG_VALUE est l'ID permanent ou le nom d'espace de noms de la valeur de tag à associer.

    • REPOSITORY_ID est l'ID complet du dépôt, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//artifactregistry.googleapis.com/). Par exemple, //artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo

    • LOCATION correspond à l'emplacement du dépôt.

    Prenons l'exemple suivant :

    • Valeur du tag: 815471563813/env/dev
    • Projet : my-project
    • Dépôt: my-repo
    • Emplacement du dépôt : us-east1

    La commande gcloud CLI suivante associe la balise au dépôt:

    gcloud resource-manager tags bindings create \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Répertorier les tags associés à des dépôts

Vous pouvez lister les tags associés à une ressource à laquelle vous êtes autorisé à accéder.

Console

  1. Ouvrez la page Dépôts de la console Google Cloud.

    Ouvrir la page "Dépôts"

  2. Sélectionnez le dépôt que vous souhaitez afficher.

  3. Dans la section Détails du dépôt, cliquez sur Afficher plus.

    La liste Tags affiche tous les tags du dépôt, y compris les tags directs et les tags hérités des niveaux supérieurs de la hiérarchie des ressources.

CLI gcloud

Pour lister les tags associés à un dépôt, exécutez la commande suivante:

gcloud resource-manager tags bindings list \
        --parent=REPOSITORY_ID \
        --location=LOCATION

La commande ne liste que les tags directement associés à la ressource spécifiée. Elle ne renvoie donc pas les tags hérités du projet parent ou d'un niveau supérieur. Vous pouvez lister les balises héritées du projet parent en spécifiant un projet au lieu d'un dépôt avec l'option --parent.

Par exemple, cette commande liste les balises associées au dépôt my-repo dans le projet my-project et l'emplacement us-east1:

gcloud resource-manager tags bindings list \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Cette commande liste les balises associées au numéro de projet 7890123456:

gcloud resource-manager tags bindings list \
    --parent=//cloudresourcemanager.googleapis.com/projects/7890123456 \

Dissocier des tags de dépôts

Vous pouvez dissocier un tag directement associé à un dépôt. Si vous devez supprimer une balise héritée du projet parent ou d'une autre partie de la hiérarchie des ressources, un administrateur de projet doit l'détacher de la ressource à laquelle elle est associée.

Pour supprimer un tag associé à un dépôt:

Console

  1. Obtenez la valeur de la balise que vous souhaitez supprimer. Si vous ne connaissez pas la valeur de la balise, listez les balises associées au dépôt.

  2. Ouvrez la page Dépôts de la console Google Cloud.

    Ouvrir la page "Dépôts"

  3. Sélectionnez le dépôt.

  4. Dans la section Détails du dépôt, cliquez sur Afficher plus.

    Les balises existantes du dépôt, y compris les balises héritées, sont affichées.

  5. Cliquez sur l'icône Modifier Modifier les tags.

  6. Dans la section Tags directs, recherchez le tag que vous souhaitez supprimer.

  7. Cliquez sur l'icône Supprimer à côté de la balise que vous souhaitez supprimer.

  8. Cliquez sur Enregistrer.

  9. Cliquez sur Confirmer.

    La balise est supprimée de votre dépôt.

CLI gcloud

  1. Obtenez la valeur de la balise que vous souhaitez supprimer. Si vous ne connaissez pas la valeur de la balise, listez les balises associées au dépôt.

  2. Détachez la valeur de la balise à l'aide de la commande suivante:

    gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Remplacez les valeurs suivantes :

    • Valeur de tag TAG_VALUE à dissocier.

    • REPOSITORY_ID est l'ID complet du dépôt, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//artifactregistry.googleapis.com/). Par exemple, //artifactregistry.googleapis.com/projects/my-project/my-repo

    • LOCATION correspond à l'emplacement du dépôt.

    Prenons l'exemple suivant :

    • Valeur du tag: 815471563813/env/dev
    • Projet : my-project
    • Dépôt: my-repo
    • Emplacement du dépôt : us-east1

    La commande gcloud CLI suivante dissocie le tag du dépôt:

    gcloud resource-manager tags bindings delete \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Étape suivante