In diesem Artikel erfahren Sie, wie Sie ein Tag an Ihre vorhandene Domain in Managed Service for Microsoft Active Directory (Managed Microsoft AD) anhängen, Tags an eine Domain anhängen und Tags aus einer Domain entfernen.
Übersicht
Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloud angehängt werden kann. Mit Tags können Sie Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Beispielsweise können Sie IAM-Rollen abhängig davon zuweisen, ob eine verwaltete Microsoft AD-Domain ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.
Hinweis
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Erstellen Sie Tag-Schlüssel und fügen Sie Tag-Werte hinzu. Weitere Informationen zum Erstellen von Tag-Schlüsseln und zum Hinzufügen von Tag-Werten finden Sie unter Tags erstellen und verwalten.
- Rufen Sie die permanente ID der Tag-Werte ab. Die permanente ID ist eine eindeutige Kennung, die angezeigt wird, wenn dem Tag-Schlüssel ein Tag-Wert hinzugefügt wird. Weitere Informationen finden Sie unter Tag-Definitionen und -IDs.
- Sie benötigen die Rolle „Tag-Nutzer“:
roles/resourcemanager.tagUser. Weitere Informationen zu den Rollen finden Sie unter Ressourcenmanager-Rollen.
Tags an eine Domain anhängen
Sie müssen eine Tag-Bindungsressource erstellen, um ein Tag an Ihre Managed Microsoft AD-Domain anzuhängen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Dabei gilt:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten die Details der Tag-Bindung, die als Antwort erstellt wurde.
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Nachdem Sie die Tag-Bindung erstellt haben, können Sie Organisationsrichtlinien für diese Tags mithilfe von Bedingungen konfigurieren, die definieren, wann die Richtlinie erzwungen werden muss. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
An eine Domain angehängte Tags auflisten
Sie können die Liste der Tag-Bindungsressourcen abrufen, die mit Ihrer Managed Microsoft AD-Domain verknüpft sind.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
Dabei gilt:
- DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten als Antwort eine Liste der Ressourcen für die Tag-Bindung, die mit Ihrer Domain verknüpft sind.
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Tags von einer Domain trennen
Sie müssen die Tag-Bindungsressource löschen, um ein Tag von Ihrer verwalteten Microsoft AD-Domain zu trennen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Dabei gilt:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain im Format
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Nächste Schritte
- Weitere Informationen zum Steuern des Zugriffs mit Tags
- Weitere Informationen zum Festlegen einer Organisationsrichtlinie mit Tags