ドメインでタグを添付して管理する

このトピックでは、Managed Service for Microsoft Active Directory（Managed Microsoft AD）で既存のドメインにタグを添付する方法、ドメインに添付されたタグを一覧表示する方法、ドメインからタグを削除する方法について説明します。

概要

タグは、Google Cloud 内のリソースに添付できる Key-Value ペアです。タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。たとえば、マネージド Microsoft AD ドメインに特定のタグがあるかどうかに基づいて、IAM ロールを条件付きで付与できます。タグの詳細については、タグの概要をご覧ください。

タグは、タグと Google Cloud リソースを結びつけるタグ バインディング リソースを作成することによって、リソースに付加されます。

始める前に

始める前に、次のことを行います。

• Managed Microsoft AD ドメインを作成します。
• タグキーを作成し、タグ値を追加します。タグキーの作成とタグ値の追加の詳細については、タグの作成と管理をご覧ください。
• タグ値の永続 ID を取得します。永続 ID は、タグ値がタグキーに追加されたときに表示される一意の識別子です。詳細については、タグの定義と ID をご覧ください。
• roles/resourcemanager.tagUser のタグユーザー ロールがあることを確認します。ロールの詳細については、Resource Manager のロールをご覧ください。

ドメインにタグを添付する

タグを Managed Microsoft AD ドメインに添付するには、タグ バインディング リソースを作成する必要があります。

次の gcloud CLI コマンドを実行します。

gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME

以下を置き換えます。

• TAG_VALUE_ID: 付加するタグ値の永続 ID または名前空間付きの名前。例: tagValues/1234567890
• DOMAIN_NAME: Managed Microsoft AD ドメインの完全なリソース名。//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME の形式です。

レスポンスとして作成されたタグ バインディングの詳細を受け取ります。

done: true
response:
  '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding
  name: TAG_BINDING_NAME
  parent: DOMAIN_NAME
  tagValue: TAG_VALUE_ID

タグ バインディングを作成した後、ポリシー適用のタイミングを定義する条件を使用して、これらのタグの組織のポリシーを構成できます。詳細については、タグ付きの組織のポリシーの設定をご覧ください。

ドメインに添付されたタグを一覧表示する

Managed Microsoft AD ドメインに接続されているタグ バインディング リソースのリストを取得できます。

次の gcloud CLI コマンドを実行します。

gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME

以下を置き換えます。

• DOMAIN_NAME: Managed Microsoft AD ドメインの完全なリソース名。//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME の形式です。

レスポンスとして、ドメインに接続されているタグ バインディング リソースのリストを受け取ります。

tagBindings:
  name: TAG_BINDING_NAME
  parent: DOMAIN_NAME
  tagValue: TAG_VALUE_ID

ドメインからタグを取り外す

Managed Microsoft AD ドメインからタグを切り離すには、タグ バインディング リソースを削除する必要があります。

次の gcloud CLI コマンドを実行します。

gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME

以下を置き換えます。

• TAG_VALUE_ID: 付加するタグ値の永続 ID または名前空間付きの名前。例: tagValues/1234567890
• DOMAIN_NAME: Managed Microsoft AD ドメインの完全なリソース名。//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME の形式です。

次のステップ

• タグを使用してアクセスを制御する方法を学習する。
• タグを使用して組織のポリシーを設定する方法を確認する。