Cette page explique comment utiliser des tags pour gérer les ressources dans Cloud Data Fusion.
À propos des tags
Un tag est une paire clé-valeur qui peut être associée à une ressource dansGoogle Cloud. Vous pouvez utiliser des tags pour autoriser ou refuser de manière conditionnelle les règles selon qu'une ressource dispose ou non d'un tag spécifique. Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique. Pour en savoir plus sur les tags, consultez la page Présentation des tags.
Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Google Cloud .
Avant de commencer
Pour obtenir les autorisations pour les cas d'utilisation suivants, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources. Pour en savoir plus sur IAM dans Cloud Data Fusion, consultez la section Contrôle des accès avec IAM.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour utiliser des tags afin de gérer les ressources dans Cloud Data Fusion, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le compte de service Cloud Data Fusion, ainsi que sur le compte de service par défaut ou le compte de service personnalisé Compute Engine:
-
Pour afficher les définitions de tag et les tags associés aux ressources :
Lecteur de tags (
roles/resourcemanager.tagViewer) -
Pour créer, mettre à jour et supprimer des définitions de tags :
Administrateur de tags (
roles/resourcemanager.tagAdmin) -
Pour administrer les tags au niveau de l'organisation :
Lecteur de l'organisation (
roles/resourcemanager.organizationViewer) sur la ressource Organisation -
Pour ajouter et supprimer des tags associés à des ressources :
Utilisateur de tags (
roles/resourcemanager.tagUser) : à la fois sur la valeur de tag et sur les ressources auxquelles vous associez la valeur de tag -
Pour associer des tags à des instances Cloud Data Fusion :
Administrateur Cloud Data Fusion (
roles/datafusion.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser des balises afin de gérer les ressources dans Cloud Data Fusion. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Vous devez disposer des autorisations suivantes pour utiliser des tags pour gérer les ressources dans Cloud Data Fusion:
-
resourcemanager.tagKeys.get -
resourcemanager.tagKeys.list -
resourcemanager.tagValues.get -
resourcemanager.tagValues.list -
listTagBindingspour le type de ressource approprié. Par exemple, pour afficher les tags associés aux instances Cloud Data Fusion :datafusion.instances.listTagBindings -
listEffectiveTagspour le type de ressource approprié. Par exemple, pour afficher tous les tags associés aux instances Cloud Data Fusion ou dont celles-ci ont hérité :datafusion.instances.listEffectiveTags
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer des clés et des valeurs de tags
Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tag, consultez les sections Créer un tag et Ajouter des valeurs de tag.
Associer un tag à une ressource
Une fois le tag créé, associez-le à une ressource.
gcloud
Pour associer un tag à une instance, vous devez créer une ressource de liaison de tag à l'aide de la commande create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple,tagValues/567890123456.RESOURCE_ID: ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//datafusion.googleapis.com/). Par exemple, pour associer un tag à une instance dansprojects/7890123456située dansus-central1, utilisez l'ID de ressource suivant ://datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.LOCATION: emplacement de votre ressource. Exemple :us-central1.
Une notification confirme que vos balises ont été créées.
Lister les tags associés à une ressource
Vous pouvez afficher une liste de liaisons de tags directement associées à la ressource ou dont celle-ci a hérité.
gcloud
Pour obtenir la liste des liaisons de tags associées à une ressource, exécutez la commande list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
RESOURCE_ID: ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//datafusion.googleapis.com/). Par exemple, pour lister les tags dans une instance deprojects/7890123456située dansus-central1, utilisez l'ID de ressource suivant ://datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.LOCATION: emplacement de votre ressource. Exemple :us-central1.
La réponse se présente sous la forme suivante:
tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID
Dissocier des tags d'une ressource
Vous pouvez dissocier les tags qui ont été directement associés à une ressource. Les tags hérités peuvent être remplacés en associant un tag ayant la même clé et une valeur différente, mais ils ne peuvent pas être dissociés. Avant de pouvoir supprimer un tag, vous devez dissocier sa clé et ses valeurs de chaque ressource à laquelle il est associé.
gcloud
Pour supprimer une liaison de tag, exécutez la commande delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple,tagValues/567890123456.RESOURCE_ID: ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//datafusion.googleapis.com/). Par exemple, pour associer un tag à une instance dansprojects/7890123456située dansus-central1, utilisez l'ID de ressource suivant ://datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.LOCATION: emplacement de votre ressource. Exemple :us-central1.
Une notification confirme que vos balises ont été mises à jour.
Supprimer des clés et des valeurs de tags
Lorsque vous supprimez une clé ou une définition de valeur de tag, assurez-vous que le tag est dissocié de la ressource. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même. Pour supprimer des clés et des valeurs de tags, consultez la section Supprimer des tags.
Conditions et tags Identity and Access Management
Vous pouvez utiliser des tags et des conditions IAM pour attribuer des liaisons de rôles de manière conditionnelle aux utilisateurs dans votre hiérarchie. La modification ou la suppression du tag associé à une ressource peut supprimer l'accès des utilisateurs à cette ressource, si une stratégie IAM avec des liaisons de rôle conditionnelles a été appliquée. Pour en savoir plus, consultez la section Conditions et tags Identity and Access Management.
Étapes suivantes
- Consultez les autres services compatibles avec les tags.
- Pour apprendre à utiliser des tags avec IAM, consultez la section Tags et accès conditionnel.