Zugriff mit Tags steuern

Auf dieser Seite wird beschrieben, wie Sie mithilfe von Tags Ressourcen in Cloud Data Fusion verwalten.

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource inGoogle Cloudangehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft.

Hinweise

Wenn Sie Berechtigungen für die folgenden Anwendungsfälle benötigen, bitten Sie Ihren Administrator, Ihnen die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren. Weitere Informationen zu IAM in Cloud Data Fusion finden Sie unter Zugriffssteuerung mit IAM.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Cloud Data Fusion-Dienstkonto und das Compute Engine-Standarddienstkonto oder benutzerdefinierte Dienstkonto zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Ressourcen in Cloud Data Fusion mithilfe von Tags benötigen:

  • So rufen Sie Tag-Definitionen und Tags auf, die an Ressourcen angehängt sind: Tag-Betrachter (roles/resourcemanager.tagViewer)
  • Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen: Tag-Administrator (roles/resourcemanager.tagAdmin)
  • Zum Verwalten von Tags auf Organisationsebene: Rolle „Organization Viewer“ (roles/resourcemanager.organizationViewer) für die Organisationsressource
  • So fügen Sie an Ressourcen angehängte Tags hinzu und entfernen sie: Tag-Nutzer (roles/resourcemanager.tagUser) – sowohl für den Tag-Wert als auch für die Ressourcen, an die Sie den Tag-Wert anhängen
  • So fügen Sie Cloud Data Fusion-Instanzen Tags hinzu: Cloud Data Fusion-Administrator (roles/datafusion.admin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Ressourcen in Cloud Data Fusion mithilfe von Tags erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Ressourcen in Cloud Data Fusion mithilfe von Tags zu verwalten:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings für den entsprechenden Ressourcentyp. So rufen Sie beispielsweise Tags auf, die an Cloud Data Fusion-Instanzen angehängt sind: datafusion.instances.listTagBindings
  • listEffectiveTags für den entsprechenden Ressourcentyp. Beispiel: So rufen Sie alle Tags auf, die an Cloud Data Fusion-Instanzen angehängt oder von diesen übernommen wurden: datafusion.instances.listEffectiveTags

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.

Tag an eine Ressource anhängen

Hängen Sie das Tag nach dem Erstellen an eine Ressource an.

gcloud

Wenn Sie ein Tag an eine Instanz anhängen möchten, müssen Sie mit dem Befehl create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: Die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//datafusion.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 anhängen möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

In einer Benachrichtigung wird bestätigt, dass Ihre Tags erstellt wurden.

An eine Ressource angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an die Ressource angehängt oder von ihr übernommen wurden.

gcloud

Verwenden Sie den Befehl list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//datafusion.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise Tags in einer Instanz in projects/7890123456 unter us-central1 auflisten möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

Die Antwort hat das folgende Format:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Tags von einer Ressource trennen

Sie können Tags, die direkt an eine Ressource angehängt wurden, trennen. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden. Bevor Sie ein Tag löschen können, müssen Sie dessen Schlüssel und Werte von allen Ressourcen trennen, an die es angehängt ist.

gcloud

Verwenden Sie den Befehl delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: Die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//datafusion.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an eine Instanz in projects/7890123456 in us-central1 anhängen möchten, verwenden Sie die folgende Ressourcen-ID: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: Der Standort Ihrer Ressource. Beispiel: us-central1

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

Tag-Schlüssel und -Werte löschen

Achten Sie beim Entfernen eines Tag-Schlüssels oder einer Wertedefinition darauf, dass das Tag von der Ressource getrennt ist. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte