Zugriff mit Tags steuern

Auf dieser Seite wird beschrieben, wie Sie mithilfe von Tags Ressourcen in Cloud Data Fusion verwalten.

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloud angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.

Hinweise

Bitten Sie Ihren Administrator, Ihnen Berechtigungen für folgende Anwendungsfälle zu gewähren, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie Für Weitere Informationen zu IAM in Cloud Data Fusion finden Sie unter Zugriffssteuerung mit IAM

Erforderliche Rollen und Berechtigungen

So erhalten Sie die erforderlichen Berechtigungen zum Verwalten von Ressourcen in Cloud Data Fusion mithilfe von Tags: bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für das Cloud Data Fusion-Dienstkonto und das Compute Engine-Standarddienstkonto oder benutzerdefiniertes Dienstkonto:

  • So rufen Sie Tag-Definitionen und Tags auf, die an Ressourcen angehängt sind: Tag-Betrachter (roles/resourcemanager.tagViewer)
  • So erstellen, aktualisieren und löschen Sie Tag-Definitionen: Tag-Administrator (roles/resourcemanager.tagAdmin)
  • So verwalten Sie Tags auf Organisationsebene: Organisationsbetrachter (roles/resourcemanager.organizationViewer) – für die Organisationsressource
  • So fügen Sie Tags hinzu, die an Ressourcen angehängt sind, und entfernen sie: Tag-Nutzer (roles/resourcemanager.tagUser) – sowohl für den Tag-Wert als auch für die Ressourcen, an die Sie den Tag-Wert anhängen
  • So fügen Sie Cloud Data Fusion-Instanzen Tags hinzu: Cloud Data Fusion-Administrator (roles/datafusion.admin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Verwenden von Tags zum Verwalten von Ressourcen in Cloud Data Fusion erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Tags zum Verwalten von Ressourcen in Cloud Data Fusion zu verwenden:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings für den entsprechenden Ressourcentyp. So rufen Sie beispielsweise Tags auf, die an Cloud Data Fusion-Instanzen angehängt sind: datafusion.instances.listTagBindings
  • listEffectiveTags für den entsprechenden Ressourcentyp. So rufen Sie beispielsweise alle Tags auf, die an Cloud Data Fusion-Instanzen angehängt oder von diesen übernommen wurden: datafusion.instances.listEffectiveTags

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.

Tag an eine Ressource anhängen

Nachdem das Tag erstellt wurde, hängen Sie es an eine Ressource an.

gcloud

Um ein Tag an eine Instanz anzuhängen, müssen Sie eine Tag-Bindungsressource erstellen, indem Sie Verwenden Sie dazu den Befehl create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder Namespace-Name des angehängten Tag-Werts, z. B. tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID des Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp identifiziert (//datafusion.googleapis.com/). Um beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 verwenden, verwenden Sie den folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

In einer Benachrichtigung wird bestätigt, dass Ihre Tags erstellt wurden.

An eine Ressource angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen ansehen, die direkt mit dem .

gcloud

Verwenden Sie den Befehl list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//datafusion.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise Tags in einer Instanz in projects/7890123456 unter us-central1 auflisten möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: der Standort Ihres . Beispiel: us-central1

Die Antwort hat folgende Form:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Tags von einer Ressource trennen

Sie können Tags, die direkt an eine Ressource angehängt wurden, trennen. Übernommen Tags können überschrieben werden, indem ein Tag mit demselben Schlüssel und einem anderen -Wert, können aber nicht getrennt werden. Bevor Sie ein Tag löschen können, müssen Sie es trennen Schlüssel und Werte von jeder Ressource, an die es angehängt ist.

gcloud

Verwenden Sie den Befehl delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder Namespace-Name des angehängten Tag-Werts, z. B. tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID des Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp identifiziert (//datafusion.googleapis.com/). Um beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 verwenden, verwenden Sie den folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID
  • LOCATION: der Standort Ihres . Beispiel: us-central1

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

Tag-Schlüssel und -Werte löschen

Wenn Sie einen Tag-Schlüssel oder eine Tag-Wertdefinition entfernen, muss das Tag getrennt sein aus der Ressource entfernt. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte