Criar e gerenciar tags

Neste guia, descrevemos como criar e gerenciar tags em keyrings do Cloud KMS. As tags são pares de chave-valor anexados a uma organização, pasta ou projeto. É possível usar as tags para agrupar keyrings relacionados do Cloud KMS e armazenar metadados sobre esses recursos com base nas tags deles. Consulte Visão geral das tags para mais informações sobre hierarquia de recursos e herança de tags.

Os rótulos continuam sendo usados como estão para fins de extensibilidade e automação.

Antes de começar

O uso de tags requer os seguintes recursos e permissões:

Criar chaves e valores de tags

Antes de anexar uma tag, é preciso criá-la e configurar o valor dela. Para criar chaves e valores de tag, consulte Como criar uma tag e Como adicionar um valor de tag.

Anexar uma tag a um keyring

Após a criação da tag, será necessário anexá-la a um keyring. As tags são anexadas criando um recurso de vinculação de tags que vincula o valor ao keyring.

Console

  1. Acesse a página Keyrings de criptografia no Console do Cloud.

    Acessar a página "Keyrings de criptografia"

  2. Selecione o keyring a que você quer anexar uma tag.

  3. Clique em Mostrar painel de informações e, depois, na guia Tags.

  4. Na guia Tags, selecione Adicionar vinculações de tag.

  5. Insira o valor da tag que você quer adicionar. O valor da tag tem o formato: ORGANIZATION_ID/TAGKEY_SHORTNAME, ORGANIZATION_ID/TAGKEY_SHORTNAME/TAGVALUE_SHORTNAME, o ID permanente ou o nome do namespace do valor da tag que será anexada, por exemplo, tagValues/4567890123. Consulte os seguintes componentes de valor de tag para mais informações.

  6. Clique em Salvar vinculações para anexar a tag.

Quando a tag é adicionada, o valor dela é mostrado na coluna Tags do keyring e na seção Tags vinculadas no painel de informações.

Componentes do valor da tag:

  • ORGANIZATION_ID é o ID da organização que será o recurso pai dessa chave de tag; por exemplo: 12345678901. Para saber como conseguir o ID da sua organização, consulte Como criar e gerenciar organizações.

  • TAGKEY_SHORTNAME é o nome de exibição da chave de tag.

  • TAGVALUE_SHORTNAME é o nome curto do valor da tag.

gcloud

Para anexar uma tag a um keyring, crie um recurso de vinculação de tags usando o comando gcloud alpha resource-manager tags bindings create:

gcloud alpha resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=KEY_RING_RESOURCE_ID
--location=LOCATION

Em que:

  • TAGVALUE_NAME é o ID permanente ou o nome do namespace do valor da tag a ser anexado; por exemplo: tagValues/4567890123.

  • RESOURCE_ID é o ID completo do keyring, incluindo o nome de domínio da API, para identificar o tipo de recurso (//cloudkms.googleapis.com/). Por exemplo, para anexar uma tag a projects/7890123456, o ID completo é: //cloudkms.googleapis.com/projects/7890123456/locations/LOCATION/keyRings/KEY_RING_NAME

  • LOCATION é o local do recurso; Se você anexar uma tag a um recurso global, como uma pasta ou um projeto, omita essa sinalização. Se você estiver anexando uma tag a um recurso regional, precisará especificar o local, por exemplo: us-central1.

Para ajuda para localizar um ID de recurso do Cloud KMS, consulte Como recuperar o ID de um recurso.

Listar tags anexadas a um keyring

Os exemplos a seguir mostram uma lista de vinculações de tags anexadas diretamente ao keyring, mas não retornam nenhuma tag herdada dos recursos pai.

Console

  1. Acesse a página Keyrings de criptografia no Console do Cloud.

    Acessar a página "Keyrings de criptografia"

  2. As tags anexadas a um keyring são exibidas na coluna Tags do keyring associado.

Como alternativa, as tags também são listadas na seção Tags vinculadas do painel de informações do keyring.

gcloud

Para ver uma lista de vinculações de tags anexadas a um recurso, use o comando gcloud alpha resource-manager tags bindings list:

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Em que:

  • RESOURCE_ID é o ID completo do recurso, por exemplo: //cloudkms.googleapis.com/projects/7890123456/locations/LOCATION/keyRings/KEY_RING_NAME

  • LOCATION é o local do recurso; Se você anexar uma tag a um recurso global, como uma pasta ou um projeto, omita essa sinalização. Se você estiver anexando uma tag a um recurso regional, precisará especificar o local, por exemplo: us-central1.

Você receberá uma resposta semelhante a esta:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudkms.googleapis.com/projects/7890123456/

Remover tags de um keyring

É possível desanexar uma tag de um recurso excluindo o recurso de vinculação de tags. Para excluir uma tag, primeiro é necessário removê-la.

Console

  1. Acesse a página Keyrings de criptografia no Console do Cloud.

    Acessar a página "Keyrings de criptografia"

  2. Selecione o keyring com a tag que você quer remover.

  3. Clique em Mostrar painel de informações e, depois, na guia Tags.

  4. Na guia Tags, selecione Remover vinculações de tag.

  5. Selecione a tag que será removida da lista Tags vinculadas.

  6. Clique em Remover vinculações selecionadas para remover a tag.

gcloud

Para excluir uma vinculação de tag, use o comando gcloud alpha resource-manager tags bindings delete:

gcloud alpha resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Em que:

  • TAGVALUE_NAME é o ID permanente ou o nome do namespace do valor da tag anexado; por exemplo: tagValues/567890123456.

  • RESOURCE_ID é o ID completo do recurso, por exemplo: //cloudkms.googleapis.com/projects/7890123456/locations/LOCATION/keyRings/KEY_RING_NAME

  • LOCATION é o local do recurso; Se você anexar uma tag a um recurso global, como uma pasta ou um projeto, omita essa sinalização. Se você estiver anexando uma tag a um recurso regional, precisará especificar o local, por exemplo: us-central1

Excluir chaves e valores de tags

Ao remover uma chave ou definição de valor de tag, verifique se a tag foi removida do keyring. Você precisa excluir os anexos de tag existentes, chamados de vinculações de tag, antes de excluir a definição da tag propriamente dita. Para excluir chaves e valores de tag, consulte Como excluir tags.

A seguir