Creazione e gestione dei tag

Questa guida descrive come creare e gestire i tag per le risorse degli account di servizio.

Informazioni sui tag

Un tag è una coppia chiave-valore collegabile a una risorsa all'interno in Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale I ruoli IAM (Identity and Access Management) si basano sulla presenza o meno di un tag specifico per una risorsa. Per saperne di più sui tag, consulta la Panoramica dei tag.

I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega alla risorsa Google Cloud.

Autorizzazioni obbligatorie

Le autorizzazioni necessarie dipendono dall'azione da eseguire.

Per ottenere queste autorizzazioni, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse.

Visualizza tag

Per visualizzare le definizioni dei tag e i tag associati alle risorse, devi disporre Visualizzatore tag (roles/resourcemanager.tagViewer) o un altro ruolo che include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings per il tipo di risorsa appropriato. Ad esempio, compute.instances.listTagBindings per visualizzare i tag associati alle istanze Compute Engine.
  • listEffectiveTags
  • per il tipo di risorsa appropriato. Ad esempio, compute.instances.listEffectiveTags per visualizzare tutti i tag associati o ereditati dalle istanze Compute Engine.

Per visualizzare i tag a livello di organizzazione devi disporre del ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) sulla risorsa organizzazione.

Amministra i tag

Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre dei seguenti Ruolo di Amministratore tag (roles/resourcemanager.tagAdmin) o un altro ruolo che include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Per amministrare i tag a livello di organizzazione è necessario Ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) in risorsa dell'organizzazione.

Gestire i tag nelle risorse

Per aggiungere e rimuovere i tag collegati alle risorse, devi disporre del ruolo Utente tag (roles/resourcemanager.tagUser) o di un altro ruolo con autorizzazioni equivalenti sia per il valore tag sia per le risorse a cui colleghi il valore tag. Il ruolo Tagga utente include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • Autorizzazioni richieste per la risorsa a cui stai collegando il valore tag
    • Autorizzazione createTagBinding specifica della risorsa, ad esempio compute.instances.createTagBinding per Compute Engine di Compute Engine.
    • Autorizzazione deleteTagBinding specifica per risorsa, ad esempio compute.instances.deleteTagBinding per le istanze di Compute Engine.
  • Autorizzazioni richieste per il valore tag:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorizzazioni che consentono di visualizzare progetti e definizioni di tag:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Per ottenere le autorizzazioni necessarie per associare i tag agli account di servizio, chiedi all'amministratore di concederti il ruolo IAM Amministratore account di servizio (roles/iam.ServiceAccountAdmin) nell'account di servizio. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare chiavi e valori dei tag

Prima di poter allegare un tag, devi crearlo e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creare un tag e Aggiungere un valore del tag.

Collega un tag a un account di servizio

Dopo aver creato il tag, devi collegarlo a un account di servizio.

gcloud

Per collegare un tag a un account di servizio, devi creare un di associazione di tag utilizzando Comando gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID
      

Sostituisci quanto segue:

  • TAGVALUE_NAME: l'ID permanente o il nome nello spazio dei nomi del valore del tag associato, ad esempio tagValues/567890123456.
  • RESOURCE_ID: l'ID o l'indirizzo email univoco dell'account di servizio incluso il nome di dominio dell'API (//iam.googleapis.com/). Per Ad esempio, l'ID completo di un account di servizio con ID univoco 1029384756 nel progetto test-project è //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Elenca i tag associati a un account di servizio

Puoi visualizzare un elenco di associazioni di tag collegate direttamente o ereditate dal l'account di servizio.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il metodo Comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID
      

Sostituisci quanto segue:

  • RESOURCE_ID: l'ID univoco o l'indirizzo email dell'account di servizio, incluso il nome di dominio dell'API (//iam.googleapis.com/). Ad esempio, l'ID completo di un account di servizio con ID univoco 1029384756 nel progetto test-project è //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Dovresti ricevere una risposta simile alla seguente:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756
      

Scollegare i tag da un account di servizio

Puoi scollegare i tag che sono stati collegati direttamente a un account di servizio. I tag ereditati possono essere sostituiti collegando un tag con la stessa chiave e un valore diverso, ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegare le relative chiavi e i relativi valori da ogni risorsa a cui è collegato.

gcloud

Per eliminare un'associazione di tag, utilizza il gcloud resource-manager tags bindings delete comando:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID
      

Sostituisci quanto segue:

  • TAGVALUE_NAME: l'ID permanente o il nome nello spazio dei nomi del valore del tag associato, ad esempio tagValues/567890123456.
  • RESOURCE_ID: l'ID o l'indirizzo email univoco dell'account di servizio incluso il nome di dominio dell'API (//iam.googleapis.com/). Per Ad esempio, l'ID completo di un account di servizio con ID univoco 1029384756 nel progetto test-project è //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Eliminare le chiavi e i valori dei tag

Quando rimuovi una definizione di chiave o valore del tag, assicurati che il tag sia scollegato dall'account di servizio. Devi eliminare gli allegati di tag esistenti, chiamati tag prima di eliminare la definizione del tag. Per eliminare le chiavi e i valori dei tag, consulta la sezione Eliminare i tag.

Condizioni e tag di Identity and Access Management

Puoi utilizzare tag e condizioni IAM per concedere associazioni di ruoli agli utenti della gerarchia. Modifica o eliminazione del tag associato a una risorsa può rimuovere l'accesso degli utenti a quella risorsa se È stato applicato il criterio IAM con associazioni di ruoli condizionali. Per Per saperne di più, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi