En esta guía, se describe cómo crear y administrar etiquetas. Una etiqueta es un par clave-valor que se puede conectar a un recurso de Google Cloud. Puedes usar etiquetas para permitir o rechazar políticas de manera condicional en función de si un recurso compatible tiene una etiqueta específica.
Antes de comenzar
Para obtener más información sobre qué son las etiquetas y cómo funcionan, consulta la Descripción general de las etiquetas.
Permisos necesarios
Los permisos que necesitas dependen de la acción que debes realizar.
Para obtener estos permisos, pídele a tu administrador que otorgue el rol sugerido en el nivel adecuado de la jerarquía de recursos.
Visualiza etiquetas
Para ver las definiciones y etiquetas de etiquetas que se adjuntan a los recursos, necesitas el rol visualizador de etiquetas (roles/resourcemanager.tagViewer
) o bien otro rol que incluya los siguientes permisos:
Permisos necesarios
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
para el tipo de recurso adecuado. Por ejemplo,compute.instances.listTagBindings
para ver las etiquetas adjuntas a las instancias de Compute Engine.listEffectiveTags
para el tipo de recurso adecuado.
Por ejemplo,
compute.instances.listEffectiveTags
para ver todas las etiquetas adjuntas a las instancias de Compute Engine o heredadas de ellas.
Para ver las etiquetas a nivel de la organización, necesitas el rol Visualizador de la organización (roles/resourcemanager.organizationViewer
) en el recurso de la organización.
Administra etiquetas
Para crear, actualizar y borrar definiciones de etiquetas, necesitas el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin
) o algún otro rol que incluya los siguientes permisos:
Permisos necesarios
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Para administrar etiquetas a nivel de la organización, necesitas el rol Visualizador de la organización (roles/resourcemanager.organizationViewer
) en el recurso de la organización.
Administra etiquetas en los recursos
Para agregar y quitar etiquetas adjuntas a los recursos, necesitas el rol Usuario de etiquetas (roles/resourcemanager.tagUser
) o bien otro rol con permisos equivalentes, en el valor de etiqueta y los recursos a los que adjuntas el valor de etiqueta. El rol de Usuario de etiquetas incluye los siguientes permisos:
Permisos necesarios
- Permisos necesarios para el recurso al que adjuntas el valor de la etiqueta
- Permiso
createTagBinding
específico del recurso, comocompute.instances.createTagBinding
para instancias de Compute Engine. - Permiso
deleteTagBinding
específico del recurso, comocompute.instances.deleteTagBinding
para instancias de Compute Engine. - Permisos necesarios para el valor de etiqueta:
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Permisos que te permiten ver proyectos y definiciones de etiquetas:
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Crea y define una nueva etiqueta
Las etiquetas se componen de un par clave-valor y se conectan a un recurso en tu jerarquía de Google Cloud. Para crear una etiqueta nueva, primero debes crear una clave de etiqueta que la describa. Por ejemplo, es posible que desees especificar entornos de producción, prueba y desarrollo para los recursos de tu jerarquía de recursos mediante la creación de una clave con el nombre environment
.
Luego, puedes crear los distintos valores que puede tener la clave. Si creaste una clave de etiqueta llamada environment
, es posible que desees especificar que hay tres entornos posibles y crear un valor para cada uno: production
, development
y test
.
Puedes crear un máximo de 1,000 claves creadas en una organización o proyecto determinado, y puede haber un total de 1,000 valores creados para cada clave.
Por último, puedes adjuntar estos valores a los recursos de tu jerarquía, que lleva consigo la asociación del par clave-valor. Por ejemplo, puedes
adjuntar test
a varias carpetas del entorno de pruebas de tu
organización, y cada una podría llevar el par clave-valor environment: test
.
Cómo crear una etiqueta
Para comenzar, debes crear una clave de etiqueta.
El elemento shortName
de la clave de etiqueta puede tener una longitud máxima de 256 caracteres. El grupo de caracteres permitido para shortName
incluye caracteres Unicode codificados en UTF-8, excepto comillas simples ('
), comillas dobles ("
) y barras inversas (\`),
and forward slashes (
/`).
Después de crear el shortName
, no se puede cambiar y debe ser único dentro del mismo espacio de nombres.
Consola
Para crear una clave de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto en el que deseas crear una clave de etiqueta.
Haz clic en
Crear.En el cuadro Clave de etiqueta, ingresa el nombre visible de tu clave. Esto forma parte del nombre con espacio de nombres de tu etiqueta.
En el cuadro Descripción de la clave de etiqueta, ingresa una descripción de tu clave.
Si deseas agregar valores de etiqueta a esta clave, haz clic en
Agregar valor en cada valor de etiqueta que desees crear.En el cuadro Valor de la etiqueta, ingresa el nombre visible del valor de la etiqueta. Esto forma parte del nombre con espacio de nombres de tu etiqueta.
En el cuadro Descripción del valor de la etiqueta, ingresa una descripción del valor de tu etiqueta.
Cuando hayas terminado de agregar valores de etiqueta, haz clic en Crear clave de etiqueta.
gcloud
Para crear una clave de etiqueta, usa el comando gcloud resource-manager tags keys create
:
gcloud resource-manager tags keys create SHORT_NAME \ --parent=RESOURCE_ID
Donde:
SHORT_NAME
es el nombre visible de la clave de tu etiqueta (por ejemplo:environment
).RESOURCE_ID
es el ID de la organización superior o el recurso del proyecto para esta clave de etiqueta; por ejemplo:organizations/123456789012
,projects/test-project123
oprojects/234567890123
. Para aprender a obtener el ID de tu organización, consulta Crea y administra organizaciones. Si quieres aprender a obtener el ID de tu proyecto, consulta Cómo crear y administrar proyectos.
Deberías recibir una respuesta similar a la que figura a continuación:
Creating tag key environment in organization 1234567890... <blocking wait until creation completes> name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Para crear una clave de etiqueta, crea una representación JSON de la clave. Para obtener más información sobre el formato de una clave de etiqueta, consulta la referencia de TagKey.
Luego, usa el método tagKeys.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d
Cuerpo JSON de la solicitud:
{ "parent": RESOURCE_ID, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Donde:
SHORT_NAME
es el nombre visible de la clave de tu etiqueta (por ejemplo:environment
).RESOURCE_ID
es el ID de la organización superior o el recurso del proyecto para esta clave de etiqueta; por ejemplo:organizations/123456789012
,projects/test-project123
oprojects/234567890123
. Para aprender a obtener el ID de tu organización, consulta Crea y administra organizaciones. Si quieres aprender a obtener el ID de tu proyecto, consulta Cómo crear y administrar proyectos.DESCRIPTION
es una descripción de la clave y no más de 256 caracteres.
Después de crear la clave, podrás encontrar el nombre visible único y legible por humanos llamado namespacedName
, que tiene espacio de nombres dentro de su recurso superior, y un ID permanente único a nivel global llamado name
.
Visualiza una clave de etiqueta
Puedes encontrar información sobre una clave de etiqueta en particular mediante el ID permanente o el nombre con espacio de nombres que se muestra cuando la creaste.
Consola
Para ver una etiqueta creada, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de permisos en la parte superior de la página, selecciona la organización o el proyecto que contenga tu etiqueta.
Todas las etiquetas de la organización o el proyecto seleccionados aparecen en la lista. Haz clic en la etiqueta cuya clave deseas ver.
gcloud
Para mostrar la información relacionada con una clave de etiqueta determinada, usa el comando gcloud resource-manager tags keys describe
:
gcloud resource-manager tags keys describe TAGKEY_NAME
TAGKEY_NAME
es el ID permanente o el nombre con espacio de nombres
de la clave de etiqueta sobre la que deseas mostrar información; por ejemplo:
tagKeys/123456789012
o project-id/environment
.
Deberías recibir una respuesta similar a la que figura a continuación:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Para mostrar la información relacionada con una clave de etiqueta determinada, usa el método tagKeys.get:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}
TAGKEY_NAME
es el ID permanente de la clave de etiqueta
para la que deseas mostrar información; por ejemplo:
tagKeys/123456789012
.
Para mostrar la información relacionada con una clave de etiqueta determinada mediante su nombre con espacio de nombres, usa el método tagKeys.getNamespaced
:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}
TAGKEY_NAMESPACED_NAME
es el nombre con espacio de nombres de la clave de etiqueta y tiene el formato parentNamespace/tagKeyShortName
.
Agrega valores de etiqueta
Una vez que hayas creado una clave de etiqueta, podrás agregar valores aceptados para ella.
El shortName
del valor de tu etiqueta debe cumplir con los siguientes requisitos:
Un elemento
shortName
puede tener una longitud máxima de 256 caracteres.Una
shortName
debe comenzar con un carácter alfanumérico.Una
shortName
puede contener caracteres Unicode codificados en UTF-8, excepto comillas simples ('
), comillas dobles ("
) y barras inversas (\`), and forward slashes (
/`).Una
shortName
no se puede cambiar una vez que se crea y debe ser único dentro del mismo espacio de nombres.
Consola
Para crear un valor de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto en el que deseas crear un valor de etiqueta.
En la lista de etiquetas, haga clic en la etiqueta a la que desea agregar un valor nuevo.
Haz clic en
Agregar valor.En el cuadro Valor de la etiqueta, ingresa el nombre visible del valor de la etiqueta. Esto forma parte del nombre con espacio de nombres de tu etiqueta.
En el cuadro Descripción del valor de la etiqueta, ingresa una descripción del valor de tu etiqueta.
Haz clic en Guardar.
gcloud
Para crear un valor de etiqueta, usa el comando gcloud resource-manager tags values
create
. Debes especificar la clave con la que se crea este valor:
gcloud resource-manager tags values create TAGVALUE_SHORTNAME \ --parent=TAGKEY_NAME
Donde:
TAGVALUE_SHORTNAME
es el nombre corto del valor de la etiqueta nueva; por ejemplo:production
.TAGKEY_NAME
es el ID permanente o el nombre de espacio de nombres de la clave de etiqueta superior; por ejemplo:tagKeys/4567890123
.
Deberías recibir una respuesta similar a la que figura a continuación:
Creating tag value production in tag key 123456789012/environment... <blocking wait until creation completes> name: tagValues/7890123456 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Para crear un valor de etiqueta, crea una representación JSON del valor. Para obtener más información sobre el formato de un valor de etiqueta, consulta la referencia de TagValue.
Luego, usa el método tagValues.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d
Cuerpo JSON de la solicitud:
{ "parent": TAGKEY_NAME, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Donde:
TAGKEY_NAME
es el ID permanente de la clave de la etiqueta principal; por ejemplo:tagKeys/4567890123
.SHORT_NAME
es el nombre visible del valor de tu etiqueta; por ejemplo:environment
.DESCRIPTION
es una descripción del valor y no puede tener más de 256 caracteres. Después de crear el valor, podrás encontrar el nombre visible único y legible por humanos llamadonamespacedName
, que tiene espacio de nombres dentro de su recurso superior, y un ID permanente único a nivel global llamadoname
.
Cómo recuperar valores de etiquetas
Puedes encontrar información sobre un valor de etiqueta en particular mediante el ID permanente o el nombre con espacio de nombres que se muestra cuando lo creaste.
Consola
Para ver una etiqueta creada, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de permisos en la parte superior de la página, selecciona la organización o el proyecto que contenga tu etiqueta.
Todas las etiquetas que creaste en esta organización o proyecto aparecen en la lista. Haz clic en la etiqueta cuyos valores deseas ver.
gcloud
Para mostrar la información relacionada con un valor de etiqueta determinado, usa el comando gcloud resource-manager tags values describe
:
gcloud resource-manager tags values describe TAGVALUE_NAME
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta, por ejemplo: tagValues/4567890123
o 123456789012/environment/production
.
Deberías recibir una respuesta similar a la que figura a continuación:
name: tagValues/456789012345 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Para mostrar la información relacionada con un valor de etiqueta determinado, usa el método tagValues.get:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
es el ID permanente del valor de la etiqueta; por ejemplo: tagValues/4567890123
.
Para mostrar la información relacionada con un valor de etiqueta determinado mediante su nombre con espacio de nombres, usa el método tagValues.getNamespaced:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}
TAGVALUE_NAMESPACED_NAME
es el nombre con espacio de nombres del valor de la etiqueta y tiene el formato parentNamespace/tagKeyShortName/tagValueShortName
.
Cuando haces referencia a etiquetas con Google Cloud CLI, puedes usar el
nombre con espacio de nombres o el ID permanente para las claves y los valores de las etiquetas. Las llamadas a la API, excepto getNamespaced
, solo deben usar el ID permanente. Consulta Identificadores y definiciones de etiquetas para obtener más información sobre los tipos de identificadores que usa una etiqueta.
Actualizando las etiquetas existentes
Para modificar una etiqueta existente, actualice la clave o los valores asociados a ella. Puedes actualizar la descripción de una etiqueta, pero no el nombre corto.
Consola
Para actualizar la descripción de una clave de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto que contenga tu clave de etiqueta.
Haz clic en
Acciones junto a la clave de etiqueta que deseas actualizar y, luego, en Ver detalles.Haz clic en
Editar junto a Descripción cerca de la parte superior de la pantalla.Actualiza la descripción de la clave de etiqueta
Haz clic en Guardar.
gcloud
Para modificar la descripción de una clave de etiqueta, usa el comando gcloud resource-manager tags keys update
:
gcloud resource-manager tags keys update TAGKEY_NAME \ --description=NEW_DESCRIPTION
Donde:
TAGKEY_NAME
es el ID permanente o el nombre de espacio de nombres de la clave que se va a actualizar; por ejemplo:tagKeys/123456789012
.NEW_DESCRIPTION
es una string de no más de 256 caracteres para usar como descripción nueva.
Deberías recibir una respuesta similar a la que figura a continuación:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment description: "new description" parent: organizations/123456789012
API
Para modificar la descripción de una clave de etiqueta, usa el método tagKeys.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d
Cuerpo JSON de la solicitud:
{ "description": DESCRIPTION, }
Donde:
TAGKEY_NAME
es el ID permanente de la clave de etiqueta; por ejemplo:tagKeys/123456789012
.DESCRIPTION
es una descripción de la clave y no más de 256 caracteres.
También puedes cambiar la descripción de los valores de la etiqueta.
Consola
Para actualizar la descripción de un valor de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, en la parte superior de la página, selecciona la organización o el proyecto que contenga el valor de tu etiqueta.
Haz clic en
Acciones junto a la clave de etiqueta del valor que deseas actualizar y, luego, en Ver detalles.Haz clic en
Acciones junto al valor de la etiqueta que deseas actualizar y, luego, en Ver detalles.Haz clic en
Editar junto a Descripción cerca de la parte superior de la pantalla.Actualiza la descripción del valor de la etiqueta.
Haz clic en Guardar.
gcloud
Para modificar la descripción del valor de una etiqueta, usa el comando gcloud resource-manager tags values update
:
gcloud resource-manager tags values update TAGVALUE_NAME \ --description="NEW_DESCRIPTION"
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se actualizará; por ejemplo:tagValues/4567890123
.NEW_DESCRIPTION
es una string de no más de 256 caracteres para usar como descripción nueva.
Deberías recibir una respuesta similar a la que figura a continuación:
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012 description: "new description"
API
Para modificar la descripción de la clave de una etiqueta, usa el comando tagValues.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d
Cuerpo JSON de la solicitud:
{ "description": DESCRIPTION, }
Aquí:
TAGVALUE_NAME
es el nombre de ID permanente del valor de la etiqueta; por ejemplo:tagValues/4567890123
.DESCRIPTION
es una descripción de la clave y no más de 256 caracteres.
Enumera claves de etiquetas
Puedes enumerar todas las claves de etiquetas asociadas con una organización o un recurso del proyecto en particular mediante la consola de Google Cloud, gcloud CLI o con una llamada a la API.
Consola
Para ver todas las etiquetas, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, en la parte superior de la página, selecciona la organización o el proyecto que contenga tus etiquetas.
Todas las etiquetas que creaste en esta organización o proyecto aparecen en la lista.
gcloud
Para mostrar una lista de todas las claves de etiquetas creadas en una organización o un recurso del proyecto, usa el comando gcloud resource-manager tags keys list
:
gcloud resource-manager tags keys list --parent=RESOURCE_ID
RESOURCE_ID
es el ID de la organización o el recurso del proyecto del que deseas encontrar las claves de etiquetas adjuntas.
- Se debe proporcionar un ID de organización o proyecto en el formato
organizations/ORGANIZATION_ID
oprojects/PROJECT_NAME
; por ejemplo:organizations/123456789012
yprojects/test-project123
. Para aprender a obtener el ID de tu organización, consulta Crea y administra organizaciones. Si quieres aprender a obtener el ID de tu proyecto, consulta Cómo crear y administrar proyectos. Deberías recibir una respuesta similar a la que figura a continuación:
NAME SHORT_NAME DESCRIPTION tagKeys/123456789012 environment description of tag key
API
Para mostrar una lista de todas las claves de etiquetas de un recurso determinado, usa el método tagKeys.list, con el recurso superior especificado en la consulta:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys { "parent": "RESOURCE_ID" }
RESOURCE_ID
es el ID de la organización o el recurso del proyecto del que deseas encontrar las claves de etiqueta adjuntas; por ejemplo: organizations/123456789012
y projects/test-project123
.
Enumera valores de etiqueta
Puedes enumerar todos los valores de etiqueta asociados con una clave de etiqueta en particular mediante la consola de Google Cloud, gcloud CLId o con una llamada a la API.
Consola
Para ver todos los valores de etiqueta adjuntos a una clave de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de permisos en la parte superior de la página, selecciona la organización o el proyecto que contenga tu clave de etiqueta.
Haz clic en
Acciones junto a la clave de etiqueta que contiene los valores de etiqueta que deseas encontrar y, luego, haz clic en Ver detalles.Todos los valores que creaste con esta clave de etiqueta aparecen en la lista.
gcloud
Para mostrar una lista de todos los valores de etiqueta adjuntos a una clave, usa el comando gcloud resource-manager tags values list
:
gcloud resource-manager tags values list --parent=TAGKEY_NAME
TAGKEY_NAME
es el ID permanente o el nombre con espacio de nombres de la clave de etiqueta para la que deseas encontrar valores adjuntos; por ejemplo: tagKeys/123456789012
o 1234567/environment
.
Deberías recibir una respuesta similar a la que figura a continuación:
NAME SHORT_NAME tagValues/123456789012 production
API
Para mostrar una lista de todos los valores de etiqueta adjuntos a una clave, usa el método tagValues.list con la clave de etiqueta superior especificada en la consulta:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues { "parent": "TAGKEY_NAME" }
TAGKEY_NAME
es el nombre del ID permanente de la clave de etiqueta; por ejemplo: tagKeys/123456789012
.
Administra el acceso a las etiquetas
Puedes brindar a los usuarios acceso específico para administrar etiquetas y adjuntar valores de etiquetas a los recursos con la consola de Google Cloud. Consulta Permisos necesarios para obtener una lista de las funciones relacionadas con las etiquetas y los permisos que contienen.
Claves de etiquetas
Para administrar el acceso de los usuarios en una clave de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto que contiene la clave de etiqueta en la que deseas administrar el acceso.
Haz clic en la casilla de verificación junto a la etiqueta para la que deseas administrar el acceso.
Haz clic en
Administrar acceso.Para agregar un rol a una principal, haz clic en
Agregar principal.En el cuadro de texto Principales nuevas, ingresa la dirección de correo electrónico de la principal a la que deseas otorgar un rol nuevo.
Elige una función en el menú desplegable Selecciona una función. Si quieres agregar más de una función, haz clic en
Agregar otra función.Haz clic en Guardar.
Para editar el rol de una principal, haz clic en
Editar junto a la principal que deseas editar.Para cambiar cualquier rol que se asigne a las principales de esta etiqueta, haz clic en el menú desplegable Rol y elige un rol nuevo.
Si quieres agregar más roles, haz clic en
Agregar otro rol.Para borrar un rol de esta principal en esta etiqueta, haz clic en
Borrar rol junto a la función que deseas borrar.Haz clic en Guardar.
Para borrar el rol de una principal, haz clic en
Borrar rol junto al rol que deseas borrar.- Haz clic en Eliminar.
Valores de la etiqueta
Para administrar el acceso de los usuarios en un valor de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto que contiene la clave de etiqueta para la que deseas administrar el acceso.
Haz clic en
Acciones junto a la clave de etiqueta del valor para el que deseas administrar el acceso y, luego, haz clic en Ver detalles.Haz clic en
Administrar acceso.Para agregar un rol a una principal, haz clic en
Agregar principal.En el cuadro de texto Principales nuevas, ingresa la dirección de correo electrónico de la principal a la que deseas otorgar un rol nuevo.
Elige una función en el menú desplegable Selecciona una función. Si quieres agregar más de una función, haz clic en
Agregar otra función.Haz clic en Guardar.
Para editar el rol de una principal, haz clic en
Editar junto a la principal que deseas editar.Para cambiar cualquier rol que se asigne a las principales de esta etiqueta, haz clic en el menú desplegable Rol y elige un rol nuevo.
Si quieres agregar más roles, haz clic en
Agregar otro rol.Para borrar un rol de esta principal en esta etiqueta, haz clic en
Borrar rol junto a la función que deseas borrar.Haz clic en Guardar.
Para borrar el rol de una principal, haz clic en
Borrar rol junto al rol que deseas borrar.- Haz clic en Eliminar.
Adjunta etiquetas a los recursos
Después de que se crea una etiqueta y se otorga el acceso adecuado a la etiqueta y al recurso, la etiqueta se puede adjuntar a un recurso de Google Cloud como un par clave-valor. Se puede adjuntar solo un valor a un recurso para una clave determinada. Por ejemplo, si se adjunta environment: development
, no se pueden adjuntar environment: production
ni environment: test
.
Cada recurso puede tener un máximo de 50 pares clave-valor adjuntos.
Las etiquetas se adjuntan a los recursos mediante la creación de un recurso de vinculación de etiqueta que vincula el valor al recurso de Google Cloud. En el siguiente flujo de trabajo, se describe cómo adjuntar una etiqueta a un recurso de organización, carpeta o proyecto. Si quieres obtener detalles para conectar etiquetas a otro tipo de recurso, consulta la documentación correspondiente a ese recurso en Servicios que admiten etiquetas.
Consola
Para adjuntar una etiqueta a una organización, una carpeta o un recurso de proyecto, haz lo siguiente:
Abre la página Administrar recursos en la consola de Google Cloud.
Haz clic en la organización, la carpeta o el proyecto al que deseas adjuntar una etiqueta.
Haz clic en
Etiquetas.En el panel Etiquetas, haz clic en Seleccionar alcance.
Selecciona la organización o el proyecto que contenga tus etiquetas y, luego, haz clic en Abrir.
En el panel Etiquetas, selecciona Agregar etiqueta.
En el campo Clave, selecciona la clave para la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
En el campo Valor, selecciona el valor de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
Si deseas adjuntar más etiquetas, haz clic en
Agregar etiqueta y, luego, selecciona la clave y el valor de cada una.Haz clic en Guardar.
En el diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.
Una notificación confirma que se actualizaron tus etiquetas. Las etiquetas nuevas aparecen en la columna Etiquetas de la página Administrar recursos.
gcloud
Para adjuntar una etiqueta a un recurso, debes crear un recurso de vinculación de etiquetas con el comando gcloud resource-manager tags bindings create
:
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID --location=LOCATION
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de etiqueta que se adjuntará; por ejemplo:tagValues/4567890123
o12345678/environment/production
.RESOURCE_ID
es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/
). Por ejemplo, para adjuntar una etiqueta aprojects/7890123456
, el ID completo sería://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si conectas una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación; por ejemplo:us-central1
.
API
Para adjuntar una etiqueta a un recurso, primero debes crear una representación JSON de una vinculación de etiqueta que incluya el ID permanente o el nombre con espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de una vinculación de etiqueta, consulta la referencia de TagBinding.
Si adjuntas la etiqueta a un recurso global, como una organización, usa el método tagBindings.create con el nombre de host del extremo global:
POST https://cloudresourcemanager.googleapis.com/v3/tagBindings
Si adjuntas la etiqueta a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.create
con el extremo regional en el que se encuentra el recurso.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings
Cuerpo JSON de la solicitud:
{ "parent": RESOURCE_ID, "tagValue": TAGVALUE_NAME, }
O
{ "parent": RESOURCE_ID, "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME, }
Donde:
RESOURCE_ID
es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/
). Por ejemplo, para adjuntar una etiqueta aprojects/7890123456
, el ID completo sería://cloudresourcemanager.googleapis.com/projects/7890123456
.TAGVALUE_NAME
es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo:tagValues/4567890123
.TAGVALUE_NAMESPACED_NAME
es el nombre con espacio de nombres del valor de etiqueta que se adjunta y tiene el siguiente formato:parentNamespace/tagKeyShortName/tagValueShortName
.
Obtén una lista de todas las etiquetas adjuntas a un recurso
Puedes obtener una lista de todas las etiquetas adjuntas a un recurso para las etiquetas heredadas o adjuntas directamente.
Consola
Para ver todas las etiquetas que un recurso adjunta o hereda, haz lo siguiente:
Abre la página Administrar recursos en la consola de Google Cloud.
Busca tu organización, carpeta o proyecto en la lista de recursos.
Las etiquetas adjuntas al recurso aparecen en la columna Etiquetas. Las etiquetas heredadas se marcarán como
Heredada.
gcloud
Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando
gcloud resource-manager tags bindings list
: Si agregas la marca
--effective
, también se mostrará una lista de etiquetas heredadas por este
recurso.
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
Donde:
RESOURCE_ID
es el ID completo del recurso; por ejemplo://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
es la ubicación de tu recurso. Si enumeras las etiquetas adjuntas a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si conectas una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación; por ejemplo:us-central1
.
Deberías recibir una respuesta similar a la que figura a continuación:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Si agregas la marca --effective
al comando tags bindings list
, también
se mostrará una lista de todas las etiquetas heredadas por este recurso. Deberías obtener una respuesta similar a la siguiente:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
Si todas las etiquetas evaluadas en un recurso se adjuntan directamente, el campo
inherited
es falso y se omite.
API
Para obtener una lista de vinculaciones de etiquetas conectada de forma directa a un recurso global como una organización, usa el método tagBindings.list y especifica el recurso superior en la consulta:
GET https://cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Si deseas enumerar las vinculaciones de etiquetas conectadas a un recurso regional, como las instancias de Compute Engine, usa el método tagBindings.list
con el extremo regional en el que se encuentra tu recurso.
GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Donde:
RESOURCE_ID
es el ID completo del recurso; por ejemplo://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
es el extremo regional para tu recurso; por ejemplo:us-central1
.
Si se ejecuta correctamente, el cuerpo de la respuesta debe incluir una lista de objetos TagBinding
. Por ejemplo:
name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Desconecta una etiqueta de un recurso
Para desconectar una etiqueta de un recurso, borra el recurso de vinculación de etiquetas.
Consola
Para desvincular una etiqueta de una organización, carpeta o recurso de proyecto, haz lo siguiente:
Abre la página Administrar recursos en la consola de Google Cloud.
Haz clic en la organización, la carpeta o el proyecto del que deseas desconectar una etiqueta.
Haz clic en
Etiquetas.En el panel Etiquetas, junto a la etiqueta que deseas desvincular, haz clic en
Borrar elemento.Haz clic en Guardar.
En el diálogo Confirm, haz clic en Confirm para desvincular la etiqueta.
Una notificación confirma que se actualizaron tus etiquetas. La lista actualizada de etiquetas aparece en la columna Etiquetas de la página Administrar recursos.
gcloud
Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete
:
gcloud resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo:tagValues/567890123456
.RESOURCE_ID
es el ID completo del recurso. Por ejemplo://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
es la ubicación de tu recurso. Si borras una vinculación de etiqueta adjunta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si borras una vinculación de etiqueta adjunta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación; por ejemplo:us-central1
.
API
Para borrar una vinculación de etiqueta adjunta a un recurso global como una organización, usa el método tagBindings.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Si deseas borrar una vinculación de etiqueta que se adjunta a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.delete
con el extremo regional en el que se encuentra el recurso.
DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Donde:
TAGBINDINGS_NAME
es el ID permanente de TagBinding; por ejemplo:tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
.LOCATION
es el extremo regional para tu recurso; por ejemplo:us-central1
.
Cómo proteger los valores de las etiquetas con conservaciones de etiquetas
Una retención de etiqueta es un recurso que puedes crear para evitar que se borre un valor de etiqueta. Si el valor de una etiqueta tiene una conservación de etiqueta, los usuarios no pueden borrarla, a menos que primero se borre la retención.
Cómo crear conservaciones de etiquetas
Puedes crear una retención de etiqueta de forma manual con gcloud CLI o la API.
gcloud
Para crear una retención de etiqueta, usa el comando gcloud resource-manager tags holds create
de gcloud CLI:
gcloud resource-manager tags holds create TAGVALUE_NAME \ --holder=HOLDER_NAME \ --location=LOCATION
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de etiqueta para el que se debe crear esta retención de etiqueta; por ejemplo:tagValues/567890123456
.HOLDER_NAME
es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.LOCATION
es la ubicación de tu recurso. Si creas una retención de etiqueta para un recurso global, como un proyecto de Google Cloud, debes omitir esta marca. Si creas una conservación de etiqueta para un recurso regional o zonal, debes especificar la ubicación; por ejemplo:us-central1
.
API
Si quieres crear una retención de etiqueta para un valor de etiqueta, primero debes crear una representación JSON de una retención de etiqueta. Esta referencia JSON debe incluir una referencia al recurso al que se adjunta el valor de la etiqueta. Para obtener más información sobre el formato de una retención de etiqueta, consulta la referencia de TagHolds
.
Si creas una conservación de etiqueta para un valor de etiqueta adjunto a un recurso global como una organización, usa el método tagHolds.create
con el nombre de host del extremo global:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds
Si creas una conservación de etiqueta para un valor de etiqueta adjunto a un recurso regional, como una instancia de Compute Engine, usa el método tagHolds.create
con el extremo regional en el que se encuentra tu recurso.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds
Cuerpo JSON de la solicitud:
{ "holder":HOLDER_NAME, "origin":ORIGIN_NAME }
Donde:
TAGVALUE_NAME
es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo:tagValues/4567890123
.HOLDER_NAME
es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.ORIGIN_NAME
es una cadena opcional que representa el origen de esta solicitud. Este campo debe incluir información comprensible para los humanos a fin de distinguir los orígenes entre sí. Debe tener menos de 200 caracteres.
Enumera las retenciones de etiquetas
Puedes enumerar todas las conservaciones de etiquetas con un valor de etiqueta específico mediante gcloud CLI o la API.
gcloud
Para enumerar las conservaciones de etiquetas que se encuentran en un valor de etiqueta, usa el comando gcloud resource-manager tags holds list
de gcloud CLI:
gcloud resource-manager tags holds list TAGVALUE_NAME \ --location=LOCATION
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta; por ejemplo:tagValues/567890123456
.LOCATION
es la ubicación de tu recurso. Si buscas conservaciones de etiquetas creadas a nivel global, debes omitir esta marca. Si buscas conservaciones de etiquetas en un recurso regional o zonal, debes especificar la ubicación, por ejemplo:us-central1
.
API
Para obtener una lista de conservaciones de etiquetas con un valor de etiqueta, usa el método GET tagHolds
y especifica el valor de la etiqueta superior en la URL:
GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds
Donde:
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta; por ejemplo:tagValues/567890123456
.
Quitando las conservaciones de etiquetas
Puedes quitar las conservaciones de etiquetas creadas en un valor de etiqueta específico mediante gcloud CLI o la API.
Algunos recursos agregan conservaciones de etiqueta a un valor de etiqueta adjunto a ese recurso. Si adjuntas una etiqueta a ese recurso, el recurso crea una retención de etiqueta que evitará que los usuarios borren el valor de la etiqueta adjunta.
Puedes borrar una retención de etiqueta con gcloud CLI o la API.
gcloud
Para borrar una conservación de etiqueta, usa el comando gcloud resource-manager tags holds delete
de gcloud CLI:
gcloud resource-manager tags holds delete TAGHOLD_NAME \ --location=LOCATION
Donde:
TAGHOLD_NAME
es el nombre con espacio de nombres de la retención de la etiqueta, que se puede encontrar mediante el comandolist
. Por ejemplo:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
LOCATION
es la ubicación de tu recurso. Si borras una conservación de etiqueta que se encuentre bajo un valor de etiqueta adjunto a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si borras una conservación de etiqueta creada a partir de un proceso regional o zonal, debes especificar la ubicación, por ejemplo:us-central1
.
API
Para borrar un valor de etiqueta, usa el método tagHolds.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}
Donde:
TAGVALUE_NAME
es el ID permanente del valor de etiqueta al que se adjunta la conservación de etiqueta que deseas borrar; por ejemplo:tagValues/567890123456
.TAGHOLD_NAME
es el nombre con espacio de nombres de la conservación de etiqueta que deseas borrar, que puedes encontrar con el comandolist
. Por ejemplo:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
Borrando etiquetas
Para borrar una etiqueta, debes borrar cada uno de los componentes que lo definen. Primero, debes borrar cualquier vinculación de etiqueta que adjunte esta etiqueta a los recursos de tu jerarquía. Si deseas obtener instrucciones para borrar vinculaciones de etiquetas, consulta Separa una etiqueta de un recurso.
Si otro recurso usa la etiqueta, o si un usuario creó una retención de etiqueta de forma manual, es posible que debas quitar las retenciones de etiqueta y, también, borrar las vinculaciones de etiquetas para poder borrar los valores de la etiqueta. Si quieres obtener información para quitar conservaciones de etiquetas, consulta Cómo quitar conservaciones de etiquetas.
Una vez que no haya más vinculaciones de etiquetas para los valores de etiqueta que deseas borrar, puedes borrar los valores.
Consola
Para borrar el valor de una etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, en la parte superior de la página, selecciona la organización o el proyecto que contenga el valor de tu etiqueta.
Haz clic en
Acciones junto a la clave de etiqueta que contiene el valor de etiqueta que deseas borrar y, luego, haz clic en Ver detalles.En la lista de valores de etiqueta asociados con esta clave de etiqueta, haz clic en el valor de etiqueta que deseas borrar.
Haz clic en la casilla de verificación junto al valor de etiqueta que deseas borrar y, luego, en
Borrar valores.Haz clic en Confirm.
gcloud
Para borrar un valor de etiqueta, usa el comando gcloud resource-manager tag values delete
:
gcloud resource-manager tags values delete TAGVALUE_NAME
TAGVALUE_NAME
es el ID permanente o el nombre con espacio de nombres del valor de etiqueta que deseas borrar, por ejemplo: tagValues/567890123456
.
API
Para borrar un valor de etiqueta, usa el método tagValues.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
es el ID permanente del valor de etiqueta que deseas borrar; por ejemplo: tagValues/567890123456
.
Una vez que se hayan borrado todos los valores de etiqueta asociados con una clave, podrás borrarla.
Consola
Para borrar una clave de etiqueta, haz lo siguiente:
Abre la página Etiquetas en la consola de Google Cloud.
En el Selector de alcance, ubicado en la parte superior de la página, selecciona la organización o el proyecto que contenga tu clave de etiqueta.
Haz clic en la casilla de verificación junto a la clave de etiqueta que deseas borrar.
Haz clic en
Borrar etiquetas.Haz clic en Confirm.
gcloud
Para borrar una clave de etiqueta, usa el comando gcloud resource-manager tags keys delete
:
gcloud resource-manager tags keys delete TAGKEYS_NAME
TAGKEYS_NAME
es el ID permanente o el nombre con espacio de nombres de la clave de etiqueta que deseas borrar, por ejemplo: tagKeys/123456789012
.
API
Para borrar una clave de etiqueta, usa el método tagKeys.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}
TAGKEYS_NAME
es el ID permanente de la clave de etiqueta que deseas borrar; por ejemplo: tagKeys/123456789012
.
Políticas y etiquetas
Puedes usar etiquetas con políticas que las admitan para aplicar esas políticas de manera condicional. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición para esa política.
Por ejemplo, puedes otorgar condicionalmente funciones de Identity and Access Management (IAM) en función de si un recurso tiene una etiqueta específica.
Etiquetas y condiciones de Identity and Access Management
Puedes usar etiquetas y las condiciones de Identity and Access Management para otorgar funciones de forma condicional a los usuarios de tu jerarquía. Este proceso hace que los usuarios no puedan acceder a los recursos hasta que se adjunte una etiqueta asociada con una política condicional. Por ejemplo, es posible que desees exigir que los desarrolladores asignen un centro de costos a un recurso antes de poder usarlo.
Crea una etiqueta que puedas usar para asociar recursos con algo que identifique si se aplicó una administración adecuada a los recursos. Por ejemplo, puedes crear una etiqueta con la clave
costCenter
y los valores0001
,0002
, etc., para asociar los recursos con los diversos centros de costos de tu empresa.Crea una función personalizada a nivel de organización que permita a los usuarios agregar etiquetas a los recursos en los que necesitas etiquetas. Esto otorga estos permisos a las principales especificadas en cualquier parte de tu organización.
Por ejemplo, una función personalizada que permita a los usuarios agregar etiquetas a los proyectos incluiría los siguientes permisos:
resourcemanager.projects.get
resourcemanager.hierarchyNodes.create
resourcemanager.hierarchyNodes.delete
resourcemanager.hierarchyNodes.list
Cuando crees proyectos para tus desarrolladores, asígnales esta función personalizada en el proyecto.
Asigna a los desarrolladores cualquier otra función que incluya los permisos para que realicen las acciones deseadas dentro de ese proyecto. Cuando otorgas funciones a usuarios en el proyecto, las funciones siempre deben otorgarse de manera condicional para que requieran la vinculación de la etiqueta
costCenter
.resource.hasTagKey('123456789012/costCenter')
Ahora, cada vez que se crea un proyecto, tus desarrolladores deben adjuntarle la etiqueta costCenter
antes de poder realizar las acciones que otorga la política de IAM.
Políticas y etiquetas de la organización
Puedes usar etiquetas y la aplicación condicional de políticas de la organización para proporcionar un control centralizado de los recursos en tu jerarquía. Para obtener más información, consulta Configura una política de la organización con etiquetas.
Servicios compatibles
Para obtener una lista de los servicios que admiten etiquetas, consulta la sección Servicios que admiten etiquetas.
Soluciona problemas conocidos
La expresión de condición falla
Si ejecutas uno de los comandos de add-iam-policy-binding
con Google Cloud CLI y la política de IAM en ese recurso contiene vinculaciones de funciones condicionales para esa función, la herramienta de gcloud CLI te solicitará que elijas una de las expresiones de condición que existen en la política. Si eliges una expresión de condición que contenga una coma, el comando fallará. Para solucionar este problema, usa la marca --condition
a fin de especificar una expresión de condición en la línea de comandos.