In diesem Artikel erfahren Sie, wie Sie ein Tag an Ihre vorhandene Domain in Managed Service for Microsoft Active Directory (Managed Microsoft AD) anhängen, an eine Domain angehängte Tags auflisten und Tags aus einer Domain entfernen.
Überblick
Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloud angehängt werden kann. Mit Tags können Sie Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Sie können IAM-Rollen beispielsweise abhängig davon gewähren, ob eine Managed Microsoft AD-Domain ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags.
Tags werden an Ressourcen angehängt, indem eine Ressource für die Tag-Bindung erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.
Hinweise
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Erstellen Sie Tag-Schlüssel und fügen Sie Tag-Werte hinzu. Weitere Informationen zum Erstellen von Tag-Schlüsseln und zum Hinzufügen von Tag-Werten finden Sie unter Tags erstellen und verwalten.
- Rufen Sie die permanente ID der Tag-Werte ab. Die permanente ID ist eine eindeutige Kennung, die angezeigt wird, wenn dem Tag-Schlüssel ein Tag-Wert hinzugefügt wird. Weitere Informationen finden Sie unter Tag-Definitionen und Kennungen.
- Sie benötigen die folgende Rolle „Tag-Nutzer“:
roles/resourcemanager.tagUser. Weitere Informationen zur Rolle finden Sie unter Resource Manager-Rollen.
Tags an eine Domain anhängen
Sie müssen eine Tag-Bindungsressource erstellen, um ein Tag an Ihre Managed Microsoft AD-Domain anzuhängen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des hinzuzufügenden Tag-Werts. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten die Details der Tag-Bindung, die als Antwort erstellt wurde.
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Nachdem Sie die Tag-Bindung erstellt haben, können Sie Organisationsrichtlinien für diese Tags konfigurieren. Verwenden Sie dazu Bedingungen, die definieren, wann die Richtlinie erzwungen werden muss. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
An eine Domain angehängte Tags auflisten
Sie können die Liste der Tag-Bindungsressourcen abrufen, die an Ihre Managed Microsoft AD-Domain angehängt sind.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten die Liste der Tag-Bindungsressourcen, die an Ihre Domain angehängt sind, als Antwort.
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Tags von einer Domain trennen
Sie müssen die Tag-Bindungsressource löschen, um ein Tag von Ihrer Managed Microsoft AD-Domain zu trennen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des hinzuzufügenden Tag-Werts. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Nächste Schritte
- Weitere Informationen zur Zugriffssteuerung mit Tags
- Weitere Informationen zum Festlegen einer Organisationsrichtlinie mit Tags