Contrôler l'accès avec des tags

Cette page explique comment utiliser des tags pour gérer les ressources dans Cloud Data Fusion.

Vous pouvez associer des tags à des instances Cloud Data Fusion. L'ajout de tags fournit des métadonnées essentielles pour vos ressources. Il facilite l'organisation, le suivi des coûts et l'application automatique de règles.

À propos des tags

Un tag est une paire clé-valeur que vous pouvez associer à une ressource dansGoogle Cloud. Vous pouvez utiliser des tags pour autoriser ou refuser de manière conditionnelle les règles selon qu'une ressource dispose ou non d'un tag spécifique. Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Google Cloud .

Avant de commencer

Pour obtenir les autorisations correspondant aux cas d'utilisation suivants, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources. Pour en savoir plus sur IAM dans Cloud Data Fusion, consultez Contrôle des accès avec IAM.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour utiliser des tags afin de gérer les instances dans Cloud Data Fusion, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le compte de service Cloud Data Fusion, ainsi que sur le compte de service Compute Engine par défaut ou le compte de service personnalisé :

  • Pour afficher les définitions de tag et les tags associés aux instances : Lecteur de tags (roles/resourcemanager.tagViewer)
  • Pour créer, mettre à jour et supprimer des définitions de tags : Administrateur de tags (roles/resourcemanager.tagAdmin)
  • Pour administrer les tags au niveau de l'organisation : Lecteur de l'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation
  • Pour ajouter et supprimer des tags associés à des instances : Utilisateur de tags (roles/resourcemanager.tagUser) : sur la valeur de tag et sur les ressources auxquelles vous associez la valeur de tag
  • Pour associer des tags à des instances Cloud Data Fusion : Administrateur Cloud Data Fusion (roles/datafusion.admin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser des tags afin de gérer les instances dans Cloud Data Fusion. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser des tags afin de gérer les instances dans Cloud Data Fusion :

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings pour le type de ressource approprié. Par exemple, pour afficher les tags associés aux instances Cloud Data Fusion : datafusion.instances.listTagBindings
  • listEffectiveTags pour le type de ressource approprié. Par exemple, pour afficher tous les tags associés aux instances Cloud Data Fusion ou dont celles-ci ont hérité : datafusion.instances.listEffectiveTags

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des clés et des valeurs de tags

Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tags, consultez les sections Créer un tag et Ajouter des valeurs de tag.

Associer des tags à des instances Cloud Data Fusion

Vous pouvez associer des tags à une instance Cloud Data Fusion lors de sa création ou après.

Associer des tags lors de la création d'une instance

Vous pouvez associer des tags lorsque vous créez une instance Cloud Data Fusion.

gcloud

Exécutez la commande gcloud beta data-fusion instances create avec l'option --tags :

gcloud beta data-fusion instances create INSTANCE_ID \
    --tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Vous pouvez ajouter plusieurs tags à la fois.

Remplacez les éléments suivants :

  • INSTANCE_ID : nom de votre instance Cloud Data Fusion.
  • TAGKEY_ID : ID numérique de la clé de tag, sans espace de noms (par exemple, 123456789012).
  • TAGVALUE_ID : ID numérique permanent de la valeur du tag. Exemple :4567890123

REST

Envoyez une requête POST à l'URL suivante :

POST https://datafusion.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instanceID=INSTANCE_ID

Fournissez le code JSON suivant dans le corps de la requête :

{
    "tags": {
        "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID"
    }
    // Other fields omitted
}

Remplacez les éléments suivants :

  • PROJECT_ID : par l'ID du projet.
  • INSTANCE_ID : nom de votre instance Cloud Data Fusion.
  • TAGKEY_ID : ID numérique de la clé de tag.
  • TAGVALUE_ID : ID numérique permanent de la valeur de tag. Exemple :4567890123

Pour en savoir plus, consultez les documentations de référence de l'API v1 et v1beta1.

Vous pouvez ajouter plusieurs tags à la fois.

Associer des tags après la création de l'instance

Vous pouvez associer des tags à une instance Cloud Data Fusion après l'avoir créée.

gcloud

Pour associer un tag à une instance, vous devez créer une ressource de liaison de tag à l'aide de la commande create :

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID : ID complet de la ressource, y compris le nom de domaine de l'API, qui identifie le type de ressource (//datafusion.googleapis.com/). Par exemple, pour associer un tag à une instance dans projects/7890123456 située dans us-central1, utilisez l'ID de ressource suivant : //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION : emplacement de votre ressource. Exemple : us-central1.

Une notification confirme que vos balises ont été créées.

Cette action n'entraîne pas le redémarrage de l'instance.

Lister les tags associés à une instance

Vous pouvez afficher une liste de liaisons de tags directement associées à l'instance Cloud Data Fusion ou dont celle-ci a hérité.

gcloud

Pour obtenir la liste des liaisons de tags associées à une instance, exécutez la commande list :

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Remplacez les éléments suivants :

  • RESOURCE_ID : ID complet de la ressource, y compris le nom de domaine de l'API, qui identifie le type de ressource (//datafusion.googleapis.com/). Par exemple, pour lister les tags d'une instance dans projects/7890123456 située dans us-central1, utilisez l'ID de ressource suivant : //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION : emplacement de votre ressource. Exemple : us-central1.

La réponse se présente sous la forme suivante :

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Dissocier des tags d'une instance

Vous pouvez dissocier les tags qui ont été directement associés à une instance Cloud Data Fusion. Les tags hérités peuvent être remplacés en associant un tag ayant la même clé et une valeur différente, mais ils ne peuvent pas être dissociés. Avant de pouvoir supprimer un tag, vous devez dissocier sa clé et ses valeurs de chaque instance à laquelle il est associé.

gcloud

Pour supprimer une liaison de tag, exécutez la commande delete :

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID : ID complet de la ressource, y compris le nom de domaine de l'API, qui identifie le type de ressource (//datafusion.googleapis.com/). Par exemple, pour associer un tag à une instance dans projects/7890123456 située dans us-central1, utilisez l'ID de ressource suivant : //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION : emplacement de votre ressource. Exemple : us-central1.

Une notification confirme que vos balises ont été mises à jour.

Supprimer des clés et des valeurs de tags

Lorsque vous supprimez une clé ou une définition de valeur de tag, assurez-vous que le tag est dissocié de l'instance. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même. Pour supprimer des clés et des valeurs de tags, consultez la section Supprimer des tags.

Conditions et tags Identity and Access Management

Vous pouvez utiliser des tags et des conditions IAM pour attribuer des liaisons de rôles de manière conditionnelle aux utilisateurs dans votre hiérarchie. La modification ou la suppression du tag associé à une instance peut supprimer l'accès des utilisateurs à cette instance, si une stratégie IAM avec des liaisons de rôle conditionnelles a été appliquée. Pour en savoir plus, consultez la section Conditions et tags Identity and Access Management.

Étapes suivantes