Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare l'accesso con i tag

Questa pagina descrive come utilizzare i tag per gestire le risorse in Cloud Data Fusion.

Informazioni sui tag

Un tag è una coppia chiave-valore che può essere collegata a una risorsa all'interno diGoogle Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale i ruoli di Identity and Access Management (IAM) a seconda che una risorsa abbia un tag specifico. Per saperne di più sui tag, consulta la Panoramica dei tag.

I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega il valore alla Google Cloud risorsa.

Prima di iniziare

Per ottenere le autorizzazioni per i seguenti casi d'uso, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse. Per maggiori informazioni su IAM in Cloud Data Fusion, consulta Controllo dell'accesso con IAM.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'account di servizio Cloud Data Fusion e nell'account di servizio predefinito o personalizzato di Compute Engine:

Per visualizzare le definizioni dei tag e i tag associati alle risorse: Tag Viewer (roles/resourcemanager.tagViewer)
Per creare, aggiornare ed eliminare le definizioni dei tag: Amministratore dei tag (roles/resourcemanager.tagAdmin)
Per amministrare i tag a livello di organizzazione: Visualizzatore organizzazione (roles/resourcemanager.organizationViewer): nella risorsa dell'organizzazione
Per aggiungere e rimuovere i tag associati alle risorse: Tagga utente (roles/resourcemanager.tagUser): sia sul valore tag sia sulle risorse a cui lo colleghi
Per associare i tag alle istanze Cloud Data Fusion: Amministratore Cloud Data Fusion (roles/datafusion.admin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare i tag per gestire le risorse in Cloud Data Fusion. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per utilizzare i tag per gestire le risorse in Cloud Data Fusion sono necessarie le seguenti autorizzazioni:

resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.get
resourcemanager.tagValues.list
listTagBindings per il tipo di risorsa appropriato. Ad esempio, per visualizzare i tag associati alle istanze Cloud Data Fusion: datafusion.instances.listTagBindings
listEffectiveTags per il tipo di risorsa appropriato. Ad esempio, per visualizzare tutti i tag associati o ereditati dalle istanze Cloud Data Fusion: datafusion.instances.listEffectiveTags

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare chiavi e valori dei tag

Prima di poter allegare un tag, devi crearlo e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creare un tag e Aggiungere valori dei tag.

Associare un tag a una risorsa

Dopo aver creato il tag, associalo a una risorsa.

gcloud

Per associare un tag a un'istanza, devi creare una risorsa di associazione dei tag utilizzando il comando create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome dello spazio dei nomi del valore del tag a cui è associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un' istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

Una notifica conferma che i tag sono stati creati.

Elenca i tag associati a una risorsa

Puoi visualizzare un elenco di associazioni di tag direttamente collegate alla risorsa o ereditate da essa.

gcloud

Per ottenere un elenco di associazioni di tag associate a una risorsa, utilizza il comando list:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per elencare i tag in un' istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

La risposta ha il seguente formato:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Scollegare i tag da una risorsa

Puoi scollegare i tag che sono stati collegati direttamente a una risorsa. I tag ereditati possono essere sostituiti associando un tag con la stessa chiave e un valore diverso, ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegare la chiave e i valori da ogni risorsa a cui è associato.

gcloud

Per eliminare un'associazione di tag, utilizza il comando delete:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome dello spazio dei nomi del valore del tag a cui è associato, ad esempio tagValues/567890123456.
RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un' istanza in projects/7890123456 situata in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
LOCATION: la posizione della risorsa. Ad esempio: us-central1.

Una notifica conferma che i tag sono aggiornati.

Eliminare le chiavi e i valori dei tag

Quando rimuovi una definizione di chiave o valore del tag, assicurati che il tag sia scollegato dalla risorsa. Devi eliminare gli allegati dei tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stessa. Per eliminare le chiavi e i valori dei tag, consulta la sezione Eliminare i tag.

Condizioni e tag di Identity and Access Management

Puoi utilizzare i tag e le condizioni IAM per concedere in modo condizionale le associazioni di ruoli agli utenti della gerarchia. La modifica o l'eliminazione del tag associato a una risorsa può rimuovere l'accesso degli utenti a quella risorsa se è stato applicato un criterio IAM con associazioni di ruoli condizionali. Per maggiori informazioni, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi

Consulta gli altri servizi che supportano i tag.
Per scoprire come utilizzare i tag con IAM, consulta Tag e accesso condizionale.