Zugriff mit Tags steuern

Auf dieser Seite wird beschrieben, wie Sie mithilfe von Tags Ressourcen in Cloud Data Fusion verwalten.

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloud angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.

Hinweise

Bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren, um Berechtigungen für die folgenden Anwendungsfälle zu erhalten. Weitere Informationen zu IAM in Cloud Data Fusion finden Sie unter Zugriffssteuerung mit IAM.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Cloud Data Fusion-Dienstkonto und das Compute Engine-Standarddienstkonto oder das benutzerdefinierte Compute Engine-Dienstkonto zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Verwalten von Ressourcen in Cloud Data Fusion benötigen:

  • So sehen Sie sich Tag-Definitionen und Tags an, die an Ressourcen angehängt sind: Tag-Betrachter (roles/resourcemanager.tagViewer)
  • So erstellen, aktualisieren und löschen Sie Tag-Definitionen: Tag-Administrator (roles/resourcemanager.tagAdmin)
  • So verwalten Sie Tags auf Organisationsebene: Organisationsbetrachter (roles/resourcemanager.organizationViewer) – auf der Organisationsressource.
  • So fügen Sie Tags hinzu, die an Ressourcen angehängt sind, oder entfernen sie: Tag-Nutzer (roles/resourcemanager.tagUser) – sowohl für den Tag-Wert als auch für die Ressourcen, an die Sie den Tag-Wert anhängen
  • So hängen Sie Tags an Cloud Data Fusion-Instanzen an: Cloud Data Fusion-Administrator (roles/datafusion.admin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die erforderlich sind, um Tags zum Verwalten von Ressourcen in Cloud Data Fusion zu verwenden. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Tags zum Verwalten von Ressourcen in Cloud Data Fusion zu verwenden:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings für den entsprechenden Ressourcentyp. So rufen Sie beispielsweise Tags auf, die an Cloud Data Fusion-Instanzen angehängt sind: datafusion.instances.listTagBindings
  • listEffectiveTags für den entsprechenden Ressourcentyp. So rufen Sie beispielsweise alle Tags auf, die an Cloud Data Fusion-Instanzen angehängt oder von diesen übernommen wurden: datafusion.instances.listEffectiveTags

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.

Tag an eine Ressource anhängen

Nachdem das Tag erstellt wurde, hängen Sie es an eine Ressource an.

gcloud

Um ein Tag an eine Instanz anzuhängen, müssen Sie mit dem Befehl create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder den Namespace-Namen des angehängten Tag-Werts, z. B. tagValues/567890123456
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp identifiziert (//datafusion.googleapis.com/). Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 anhängen möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION ist der Standort Ihrer Ressource. Beispiel: us-central1

In einer Benachrichtigung wird bestätigt, dass Ihre Tags erstellt wurden.

An eine Ressource angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen ansehen, die direkt an die Ressource angehängt oder von ihr übernommen wurden.

gcloud

Verwenden Sie den Befehl list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp (//datafusion.googleapis.com/) identifiziert. Wenn Sie beispielsweise Tags in einer Instanz in projects/7890123456 in us-central1 auflisten möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION ist der Standort Ihrer Ressource. Beispiel: us-central1

Die Antwort hat folgende Form:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Tags von einer Ressource trennen

Sie können Tags entfernen, die direkt an eine Ressource angehängt wurden. Übernommene Tags können überschrieben werden, indem ein Tag mit demselben Schlüssel und einem anderen Wert angehängt wird. Sie lassen sich jedoch nicht trennen. Bevor Sie ein Tag löschen können, müssen Sie den Schlüssel und die Werte von allen Ressourcen trennen, an die es angehängt ist.

gcloud

Verwenden Sie den Befehl delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder den Namespace-Namen des angehängten Tag-Werts, z. B. tagValues/567890123456
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp identifiziert (//datafusion.googleapis.com/). Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 anhängen möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION ist der Standort Ihrer Ressource. Beispiel: us-central1

In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

Tag-Schlüssel und -Werte löschen

Wenn Sie einen Tag-Schlüssel oder eine Tag-Wertdefinition entfernen, muss das Tag von der Ressource getrennt sein. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte