Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare l'accesso con i tag

In questa pagina viene descritto come utilizzare i tag per gestire le risorse in Cloud Data Fusion.

Informazioni sui tag

Un tag è una coppia chiave-valore collegabile a una risorsa all'interno in Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri in base se una risorsa ha un tag specifico. Ad esempio, puoi concedere in modo condizionale i ruoli di Identity and Access Management (IAM) a seconda che una risorsa abbia un tag specifico. Per ulteriori informazioni sui tag, consulta Panoramica dei tag.

I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega alla risorsa Google Cloud.

Prima di iniziare

Per ottenere le autorizzazioni per i seguenti casi d'uso, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse. Per per saperne di più su IAM in Cloud Data Fusion, consulta Controllo dell'accesso con IAM.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'account di servizio Cloud Data Fusion e nell'account di servizio predefinito di Compute Engine o nell'account di servizio personalizzato:

Per visualizzare le definizioni dei tag e i tag associati alle risorse: Tag Viewer (roles/resourcemanager.tagViewer)
Per creare, aggiornare ed eliminare le definizioni dei tag: Amministratore tag (roles/resourcemanager.tagAdmin)
Per amministrare i tag a livello di organizzazione: Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) - nella risorsa dell'organizzazione
Per aggiungere e rimuovere i tag collegati alle risorse: Utente tag (roles/resourcemanager.tagUser), sia nel valore tag sia nelle risorse a cui associ il valore tag
Per collegare tag alle istanze Cloud Data Fusion: Amministratore Cloud Data Fusion (roles/datafusion.admin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per utilizzare i tag per gestire le risorse in Cloud Data Fusion sono necessarie le autorizzazioni seguenti:

resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.get
resourcemanager.tagValues.list
listTagBindings per il tipo di risorsa appropriato. Ad esempio, per visualizzare i tag associati alle istanze Cloud Data Fusion: datafusion.instances.listTagBindings
listEffectiveTags per il tipo di risorsa appropriato. Ad esempio, per visualizzare tutti i tag associati o ereditati dalle istanze Cloud Data Fusion: datafusion.instances.listEffectiveTags

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.

Creare chiavi e valori dei tag

Prima di poter collegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creare un tag e Aggiungi i valori dei tag.

collega un tag a una risorsa

Dopo aver creato il tag, collegalo a una risorsa.

gcloud

Per collegare un tag a un'istanza, devi creare una risorsa di associazione di tag. utilizzando il comando create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: il nome permanente ID o nome dello spazio dei nomi del valore del tag associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo del risorsa, incluso il nome di dominio dell'API, che identifica il tipo (//datafusion.googleapis.com/). Ad esempio, per associare un tag a un in projects/7890123456 situata in us-central1, utilizza seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione del tuo risorsa. Ad esempio: us-central1.

Una notifica conferma la creazione dei tag.

Elenca i tag collegati a una risorsa

Puoi visualizzare un elenco di associazioni di tag collegate direttamente o ereditate dal risorsa.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il comando list:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo del risorsa, incluso il nome di dominio dell'API, che identifica il tipo (//datafusion.googleapis.com/). Ad esempio, per elencare i tag in una in projects/7890123456 situata in us-central1, utilizza seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione del tuo risorsa. Ad esempio: us-central1.

La risposta si presenta nel seguente formato:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Scollegare i tag da una risorsa

Puoi scollegare i tag direttamente associati a una risorsa. Ereditato tag può essere sostituito collegando un tag con la stessa chiave e un ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegare la chiave e i valori da ogni risorsa a cui è associato.

gcloud

Per eliminare un'associazione di tag, utilizza il comando delete:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: il nome permanente ID o nome dello spazio dei nomi del valore del tag associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo del risorsa, incluso il nome di dominio dell'API, che identifica il tipo (//datafusion.googleapis.com/). Ad esempio, per associare un tag a un in projects/7890123456 situata in us-central1, utilizza seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

Una notifica conferma l'aggiornamento dei tag.

Elimina chiavi e valori dei tag

Quando rimuovi una definizione di chiave o valore del tag, assicurati che il tag sia scollegato dalla risorsa. Devi eliminare gli allegati di tag esistenti, chiamati tag prima di eliminare la definizione del tag. Per eliminare le chiavi dei tag e il tag consulta la sezione Eliminazione dei tag.

Condizioni e tag di Identity and Access Management

Puoi utilizzare tag e condizioni IAM per concedere associazioni di ruoli agli utenti della gerarchia. La modifica o l'eliminazione del tag associato a una risorsa può rimuovere l'accesso degli utenti a quella risorsa se è stato applicato un criterio IAM con associazioni di ruoli condizionali. Per Per saperne di più, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi

Vedi gli altri servizi che supportano i tag.
Per informazioni su come utilizzare i tag con IAM, consulta la sezione Tag e condizionali l'accesso alle app.