Questa guida descrive come creare e gestire i tag per le risorse degli account di servizio.
Informazioni sui tag
Un tag è una coppia chiave-valore collegabile a una risorsa all'interno in Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale I ruoli IAM (Identity and Access Management) si basano sulla presenza o meno di un tag specifico per una risorsa. Per saperne di più sui tag, consulta la Panoramica dei tag.
I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega alla risorsa Google Cloud.
Autorizzazioni obbligatorie
Le autorizzazioni necessarie dipendono dall'azione da eseguire.
Per ottenere queste autorizzazioni, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse.
Visualizza tag
Per visualizzare le definizioni dei tag e i tag associati alle risorse, devi disporre
Visualizzatore tag (roles/resourcemanager.tagViewer) o un altro ruolo che
include le seguenti autorizzazioni:
Autorizzazioni obbligatorie
resourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.tagValues.listresourcemanager.tagValues.getlistTagBindingsper il tipo di risorsa appropriato. Ad esempio,compute.instances.listTagBindingsper visualizzare i tag associati alle istanze Compute Engine.listEffectiveTags per il tipo di risorsa
appropriato.
Ad esempio,
compute.instances.listEffectiveTags per visualizzare tutti i tag associati o ereditati dalle istanze Compute Engine.
Per visualizzare i tag a livello di organizzazione devi disporre del ruolo Visualizzatore organizzazione
(roles/resourcemanager.organizationViewer) sulla risorsa organizzazione.
Amministra i tag
Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre dei seguenti
Ruolo di Amministratore tag (roles/resourcemanager.tagAdmin) o un altro ruolo
che include le seguenti autorizzazioni:
Autorizzazioni obbligatorie
resourcemanager.tagKeys.createresourcemanager.tagKeys.updateresourcemanager.tagKeys.deleteresourcemanager.tagKeys.listresourcemanager.tagKeys.getresourcemanager.tagKeys.getIamPolicyresourcemanager.tagKeys.setIamPolicyresourcemanager.tagValues.createresourcemanager.tagValues.updateresourcemanager.tagValues.deleteresourcemanager.tagValues.listresourcemanager.tagValues.getresourcemanager.tagValues.getIamPolicyresourcemanager.tagValues.setIamPolicy
Per amministrare i tag a livello di organizzazione è necessario
Ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) in
risorsa dell'organizzazione.
Gestire i tag nelle risorse
Per aggiungere e rimuovere i tag collegati alle risorse, devi disporre del ruolo Utente tag (roles/resourcemanager.tagUser) o di un altro ruolo con autorizzazioni equivalenti sia per il valore tag sia per le risorse a cui colleghi il valore tag. Il ruolo Tagga utente include le seguenti autorizzazioni:
Autorizzazioni obbligatorie
- Autorizzazioni richieste per la risorsa a cui stai collegando il valore tag
- Autorizzazione
createTagBindingspecifica della risorsa, ad esempiocompute.instances.createTagBindingper Compute Engine di Compute Engine. - Autorizzazione
deleteTagBindingspecifica per risorsa, ad esempiocompute.instances.deleteTagBindingper le istanze di Compute Engine. - Autorizzazioni richieste per il valore tag:
resourcemanager.tagValueBindings.createresourcemanager.tagValueBindings.delete- Autorizzazioni che consentono di visualizzare progetti e definizioni di tag:
resourcemanager.tagValues.getresourcemanager.tagValues.listresourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.projects.get
Per ottenere le autorizzazioni necessarie per associare i tag agli account di servizio,
chiedi all'amministratore di concederti il ruolo IAM Amministratore account di servizio (roles/iam.ServiceAccountAdmin) nell'account di servizio.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare chiavi e valori dei tag
Prima di poter allegare un tag, devi crearlo e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creare un tag e Aggiungere un valore del tag.
Collega un tag a un account di servizio
Dopo aver creato il tag, devi collegarlo a un account di servizio.
gcloud
Per collegare un tag a un account di servizio, devi creare un
di associazione di tag utilizzando
Comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Sostituisci quanto segue:
TAGVALUE_NAME: l'ID permanente o il nome nello spazio dei nomi del valore del tag associato, ad esempiotagValues/567890123456.-
RESOURCE_ID: l'ID o l'indirizzo email univoco dell'account di servizio incluso il nome di dominio dell'API (//iam.googleapis.com/). Per Ad esempio, l'ID completo di un account di servizio con ID univoco1029384756nel progettotest-projectè//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Elenca i tag associati a un account di servizio
Puoi visualizzare un elenco di associazioni di tag collegate direttamente o ereditate dal l'account di servizio.
gcloud
Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il metodo
Comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID
Sostituisci quanto segue:
-
RESOURCE_ID: l'ID univoco o l'indirizzo email dell'account di servizio, incluso il nome di dominio dell'API (//iam.googleapis.com/). Ad esempio, l'ID completo di un account di servizio con ID univoco1029384756nel progettotest-projectè//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Dovresti ricevere una risposta simile alla seguente:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756
Scollegare i tag da un account di servizio
Puoi scollegare i tag che sono stati collegati direttamente a un account di servizio. I tag ereditati possono essere sostituiti collegando un tag con la stessa chiave e un valore diverso, ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegare le relative chiavi e i relativi valori da ogni risorsa a cui è collegato.
gcloud
Per eliminare un'associazione di tag, utilizza il
gcloud resource-manager tags bindings delete comando:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Sostituisci quanto segue:
TAGVALUE_NAME: l'ID permanente o il nome nello spazio dei nomi del valore del tag associato, ad esempiotagValues/567890123456.-
RESOURCE_ID: l'ID o l'indirizzo email univoco dell'account di servizio incluso il nome di dominio dell'API (//iam.googleapis.com/). Per Ad esempio, l'ID completo di un account di servizio con ID univoco1029384756nel progettotest-projectè//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Eliminare le chiavi e i valori dei tag
Quando rimuovi una definizione di chiave o valore del tag, assicurati che il tag sia scollegato dall'account di servizio. Devi eliminare gli allegati di tag esistenti, chiamati tag prima di eliminare la definizione del tag. Per eliminare le chiavi e i valori dei tag, consulta la sezione Eliminare i tag.
Condizioni e tag di Identity and Access Management
Puoi utilizzare tag e condizioni IAM per concedere associazioni di ruoli agli utenti della gerarchia. Modifica o eliminazione del tag associato a una risorsa può rimuovere l'accesso degli utenti a quella risorsa se È stato applicato il criterio IAM con associazioni di ruoli condizionali. Per Per saperne di più, consulta Condizioni e tag di Identity and Access Management.
Passaggi successivi
- Vedi gli altri servizi che supportano i tag.
- Per scoprire come utilizzare i tag con IAM, consulta Tag e controllo dell'accesso.