Este tópico mostra como anexar uma etiqueta ao seu domínio existente no Serviço gerido para o Microsoft Active Directory (Microsoft AD gerido), listar as etiquetas anexadas a um domínio e remover etiquetas de um domínio.
Vista geral
Uma etiqueta é um par de chave-valor que pode anexar a um recurso no Google Cloud. Pode usar etiquetas para permitir ou negar condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Por exemplo, pode conceder condicionalmente funções do IAM com base no facto de um domínio do Microsoft AD gerido ter uma etiqueta específica. Para mais informações sobre etiquetas, consulte o artigo Vista geral das etiquetas.
As etiquetas são anexadas a recursos através da criação de um recurso de associação de etiquetas que associa o valor ao Google Cloud recurso.
Antes de começar
Antes de começar, faça o seguinte:
- Crie um domínio do Microsoft AD gerido.
- Crie chaves de etiquetas e adicione valores de etiquetas. Para mais informações sobre como criar chaves de etiquetas e adicionar valores de etiquetas, consulte o artigo Criar e gerir etiquetas.
- Obtenha o ID permanente dos valores das etiquetas. O ID permanente é um identificador exclusivo que é apresentado quando um valor de etiqueta é adicionado à chave de etiqueta. Para mais informações, consulte o artigo Definições e identificadores de etiquetas.
- Certifique-se de que tem a seguinte função de utilizador da etiqueta:
roles/resourcemanager.tagUser. Para mais informações sobre a função, consulte o artigo Funções do Resource Manager.
Anexe etiquetas a um domínio
Tem de criar um recurso de associação de etiquetas para anexar uma etiqueta ao seu domínio do Microsoft AD gerido.
Execute o seguinte comando da CLI gcloud:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Substitua o seguinte:
- TAG_VALUE_ID: o ID permanente ou o nome com espaço de nomes do valor da etiqueta a anexar. Por exemplo,
tagValues/1234567890. - DOMAIN_NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido, no formato:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Recebe os detalhes da associação de etiquetas criada como resposta.
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Depois de criar a associação de etiquetas, pode configurar políticas da organização para estas etiquetas através de condições que definem quando a política tem de ser aplicada. Para mais informações, consulte o artigo Definir uma política de organização com etiquetas.
Liste as etiquetas anexadas a um domínio
Pode obter a lista de recursos de associação de etiquetas anexados ao seu domínio do Microsoft AD gerido.
Execute o seguinte comando da CLI gcloud:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
Substitua o seguinte:
- DOMAIN_NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido, no formato:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
Recebe a lista de recursos de associação de etiquetas anexados ao seu domínio como resposta.
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
Desassocie etiquetas de um domínio
Tem de eliminar o recurso de associação de etiquetas para desassociar uma etiqueta do seu domínio do Microsoft AD gerido.
Execute o seguinte comando da CLI gcloud:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
Substitua o seguinte:
- TAG_VALUE_ID: o ID permanente ou o nome com espaço de nomes do valor da etiqueta a anexar. Por exemplo,
tagValues/1234567890. - DOMAIN_NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido, no formato:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME.
O que se segue?
- Saiba como controlar o acesso com etiquetas.
- Saiba como definir uma política de organização com etiquetas.