In diesem Thema erfahren Sie, wie Sie Ihrer vorhandenen Domain in Managed Service for Microsoft Active Directory (Managed Microsoft AD) ein Tag zuweisen, an eine Domain angehängte Tags auflisten und Tags aus einer Domain entfernen.
Übersicht
Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloud angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen bedingt zuweisen, je nachdem, ob eine verwaltete Microsoft AD-Domain ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.
Hinweise
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Erstellen Sie Tag-Schlüssel und fügen Sie Tag-Werte hinzu. Weitere Informationen zum Erstellen von Tag-Schlüsseln und zum Hinzufügen von Tag-Werten finden Sie unter Tags erstellen und verwalten.
- Die permanente ID von Tag-Werten abrufen Die permanente ID ist eine eindeutige Kennung, die angezeigt wird, wenn dem Tag-Schlüssel ein Tag-Wert hinzugefügt wird. Weitere Informationen finden Sie unter Tag-Definitionen und Kennzeichnungen.
- Sie benötigen die Rolle „Tag-Nutzer“:
roles/resourcemanager.tagUser. Weitere Informationen zu dieser Rolle finden Sie unter Resource Manager-Rollen.
Tags an eine Domain anhängen
Sie müssen eine Tag-Bindungsressource erstellen, um Ihrer Managed Microsoft AD-Domain ein Tag zuzuweisen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain in Form von
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten die Details der erstellten Tag-Bindung als Antwort.
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Nachdem Sie die Tagbindung erstellt haben, können Sie Organisationsrichtlinien für diese Tags mit Bedingungen konfigurieren, die festlegen, wann die Richtlinie erzwungen werden muss. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
An eine Domain angehängte Tags auflisten
Sie können eine Liste der Tag-Bindungsressourcen abrufen, die mit Ihrer Managed Microsoft AD-Domain verknüpft sind.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain in Form von
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Sie erhalten als Antwort eine Liste der Tag-Bindungsressourcen, die mit Ihrer Domain verknüpft sind.
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Tags von einer Domain trennen
Sie müssen die Tag-Bindungsressource löschen, um ein Tag von Ihrer verwalteten Microsoft AD-Domain zu lösen.
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Ersetzen Sie Folgendes:
- TAG_VALUE_ID: Die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll. Beispiel:
tagValues/1234567890. - DOMAIN_NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain in Form von
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Nächste Schritte
- Weitere Informationen zum Steuern des Zugriffs mithilfe von Tags
- Informationen zum Festlegen einer Organisationsrichtlinie mit Tags