Zugriff mit Tags steuern

Auf dieser Seite wird beschrieben, wie Sie Tags verwenden, um Ressourcen in Cloud Data Fusion zu verwalten.

Sie können Tags an Cloud Data Fusion-Instanzen anhängen. Durch das Hinzufügen von Tags werden wichtige Metadaten für Ihre Ressourcen bereitgestellt, die bei der Organisation, der Kostenverfolgung und der automatischen Richtlinienanwendung helfen.

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das Sie an eine Ressource inGoogle Cloudanhängen können. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft.

Hinweise

Bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren, um Berechtigungen für die folgenden Anwendungsfälle zu erhalten. Weitere Informationen zu IAM in Cloud Data Fusion finden Sie unter Zugriffssteuerung mit IAM.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Cloud Data Fusion-Dienstkonto und das Compute Engine-Standarddienstkonto oder das benutzerdefinierte Dienstkonto zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Instanzen in Cloud Data Fusion mit Tags benötigen:

  • So rufen Sie Tag-Definitionen und Tags auf, die an Instanzen angehängt sind: Tag-Betrachter (roles/resourcemanager.tagViewer)
  • Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen: Tag-Administrator (roles/resourcemanager.tagAdmin)
  • Zum Verwalten von Tags auf Organisationsebene: Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource
  • Zum Hinzufügen und Entfernen von Tags, die an Instanzen angehängt sind: Tag-Nutzer (roles/resourcemanager.tagUser) – sowohl für den Tag-Wert als auch für die Ressourcen, an die Sie den Tag-Wert anhängen
  • So hängen Sie Tags an Cloud Data Fusion-Instanzen an: Cloud Data Fusion-Administrator (roles/datafusion.admin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Instanzen in Cloud Data Fusion mit Tags erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Instanzen in Cloud Data Fusion mit Tags zu verwalten:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: So rufen Sie Tags auf, die an Cloud Data Fusion-Instanzen angehängt sind: datafusion.instances.listTagBindings
  • listEffectiveTags für den entsprechenden Ressourcentyp. Beispiel: So rufen Sie alle Tags auf, die an Cloud Data Fusion-Instanzen angehängt sind oder von diesen übernommen wurden: datafusion.instances.listEffectiveTags

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.

Tags an Cloud Data Fusion-Instanzen anhängen

Sie können einer Cloud Data Fusion-Instanz sowohl während als auch nach dem Erstellen der Instanz Tags hinzufügen.

Tags beim Erstellen einer Instanz anhängen

Sie können Tags anhängen, wenn Sie eine Cloud Data Fusion-Instanz erstellen.

gcloud

Verwenden Sie den Befehl gcloud beta data-fusion instances create mit dem Flag --tags:

gcloud beta data-fusion instances create INSTANCE_ID \
    --tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Es können mehrere Tags gleichzeitig hinzugefügt werden.

Ersetzen Sie Folgendes:

  • INSTANCE_ID: der Name Ihrer Cloud Data Fusion-Instanz.
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels ohne Namespace, z. B. 123456789012.
  • TAGVALUE_ID: Die permanente numerische ID des Tag-Werts. Beispiel: 4567890123.

REST

Senden Sie eine POST-Anfrage an die folgende URL:

POST https://datafusion.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instanceID=INSTANCE_ID

Geben Sie im Anfragetext den folgenden JSON-Code an:

{
    "tags": {
        "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID"
    }
    // Other fields omitted
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID.
  • INSTANCE_ID ist der Name Ihrer Cloud Data Fusion-Instanz.
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels.
  • TAGVALUE_ID: Die permanente numerische ID des Tag-Werts. Beispiel: 4567890123.

Weitere Informationen finden Sie in den API-Referenzen für v1 und v1beta1.

Sie können mehrere Tags gleichzeitig hinzufügen.

Tags nach dem Erstellen der Instanz anhängen

Sie können einer Cloud Data Fusion-Instanz Tags hinzufügen, nachdem Sie die Instanz erstellt haben.

gcloud

Wenn Sie ein Tag an eine Instanz anhängen möchten, müssen Sie mit dem Befehl create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp (//datafusion.googleapis.com/) identifiziert. Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 anhängen möchten, die sich in us-central1 befindet, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags erstellt wurden.

Durch diese Aktion wird die Instanz nicht neu gestartet.

An eine Instanz angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an die Cloud Data Fusion-Instanz angehängt oder von ihr übernommen wurden.

gcloud

Verwenden Sie den Befehl list, um eine Liste der Tag-Bindungen abzurufen, die an eine Instanz angehängt sind:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp (//datafusion.googleapis.com/) identifiziert. Wenn Sie beispielsweise Tags in einer Instanz in projects/7890123456 auflisten möchten, die sich in us-central1 befindet, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

Die Antwort hat das folgende Format:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Tags von einer Instanz trennen

Sie können Tags trennen, die direkt an eine Cloud Data Fusion-Instanz angehängt wurden. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden. Bevor Sie ein Tag löschen können, müssen Sie dessen Schlüssel und Werte von allen Instanzen trennen, an die es angehängt ist.

gcloud

Verwenden Sie den Befehl delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, der den Ressourcentyp (//datafusion.googleapis.com/) identifiziert. Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 anhängen möchten, die sich in us-central1 befindet, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

Tag-Schlüssel und -Werte löschen

Achten Sie beim Entfernen eines Tag-Schlüssels oder einer Wertedefinition darauf, dass das Tag von der Instanz getrennt ist. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Instanz angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Instanz entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte