Mengontrol akses dengan tag

Halaman ini menjelaskan cara menggunakan tag untuk mengelola resource di Cloud Data Fusion.

Anda dapat melampirkan tag ke instance Cloud Data Fusion. Menambahkan tag menyediakan metadata penting untuk resource Anda dan membantu pengorganisasian, pelacakan biaya, dan penerapan kebijakan otomatis.

Tentang tag

Tag adalah pasangan nilai kunci yang dapat Anda lampirkan ke resource di Google Cloud. Anda dapat menggunakan tag untuk mengizinkan atau menolak kebijakan bersyarat berdasarkan apakah resource memiliki tag tertentu. Misalnya, Anda dapat memberikan peran Identity and Access Management (IAM) secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak. Untuk mengetahui informasi selengkapnya tentang tag, lihat Ringkasan tag.

Tag dikaitkan ke resource dengan membuat resource binding tag yang menautkan nilai ke resource Google Cloud .

Sebelum memulai

Untuk mendapatkan izin bagi kasus penggunaan berikut, minta administrator Anda untuk memberikan peran yang disarankan pada level hierarki resource yang sesuai. Untuk mengetahui informasi selengkapnya tentang IAM di Cloud Data Fusion, lihat Kontrol akses dengan IAM.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menggunakan tag guna mengelola instance di Cloud Data Fusion, minta administrator untuk memberi Anda peran IAM berikut pada akun layanan Cloud Data Fusion, dan akun layanan default Compute Engine atau akun layanan kustom:

• Untuk melihat definisi tag dan tag yang dikaitkan ke instance: Tag Viewer (roles/resourcemanager.tagViewer)
• Untuk membuat, memperbarui, dan menghapus definisi tag: Tag Administrator (roles/resourcemanager.tagAdmin)
• Untuk mengelola tag di tingkat organisasi: Organization Viewer (roles/resourcemanager.organizationViewer) - di resource organisasi
• Untuk menambahkan dan menghapus tag yang dikaitkan ke instance: Tag User (roles/resourcemanager.tagUser) - di nilai tag dan resource tempat Anda mengaitkan nilai tag
• Untuk melampirkan tag ke instance Cloud Data Fusion: Admin Cloud Data Fusion (roles/datafusion.admin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan tag guna mengelola instance di Cloud Data Fusion. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat kunci dan nilai tag

Sebelum dapat mengaitkan tag, Anda harus membuat tag dan mengonfigurasi nilainya. Untuk membuat kunci tag dan nilai tag, lihat Membuat tag dan Menambahkan nilai tag.

Melampirkan tag ke instance Cloud Data Fusion

Anda dapat melampirkan tag ke instance Cloud Data Fusion selama dan setelah membuat instance.

Melampirkan tag selama pembuatan instance

Anda dapat melampirkan tag saat membuat instance Cloud Data Fusion.

gcloud beta data-fusion instances create INSTANCE_ID \
    --tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

POST https://datafusion.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instanceID=INSTANCE_ID

{
    "tags": {
        "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID"
    }
    // Other fields omitted
}

Melampirkan tag setelah membuat instance

Anda dapat melampirkan tag ke instance Cloud Data Fusion setelah membuat instance.

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Mencantumkan tag yang dilampirkan ke instance

Anda dapat melihat daftar binding tag yang dikaitkan langsung atau diwarisi oleh instance Cloud Data Fusion.

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Melepaskan tag dari instance

Anda dapat melepaskan tag yang telah dikaitkan secara langsung ke instance Cloud Data Fusion. Tag yang diwariskan dapat diganti dengan melampirkan tag dengan kunci yang sama dan nilai yang berbeda, tetapi tag tersebut tidak dapat dilepaskan. Sebelum menghapus tag, Anda harus melepaskan kunci dan nilainya dari setiap instance tempat tag tersebut dikaitkan.

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Menghapus kunci dan nilai tag

Saat menghapus kunci tag atau definisi nilai, pastikan tag tersebut dilepaskan dari instance. Anda harus menghapus lampiran tag yang ada, yang disebut binding tag, sebelum menghapus definisi tag itu sendiri. Untuk menghapus kunci tag dan nilai tag, lihat Menghapus tag.

Kondisi dan tag Identity and Access Management

Anda dapat menggunakan tag dan kondisi IAM untuk memberikan binding peran bersyarat kepada pengguna dalam hierarki Anda. Mengubah atau menghapus tag yang dikaitkan ke instance dapat menghapus akses pengguna ke instance tersebut jika kebijakan IAM dengan binding peran bersyarat telah diterapkan. Untuk mengetahui informasi selengkapnya, lihat Kondisi dan tag Identity and Access Management.

Langkah berikutnya

• Lihat layanan lain yang mendukung tag.
• Untuk mempelajari cara menggunakan tag dengan IAM, lihat Tag dan akses bersyarat.