Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare l'accesso con i tag

In questa pagina viene descritto come utilizzare i tag per gestire le risorse in Cloud Data Fusion.

Informazioni sui tag

Un tag è una coppia chiave-valore che può essere collegata a una risorsa all'interno di Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) a seconda che una risorsa abbia un tag specifico. Per ulteriori informazioni sui tag, consulta Panoramica dei tag.

I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega il valore alla risorsa Google Cloud.

Prima di iniziare

Per ottenere le autorizzazioni per i casi d'uso seguenti, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse. Per ulteriori informazioni su IAM in Cloud Data Fusion, consulta Controllo dell'accesso con IAM.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'account di servizio Cloud Data Fusion e sull'account di servizio predefinito o personalizzato di Compute Engine:

Per visualizzare le definizioni dei tag e i tag collegati alle risorse: Tag Viewer (roles/resourcemanager.tagViewer)
Per creare, aggiornare ed eliminare le definizioni dei tag: Amministratore tag (roles/resourcemanager.tagAdmin)
Per amministrare i tag a livello di organizzazione: Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) - nella risorsa dell'organizzazione
Per aggiungere e rimuovere i tag collegati alle risorse: Utente tag (roles/resourcemanager.tagUser), sia sul valore tag sia sulle risorse a cui associ il valore tag
Per collegare i tag alle istanze Cloud Data Fusion: Amministratore Cloud Data Fusion (roles/datafusion.admin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare i tag per gestire le risorse in Cloud Data Fusion sono necessarie le autorizzazioni seguenti:

resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.get
resourcemanager.tagValues.list
listTagBindings per il tipo di risorsa appropriato. Ad esempio, per visualizzare i tag collegati alle istanze Cloud Data Fusion: datafusion.instances.listTagBindings
listEffectiveTags per il tipo di risorsa appropriato. Ad esempio, per visualizzare tutti i tag associati o ereditati dalle istanze Cloud Data Fusion: datafusion.instances.listEffectiveTags

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Creare chiavi e valori dei tag

Prima di poter collegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creare un tag e Aggiungere valori di tag.

collega un tag a una risorsa

Dopo aver creato il tag, collegalo a una risorsa.

gcloud

Per collegare un tag a un'istanza, devi creare una risorsa di associazione di tag utilizzando il comando create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome dello spazio dei nomi del valore tag associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un'istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

Una notifica conferma la creazione dei tag.

Elenca i tag collegati a una risorsa

Puoi visualizzare un elenco di associazioni di tag collegate direttamente alla risorsa o ereditate dalla risorsa.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il comando list:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per elencare i tag in un'istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

La risposta si presenta nel seguente formato:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Scollega i tag da una risorsa

Puoi scollegare i tag direttamente associati a una risorsa. I tag ereditati possono essere sostituiti associando un tag con la stessa chiave e un valore diverso, ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegarne le chiavi e i valori da ogni risorsa a cui è associato.

gcloud

Per eliminare un'associazione di tag, utilizza il comando delete:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome dello spazio dei nomi del valore tag associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un'istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

Una notifica conferma l'aggiornamento dei tag.

Elimina chiavi e valori dei tag

Quando rimuovi la definizione di un valore o di una chiave tag, assicurati che il tag sia scollegato dalla risorsa. Prima di eliminare la definizione del tag, devi eliminare i collegamenti di tag esistenti, denominati associazioni di tag. Per eliminare le chiavi e i valori dei tag, consulta la sezione Eliminazione dei tag.

Condizioni e tag di Identity and Access Management

Puoi utilizzare tag e condizioni IAM per concedere in modo condizionale le associazioni di ruoli agli utenti della gerarchia. La modifica o l'eliminazione del tag associato a una risorsa può rimuovere l'accesso degli utenti alla risorsa se è stato applicato un criterio IAM con associazioni di ruoli condizionali. Per ulteriori informazioni, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi

Vedi gli altri servizi che supportano i tag.
Per informazioni su come utilizzare i tag con IAM, consulta Tag e accesso condizionale.