Crea y administra etiquetas

Puedes adjuntar etiquetas a los siguientes tipos de recursos de balanceo de cargas de Google Cloud:

  • Bucket de backend
    		•
  • Servicio de backend
    		•
  • Regla de reenvío
    		•
  • Verificación de estado
    		•
  • Grupo de extremos de red
    		•
  • Certificado SSL
    		•
  • Proxy HTTP(S) de destino
    		•
  • Instancia de destino
    		•
  • Grupo de destino
    		•
  • Proxy SSL de destino
    		•
  • Proxy TCP de destino
    		•
  • Mapa de URL
    		•

    Acerca de las etiquetas de política

    Una etiqueta es un par clave-valor que se puede adjuntar a un recurso dentro de Google Cloud. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes otorgar de forma condicional roles de Identity and Access Management (IAM) en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.

    Las etiquetas se adjuntan a los recursos con la creación de un recurso de vinculación de etiqueta que vincula el valor al recurso de Google Cloud.

    Para agrupar recursos de balanceo de cargas con fines de automatización y facturación, usa etiquetas. Las etiquetas de instancias y las etiquetas de recursos funcionan de manera independiente unas de otras y puedes aplicarlas a los recursos.

    Permisos necesarios

    Los permisos que necesitas dependen de la acción que debes realizar.

    Para obtener estos permisos, pídele a tu administrador que otorgue el rol sugerido en el nivel adecuado de la jerarquía de recursos.

    Visualiza etiquetas

    Para ver las definiciones y etiquetas de etiquetas que se adjuntan a los recursos, necesitas el rol visualizador de etiquetas (roles/resourcemanager.tagViewer) o bien otro rol que incluya los siguientes permisos:

    Permisos necesarios

    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.tagValues.list
    • resourcemanager.tagValues.get
    • listTagBindings para el tipo de recurso adecuado. Por ejemplo, compute.instances.listTagBindings para ver las etiquetas adjuntas a las instancias de Compute Engine.
    • listEffectiveTags
      • para el tipo de recurso adecuado. Por ejemplo, compute.instances.listEffectiveTags para ver todas las etiquetas adjuntas a las instancias de Compute Engine o heredadas de ellas.

    Para ver las etiquetas a nivel de la organización, necesitas el rol Visualizador de la organización (roles/resourcemanager.organizationViewer) en el recurso de la organización.

    Administra etiquetas

    Para crear, actualizar y borrar definiciones de etiquetas, necesitas el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) o algún otro rol que incluya los siguientes permisos:

    Permisos necesarios

    • resourcemanager.tagKeys.create
    • resourcemanager.tagKeys.update
    • resourcemanager.tagKeys.delete
    • resourcemanager.tagKeys.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.getIamPolicy
    • resourcemanager.tagKeys.setIamPolicy
    • resourcemanager.tagValues.create
    • resourcemanager.tagValues.update
    • resourcemanager.tagValues.delete
    • resourcemanager.tagValues.list
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.getIamPolicy
    • resourcemanager.tagValues.setIamPolicy

    Para administrar etiquetas a nivel de la organización, necesitas el rol Visualizador de la organización (roles/resourcemanager.organizationViewer) en el recurso de la organización.

    Administra etiquetas en los recursos

    Para agregar y quitar etiquetas adjuntas a los recursos, necesitas el rol Usuario de etiquetas (roles/resourcemanager.tagUser) o bien otro rol con permisos equivalentes, en el valor de etiqueta y los recursos a los que adjuntas el valor de etiqueta. El rol de Usuario de etiquetas incluye los siguientes permisos:

    Permisos necesarios

    • Permisos necesarios para el recurso al que adjuntas el valor de la etiqueta
      • Permiso createTagBinding específico del recurso, como compute.instances.createTagBinding para instancias de Compute Engine.
      • Permiso deleteTagBinding específico del recurso, como compute.instances.deleteTagBinding para instancias de Compute Engine.
    • Permisos necesarios para el valor de etiqueta:
      • resourcemanager.tagValueBindings.create
      • resourcemanager.tagValueBindings.delete
    • Permisos que te permiten ver proyectos y definiciones de etiquetas:
      • resourcemanager.tagValues.get
      • resourcemanager.tagValues.list
      • resourcemanager.tagKeys.get
      • resourcemanager.tagKeys.list
      • resourcemanager.projects.get

    Para adjuntar etiquetas a los recursos de balanceo de cargas, necesitas el rol de administrador de red de Compute (roles/compute.networkAdmin) y el rol de administrador de seguridad de Compute. (roles/compute.securityAdmin)

    Crea claves y valores de etiqueta

    Antes de poder adjuntar una etiqueta, debes crear una y configurar su valor. Para crear claves de etiquetas y valores de la etiqueta, consulta Crea una etiqueta y Agrega un valor de etiqueta.

    Adjunta una etiqueta a un recurso de balanceo de cargas

    Después de crear la etiqueta, debes adjuntarla a un recurso de balanceo de cargas.

    gcloud

    Para adjuntar una etiqueta a un recurso de balanceo de cargas, debes crear un recurso de vinculación de etiqueta con el comando gcloud resource-manager tags bindings create:

          gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

    Reemplaza lo siguiente:

    • TAGVALUE_NAME: el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo: tagValues/567890123456.
    • RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/)

      Por ejemplo:

      • El ID de recurso de un recurso global, como un proxy HTTP de destino en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/global/targetHttpProxies/{resource-id}
      • El ID de recurso de un recurso regional, como un servicio de backend regional en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id}
      • El ID de recurso de un recurso zonal, como un grupo de extremos de red en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
    • LOCATION: la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación, por ejemplo, us-central1 (región) o us-central1-a (zona).

    Enumera las etiquetas adjuntas a un recurso de balanceo de cargas

    Puedes ver directamente una lista de vinculaciones de etiquetas adjuntas al recurso de balanceo de cargas o heredadas por dicho recurso.

    gcloud

    Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:

          gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

    Reemplaza lo siguiente:

    • RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/)

      Por ejemplo:

      • El ID de recurso de un recurso global, como un proxy HTTP de destino en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/global/targetHttpProxies/{resource-id}
      • El ID de recurso de un recurso regional, como un servicio de backend regional en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id}
      • El ID de recurso de un recurso zonal, como un grupo de extremos de red en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
    • LOCATION: la ubicación de tu recurso. Si ves una etiqueta adjunta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si ves una etiqueta adjunta a un recurso regional o zonal, debes especificar la ubicación, por ejemplo, us-central1 (región) o us-central1-a (zona).

    Deberías recibir una respuesta similar a la que figura a continuación:

    name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource:
//compute.googleapis.com/projects/7890123456/regions/REGION/targetHttpProxies/{resource-id}

    Desconecta etiquetas de un recurso de balanceo de cargas

    Puedes desconectar las etiquetas que se adjuntaron directamente a un recurso de balanceo de cargas. Las etiquetas heredadas se pueden anular adjuntando una etiqueta con la misma clave y un valor diferente, pero no se pueden desconectar. Antes de borrar una etiqueta, debes desconectar su clave y sus valores de cada recurso al que esté conectado.

    gcloud

    Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

          gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

    Reemplaza lo siguiente:

    • TAGVALUE_NAME: el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo: tagValues/567890123456.
    • RESOURCE_ID: el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/)

      Por ejemplo:

      • El ID de recurso de un recurso global, como un proxy HTTP de destino en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/global/targetHttpProxies/{resource-id}
      • El ID de recurso de un recurso regional, como un servicio de backend regional en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id}
      • El ID de recurso de un recurso zonal, como un grupo de extremos de red en projects/7890123456, es el siguiente: //compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
    • LOCATION: la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación, por ejemplo, us-central1 (región) o us-central1-a (zona).

    Borra claves y valores de etiqueta

    Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté desconectada del recurso de balanceo de cargas. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.

    Etiquetas y condiciones de Identity and Access Management

    Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios en la jerarquía de tu proyecto. Cambiar o borrar la etiqueta adjunta a un recurso puede quitar el acceso del usuario a ese recurso si se aplicó una política de IAM con vinculaciones de funciones condicionales. Para obtener más información, consulta Etiquetas y condiciones de Identity and Access Management.

    ¿Qué sigue?