Questa guida descrive come creare e gestire i tag. Un tag è una coppia chiave-valore che può essere collegata a una risorsa Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa supportata abbia un tag specifico.
Prima di iniziare
Per ulteriori informazioni su cosa sono i tag e sul loro funzionamento, consulta la Panoramica sui tag.
Autorizzazioni obbligatorie
Le autorizzazioni necessarie dipendono dall'azione da eseguire.
Per ottenere queste autorizzazioni, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse.
Visualizza tag
Per visualizzare le definizioni dei tag e i tag associati alle risorse, devi disporre del ruolo Visualizzatore tag (roles/resourcemanager.tagViewer
) o di un altro ruolo che includa le seguenti autorizzazioni:
Autorizzazioni obbligatorie
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
per il tipo di risorsa appropriato. Ad esempio,compute.instances.listTagBindings
per la visualizzazione dei tag associati alle istanze Compute Engine.listEffectiveTags
per il tipo di risorsa
appropriato.
Ad esempio,
compute.instances.listEffectiveTags
per visualizzare tutti i tag associati o ereditati dalle istanze di Compute Engine.
Per visualizzare i tag a livello di organizzazione, devi disporre del ruolo Visualizzatore organizzazione
(roles/resourcemanager.organizationViewer
) nella risorsa dell'organizzazione.
Amministra i tag
Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre del ruolo di Amministratore tag (roles/resourcemanager.tagAdmin
) o di un altro ruolo che includa le seguenti autorizzazioni:
Autorizzazioni obbligatorie
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Per amministrare i tag a livello di organizzazione, devi disporre del ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer
) nella risorsa dell'organizzazione.
Gestisci i tag sulle risorse
Per aggiungere e rimuovere i tag associati alle risorse, devi disporre del ruolo Utente tag (roles/resourcemanager.tagUser
) o di un altro ruolo con autorizzazioni equivalenti sia nel valore del tag sia nelle risorse a cui stai collegando il valore del tag. Il ruolo Utente tag include le seguenti autorizzazioni:
Autorizzazioni obbligatorie
- Autorizzazioni richieste per la risorsa a cui stai collegando il valore tag
- Autorizzazione
createTagBinding
specifica della risorsa, ad esempiocompute.instances.createTagBinding
per le istanze di Compute Engine. - Autorizzazione
deleteTagBinding
specifica della risorsa, ad esempiocompute.instances.deleteTagBinding
per le istanze di Compute Engine. - Autorizzazioni richieste per il valore tag:
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Autorizzazioni che consentono di visualizzare progetti e definizioni di tag:
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Creazione e definizione di un nuovo tag
I tag sono costituiti da una coppia chiave-valore e sono collegati a una risorsa nella tua gerarchia di Google Cloud. Per creare un nuovo tag, devi prima creare una chiave tag
che descriva il tag che stai creando. Ad esempio, potresti voler specificare ambienti di produzione, test e sviluppo per le risorse nella tua gerarchia delle risorse creando una chiave con il nome environment
.
Quindi, puoi creare i diversi valori che può avere la chiave. Se hai creato una chiave tag denominata environment
, potresti voler specificare che esistono tre potenziali ambienti e creare un valore per ciascuno: production
, development
e test
.
Puoi creare un massimo di 1000 chiavi create in un'organizzazione o un progetto specifici e un totale di 1000 valori per ogni chiave.
Infine, puoi collegare questi valori alle risorse della gerarchia,
il che comporta con sé l'associazione di coppia chiave-valore. Ad esempio, puoi
collegare test
a più cartelle dell'ambiente di test nella tua
organizzazione, ciascuna delle quali avrà la coppia chiave-valore environment: test
.
Creazione di un tag
Per iniziare, devi creare una chiave tag.
L'elemento shortName
della chiave tag può avere una lunghezza massima di 256 caratteri. Il
set di caratteri consentito per shortName
include caratteri Unicode codificati in UTF-8,
ad eccezione delle virgolette singole ('
), delle virgolette doppie ("
), delle barre rovesciate (\`),
and forward slashes (
/`).
Una volta creato, l'elemento shortName
non può essere modificato e deve essere
univoco all'interno dello stesso spazio dei nomi.
Console
Per creare una chiave tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag.
Fai clic su
Crea.Nella casella Chiave tag, inserisci il nome visualizzato della chiave tag. Questo diventa parte del nome con spazio dei nomi del tag.
Nella casella Descrizione chiave tag, inserisci una descrizione della chiave tag.
Se vuoi aggiungere valori tag a questa chiave, fai clic su
Aggiungi valore per ogni valore tag che vuoi creare.Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome con spazio dei nomi del tag.
Nella casella Descrizione valore tag, inserisci una descrizione per il valore del tag.
Dopo aver aggiunto i valori del tag, fai clic su Crea chiave tag.
gcloud
Per creare una chiave tag, utilizza il comando gcloud resource-manager tags keys create
:
gcloud resource-manager tags keys create SHORT_NAME \ --parent=RESOURCE_ID
Dove:
SHORT_NAME
è il nome visualizzato della chiave tag, ad esempio:environment
.RESOURCE_ID
è l'ID dell'organizzazione padre o della risorsa del progetto per questa chiave tag, ad esempio:organizations/123456789012
,projects/test-project123
oprojects/234567890123
. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti.
Dovresti ricevere una risposta simile alla seguente:
Creating tag key environment in organization 1234567890... <blocking wait until creation completes> name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Per creare una chiave tag, crea una rappresentazione JSON della chiave. Per ulteriori informazioni sul formato di una chiave tag, consulta la documentazione di riferimento su TagKey.
Quindi, utilizza il metodo tagKeys.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d
Corpo JSON della richiesta:
{ "parent": RESOURCE_ID, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Dove:
SHORT_NAME
è il nome visualizzato della chiave tag, ad esempio:environment
.RESOURCE_ID
è l'ID dell'organizzazione padre o della risorsa del progetto per questa chiave tag, ad esempio:organizations/123456789012
,projects/test-project123
oprojects/234567890123
. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti.DESCRIPTION
è una descrizione della chiave di massimo 256 caratteri.
Dopo aver creato la chiave, puoi trovare il nome visualizzato univoco
leggibile da una persona, denominato namespacedName
, con spazio dei nomi all'interno della risorsa
principale, e un ID permanente univoco globale chiamato name
.
Visualizzazione di una chiave tag
Puoi trovare informazioni su una determinata chiave tag utilizzando l'ID permanente o il nome con spazio dei nomi visualizzato al momento della creazione.
Console
Per visualizzare un tag creato:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente il tag.
Nell'elenco vengono visualizzati tutti i tag nell'organizzazione o nel progetto selezionato. Fai clic sul tag di cui vuoi visualizzare la chiave tag.
gcloud
Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il
comando gcloud resource-manager tags keys describe
:
gcloud resource-manager tags keys describe TAGKEY_NAME
TAGKEY_NAME
è l'ID permanente o il nome con spazio dei nomi della chiave tag per cui vuoi visualizzare le informazioni, ad esempio: tagKeys/123456789012
o project-id/environment
.
Dovresti ricevere una risposta simile alla seguente:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il metodo tagKeys.get:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}
TAGKEY_NAME
è l'ID permanente della chiave tag per cui vuoi visualizzare le informazioni, ad esempio: tagKeys/123456789012
.
Per visualizzare le informazioni relative a una determinata chiave tag utilizzando il nome con spazio dei nomi, utilizza il metodo tagKeys.getNamespaced
:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}
TAGKEY_NAMESPACED_NAME
è il nome con spazio dei nomi della chiave tag ed è nel formato parentNamespace/tagKeyShortName
.
Aggiunta di valori tag
Dopo aver creato una chiave tag, puoi aggiungere i valori accettati per quella chiave.
Il valore shortName
del valore del tag deve soddisfare i seguenti requisiti:
Un elemento
shortName
può avere una lunghezza massima di 256 caratteri.Un
shortName
deve iniziare con un carattere alfanumerico.Un elemento
shortName
può contenere caratteri Unicode codificati UTF-8, tranne le virgolette singole ('
), le virgolette doppie ("
), le barre rovesciate (\`), and forward slashes (
/`).Un
shortName
non può essere modificato dopo essere stato creato e deve essere univoco all'interno dello stesso spazio dei nomi.
Console
Per creare un valore di tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare un valore di tag.
Nell'elenco dei tag, fai clic sul tag a cui vuoi aggiungere un nuovo valore.
Fai clic su
Aggiungi valore.Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome con spazio dei nomi del tag.
Nella casella Descrizione valore tag, inserisci una descrizione per il valore del tag.
Fai clic su Salva.
gcloud
Per creare un valore di tag, utilizza il comando gcloud resource-manager tags values
create
. Devi specificare la chiave sotto la quale viene creato questo valore:
gcloud resource-manager tags values create TAGVALUE_SHORTNAME \ --parent=TAGKEY_NAME
Dove:
TAGVALUE_SHORTNAME
è il nome breve del nuovo valore tag, ad esempio:production
.TAGKEY_NAME
è l'ID permanente o il nome con spazio dei nomi della chiave tag principale, ad esempio:tagKeys/4567890123
.
Dovresti ricevere una risposta simile alla seguente:
Creating tag value production in tag key 123456789012/environment... <blocking wait until creation completes> name: tagValues/7890123456 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Per creare un valore tag, crea una rappresentazione JSON del valore. Per ulteriori informazioni sul formato di un valore tag, consulta la documentazione di riferimento di TagValue.
Quindi, utilizza il metodo tagValues.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d
Corpo JSON della richiesta:
{ "parent": TAGKEY_NAME, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Dove:
TAGKEY_NAME
è l'ID permanente della chiave tag principale, ad esempio:tagKeys/4567890123
.SHORT_NAME
è il nome visualizzato per il valore del tag, ad esempio:environment
.DESCRIPTION
è una descrizione del valore di massimo 256 caratteri. Dopo aver creato il valore, puoi trovare il nome visualizzato univoco leggibile da una persona, denominatonamespacedName
, con spazio dei nomi all'interno della risorsa principale, e un ID permanente univoco a livello globale denominatoname
.
Recupero dei valori dei tag
Puoi trovare informazioni su un determinato valore tag utilizzando l'ID permanente o il nome con spazio dei nomi visualizzato al momento della creazione.
Console
Per visualizzare un tag creato:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente il tag.
Tutti i tag creati in questa organizzazione o progetto vengono visualizzati nell'elenco. Fai clic sul tag per il quale vuoi visualizzare i valori.
gcloud
Per visualizzare le informazioni relative a un determinato valore di tag, utilizza il
comando gcloud resource-manager tags values describe
:
gcloud resource-manager tags values describe TAGVALUE_NAME
TAGVALUE_NAME
è l'ID permanente o il nome con spazi dei nomi del valore del tag, ad esempio: tagValues/4567890123
o 123456789012/environment/production
.
Dovresti ricevere una risposta simile alla seguente:
name: tagValues/456789012345 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Per visualizzare le informazioni relative a un determinato valore di tag, utilizza il metodo tagValues.get:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
è l'ID permanente del valore del tag, ad esempio: tagValues/4567890123
.
Per visualizzare le informazioni relative a un determinato valore di tag utilizzando il nome con spazio dei nomi, utilizza il metodo tagValues.getNamespaced:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}
TAGVALUE_NAMESPACED_NAME
è il nome con spazio dei nomi del valore del tag e ha il formato parentNamespace/tagKeyShortName/tagValueShortName
.
Quando fai riferimento ai tag utilizzando Google Cloud CLI, puoi utilizzare il
nome con spazio dei nomi o l'ID permanente per le chiavi e i valori dei tag. Per le chiamate all'API,
tranne getNamespaced
, è necessario utilizzare solo l'ID permanente. Per ulteriori informazioni sui tipi di identificatori utilizzati da un tag, consulta Definizioni e identificatori dei tag.
Aggiornamento dei tag esistenti
Puoi modificare un tag esistente aggiornando la chiave o i valori associati. Puoi aggiornare la descrizione di un tag, ma non il nome breve.
Console
Per aggiornare la descrizione di una chiave tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente la chiave tag.
Fai clic su
Azioni accanto alla chiave tag che vuoi aggiornare e poi fai clic su Visualizza dettagli.Fai clic su
Modifica accanto a Descrizione nella parte superiore dello schermo.Aggiorna la descrizione della chiave tag.
Fai clic su Salva.
gcloud
Per modificare la descrizione di una chiave tag, utilizza il
comando gcloud resource-manager tags keys update
:
gcloud resource-manager tags keys update TAGKEY_NAME \ --description=NEW_DESCRIPTION
Dove:
TAGKEY_NAME
è l'ID permanente o il nome con spazio dei nomi della chiave da aggiornare, ad esempio:tagKeys/123456789012
.NEW_DESCRIPTION
è una stringa di massimo 256 caratteri da utilizzare come nuova descrizione.
Dovresti ricevere una risposta simile alla seguente:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment description: "new description" parent: organizations/123456789012
API
Per modificare la descrizione di una chiave tag, utilizza il metodo tagKeys.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d
Corpo JSON della richiesta:
{ "description": DESCRIPTION, }
Dove:
TAGKEY_NAME
è l'ID permanente della chiave tag, ad esempio:tagKeys/123456789012
.DESCRIPTION
è una descrizione della chiave di massimo 256 caratteri.
Puoi anche modificare la descrizione dei valori dei tag.
Console
Per aggiornare la descrizione di un valore di tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente il valore del tag.
Fai clic su
Azioni accanto alla chiave tag per il valore da aggiornare e poi fai clic su Visualizza dettagli.Fai clic su
Azioni accanto al valore del tag che vuoi aggiornare, poi fai clic su Visualizza dettagli.Fai clic su
Modifica accanto a Descrizione nella parte superiore dello schermo.Aggiorna la descrizione del valore del tag.
Fai clic su Salva.
gcloud
Per modificare la descrizione di un valore di tag, utilizza il
comando gcloud resource-manager tags values update
:
gcloud resource-manager tags values update TAGVALUE_NAME \ --description="NEW_DESCRIPTION"
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazio dei nomi del valore del tag da aggiornare; ad esempio:tagValues/4567890123
.NEW_DESCRIPTION
è una stringa di massimo 256 caratteri da utilizzare come nuova descrizione.
Dovresti ricevere una risposta simile alla seguente:
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012 description: "new description"
API
Per modificare la descrizione di una chiave tag, utilizza il comando tagValues.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d
Corpo JSON della richiesta:
{ "description": DESCRIPTION, }
Dove:
TAGVALUE_NAME
è il nome ID permanente del valore del tag, ad esempio:tagValues/4567890123
.DESCRIPTION
è una descrizione della chiave di massimo 256 caratteri.
Elenco delle chiavi dei tag
Puoi elencare tutte le chiavi tag associate a una determinata risorsa dell'organizzazione o di un progetto utilizzando la console Google Cloud, gcloud CLI oppure una chiamata all'API.
Console
Per visualizzare tutti i tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente i tag.
Tutti i tag creati in questa organizzazione o progetto vengono visualizzati nell'elenco.
gcloud
Per restituire un elenco di tutte le chiavi tag create in un'organizzazione o in una risorsa di progetto, utilizza il comando gcloud resource-manager tags keys list
:
gcloud resource-manager tags keys list --parent=RESOURCE_ID
RESOURCE_ID
è l'ID della risorsa dell'organizzazione o del progetto a cui vuoi trovare le chiavi tag associate.
- È necessario fornire un ID organizzazione o progetto nel formato
organizations/ORGANIZATION_ID
oprojects/PROJECT_NAME
, ad esempioorganizations/123456789012
eprojects/test-project123
. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti. Dovresti ricevere una risposta simile alla seguente:
NAME SHORT_NAME DESCRIPTION tagKeys/123456789012 environment description of tag key
API
Per restituire un elenco di tutte le chiavi tag per una determinata risorsa, utilizza il metodo tagKeys.list con la risorsa padre specificata nella query:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys { "parent": "RESOURCE_ID" }
RESOURCE_ID
è l'ID della risorsa dell'organizzazione o del progetto per cui vuoi trovare le chiavi tag associate, ad esempio: organizations/123456789012
e projects/test-project123
.
Elenca valori tag
Puoi elencare tutti i valori dei tag associati a una determinata chiave tag utilizzando la console Google Cloud, gcloud CLI oppure una chiamata all'API.
Console
Per visualizzare tutti i valori dei tag associati a una chiave tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente la chiave tag.
Fai clic su
Azioni accanto alla chiave tag contenente i valori del tag che vuoi trovare e poi fai clic su Visualizza dettagli.Tutti i valori tag creati in questa chiave tag vengono visualizzati nell'elenco.
gcloud
Per restituire un elenco di tutti i valori di tag associati a una chiave, utilizza il
comando gcloud resource-manager tags values list
:
gcloud resource-manager tags values list --parent=TAGKEY_NAME
TAGKEY_NAME
è l'ID permanente o il nome con spazio dei nomi della chiave tag a cui vuoi trovare valori associati, ad esempio: tagKeys/123456789012
o 1234567/environment
.
Dovresti ricevere una risposta simile alla seguente:
NAME SHORT_NAME tagValues/123456789012 production
API
Per restituire un elenco di tutti i valori di tag associati a una chiave, utilizza il metodo tagValues.list, con la chiave tag principale specificata nella query:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues { "parent": "TAGKEY_NAME" }
TAGKEY_NAME
è il nome ID permanente della chiave di tag, ad esempio: tagKeys/123456789012
.
Gestione dell'accesso ai tag
Utilizza la console Google Cloud per concedere agli utenti accesso specifico per la gestione dei tag e il collegamento dei valori dei tag alle risorse. Consulta Autorizzazioni obbligatorie per un elenco dei ruoli correlati ai tag e delle autorizzazioni che contengono.
Chiavi tag
Per gestire l'accesso per gli utenti a una chiave tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente la chiave tag su cui vuoi gestire l'accesso.
Fai clic sulla casella di controllo accanto al tag per cui vuoi gestire l'accesso.
Fai clic su
Gestisci accesso.Per aggiungere un ruolo a un'entità, fai clic su
Aggiungi entità.Nella casella di testo Nuove entità, inserisci l'indirizzo email di quella a cui vuoi assegnare un nuovo ruolo.
Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungere più di un ruolo, fai clic su
Aggiungi un altro ruolo.Fai clic su Salva.
Per modificare il ruolo di un'entità, fai clic su
Modifica accanto all'entità da modificare.Puoi modificare qualsiasi ruolo assegnato alle entità in questo tag facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.
Per aggiungere altri ruoli, fai clic su
Aggiungi un altro ruolo.Per eliminare un ruolo da questa entità in questo tag, fai clic su
Elimina ruolo accanto al ruolo da eliminare.Fai clic su Salva.
Per eliminare il ruolo di un'entità, fai clic su
Elimina ruolo accanto al ruolo da eliminare.- Fai clic su Rimuovi.
Valori tag
Per gestire l'accesso per gli utenti su un valore tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente la chiave tag per cui vuoi gestire l'accesso.
Fai clic su
Azioni accanto alla chiave tag per il valore per il quale vuoi gestire l'accesso e poi fai clic su Visualizza dettagli.Fai clic su
Gestisci accesso.Per aggiungere un ruolo a un'entità, fai clic su
Aggiungi entità.Nella casella di testo Nuove entità, inserisci l'indirizzo email di quella a cui vuoi assegnare un nuovo ruolo.
Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungere più di un ruolo, fai clic su
Aggiungi un altro ruolo.Fai clic su Salva.
Per modificare il ruolo di un'entità, fai clic su
Modifica accanto all'entità da modificare.Puoi modificare qualsiasi ruolo assegnato alle entità in questo tag facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.
Per aggiungere altri ruoli, fai clic su
Aggiungi un altro ruolo.Per eliminare un ruolo da questa entità in questo tag, fai clic su
Elimina ruolo accanto al ruolo da eliminare.Fai clic su Salva.
Per eliminare il ruolo di un'entità, fai clic su
Elimina ruolo accanto al ruolo da eliminare.- Fai clic su Rimuovi.
Collegamento di tag alle risorse
Dopo aver creato un tag e aver concesso l'accesso appropriato sia al tag sia alla risorsa, il tag può essere associato a una risorsa Google Cloud come coppia chiave-valore. È possibile collegare un solo valore a una risorsa per una determinata chiave. Ad esempio, se
environment: development
è collegato, non è possibile collegare environment: production
o
environment: test
.
A ogni risorsa può essere collegato un massimo di 50 coppie chiave/valore.
I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega il valore alla risorsa Google Cloud. Il seguente flusso di lavoro descrive come collegare un tag a un'organizzazione, una cartella o una risorsa di progetto. Per informazioni dettagliate su come collegare i tag a un altro tipo di risorsa, consulta la documentazione relativa alla risorsa in Servizi che supportano i tag.
Console
Per collegare un tag a un'organizzazione, una cartella o una risorsa di progetto, segui questi passaggi:
Apri la pagina Gestisci risorse nella console Google Cloud.
Fai clic sull'organizzazione, sulla cartella o sul progetto a cui vuoi collegare un tag.
Fai clic su
Tag.Nel riquadro Tag, fai clic su Seleziona ambito.
Seleziona l'organizzazione o il progetto che contiene i tag, quindi fai clic su Apri.
Nel riquadro Tag, seleziona Aggiungi tag.
Nel campo Chiave, seleziona dall'elenco la chiave del tag che vuoi collegare. Puoi filtrare l'elenco digitando parole chiave.
Nel campo Valore, seleziona dall'elenco il valore del tag che vuoi collegare. Puoi filtrare l'elenco digitando parole chiave.
Se vuoi collegare altri tag, fai clic su
Aggiungi tag e seleziona la chiave e il valore per ciascun tag.Fai clic su Salva.
Nella finestra di dialogo Conferma, fai clic su Conferma per allegare il tag.
Una notifica conferma l'aggiornamento dei tag. I nuovi tag vengono visualizzati nella colonna Tag nella pagina Gestisci risorse.
gcloud
Per collegare un tag a una risorsa, devi creare una risorsa di associazione di tag utilizzando il comando gcloud resource-manager tags bindings create
:
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazi dei nomi del valore del tag da associare; ad esempio:tagValues/4567890123
o12345678/environment/production
.RESOURCE_ID
è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/
). Ad esempio, per collegare un tag aprojects/7890123456
, l'ID completo sarebbe://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
è la località della risorsa. Se stai collegando un tag a una risorsa globale, come una cartella o un progetto, devi omettere questo flag. Se colleghi un tag a una risorsa di regione, come un'istanza di Compute Engine, devi specificare la località; ad esempio:us-central1
.
API
Per collegare un tag a una risorsa, devi prima creare una rappresentazione JSON di un'associazione di tag che includa l'ID permanente o il nome con spazio dei nomi del valore del tag e l'ID permanente della risorsa. Per ulteriori informazioni sul formato di un'associazione di tag, consulta la documentazione di riferimento relativa a TagBinding.
Se colleghi il tag a una risorsa globale come un'organizzazione, utilizza il metodo tagBindings.create con il nome host dell'endpoint globale:
POST https://cloudresourcemanager.googleapis.com/v3/tagBindings
Se colleghi il tag a una risorsa di regione, ad esempio un'istanza Compute Engine, utilizza il metodo tagBindings.create
con l'endpoint regionale in cui si trova la risorsa.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings
Corpo JSON della richiesta:
{ "parent": RESOURCE_ID, "tagValue": TAGVALUE_NAME, }
OR
{ "parent": RESOURCE_ID, "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME, }
Dove:
RESOURCE_ID
è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/
). Ad esempio, per collegare un tag aprojects/7890123456
, l'ID completo sarebbe://cloudresourcemanager.googleapis.com/projects/7890123456
.TAGVALUE_NAME
è l'ID permanente del valore tag associato, ad esempio:tagValues/4567890123
.TAGVALUE_NAMESPACED_NAME
è il nome con spazio dei nomi del valore del tag associato e ha il formato:parentNamespace/tagKeyShortName/tagValueShortName
.
Elenco di tutti i tag associati a una risorsa
Puoi ottenere un elenco di tutti i tag associati a una risorsa, ereditati o direttamente collegati.
Console
Per visualizzare tutti i tag associati o ereditati da una risorsa, segui questi passaggi:
Apri la pagina Gestisci risorse nella console Google Cloud.
Individua l'organizzazione, la cartella o il progetto nell'elenco delle risorse.
I tag associati alla risorsa vengono visualizzati nella colonna Tag. I tag ereditati verranno contrassegnati come
ereditati.
gcloud
Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa, utilizza il
comando gcloud resource-manager tags bindings list
. Se aggiungi il flag --effective
, restituirà anche un elenco di tag ereditati da questa risorsa.
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
Dove:
RESOURCE_ID
è l'ID completo della risorsa; ad esempio://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
è la località della risorsa. Se stai elencando i tag associati a una risorsa globale, come una cartella o un progetto, devi omettere questo flag. Se colleghi un tag a una risorsa di regione, come un'istanza Compute Engine, devi specificare la località, ad esempio:us-central1
.
Dovresti ricevere una risposta simile alla seguente:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Se aggiungi il flag --effective
al comando tags bindings list
, restituirà anche un elenco di tutti i tag ereditati da questa risorsa. Dovresti
ricevere una risposta simile alla seguente:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
Se tutti i tag valutati in una risorsa sono collegati direttamente, il campo inherited
è falso e viene omesso.
API
Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa globale, ad esempio un'organizzazione, utilizza il metodo tagBindings.list, specificando la risorsa padre nella query:
GET https://cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Se vuoi elencare le associazioni di tag collegate a una risorsa di regione, ad esempio le istanze di Compute Engine, utilizza il metodo tagBindings.list
con l'endpoint regionale in cui si trova la risorsa.
GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Dove:
RESOURCE_ID
è l'ID completo della risorsa; ad esempio://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
è l'endpoint a livello di regione per la risorsa, ad esempio:us-central1
.
In caso di esito positivo, il corpo della risposta deve includere un elenco di oggetti TagBinding
. Ad esempio:
name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Scollegamento di un tag da una risorsa
Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione di tag.
Console
Per scollegare un tag da un'organizzazione, una cartella o una risorsa di progetto, segui questi passaggi:
Apri la pagina Gestisci risorse nella console Google Cloud.
Fai clic sull'organizzazione, sulla cartella o sul progetto da cui vuoi scollegare un tag.
Fai clic su
Tag.Nel riquadro Tag, accanto al tag da scollegare, fai clic su
Elimina elemento.Fai clic su Salva.
Nella finestra di dialogo Conferma, fai clic su Conferma per scollegare il tag.
Una notifica conferma l'aggiornamento dei tag. L'elenco aggiornato dei tag viene visualizzato nella colonna Tag della pagina Gestisci risorse.
gcloud
Per eliminare un'associazione di tag, utilizza il
comando gcloud resource-manager tags bindings delete
:
gcloud resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazio dei nomi del valore tag associato, ad esempio:tagValues/567890123456
.RESOURCE_ID
è l'ID completo della risorsa. Ad esempio://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
è la località della risorsa. Se stai eliminando un'associazione di tag collegata a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se stai eliminando un'associazione di tag associata a una risorsa di regione, come un'istanza di Compute Engine, devi specificare la località, ad esempio:us-central1
.
API
Per eliminare un'associazione di tag collegata a una risorsa globale, ad esempio un'organizzazione, utilizza il metodo tagBindings.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Se vuoi eliminare un'associazione di tag collegata a una risorsa di regione, ad esempio un'istanza di Compute Engine, utilizza il metodo tagBindings.delete
con l'endpoint regionale in cui si trova la risorsa.
DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Dove:
TAGBINDINGS_NAME
è l'ID permanente di TagBinding, ad esempio:tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
.LOCATION
è l'endpoint a livello di regione per la risorsa, ad esempio:us-central1
.
Protezione dei valori dei tag con archiviazioni a fini legali
Un blocco tag è una risorsa che puoi creare per proteggere un valore tag dall'eliminazione. Se un valore di tag ha un blocco tag, non può essere eliminato dagli utenti a meno che il blocco dei tag non venga prima eliminato.
Creazione di archiviazioni a fini legali per i tag
Puoi creare manualmente un blocco tag utilizzando gcloud CLI o l'API.
gcloud
Per creare un blocco tag, utilizza il comando gcloud CLI di comando gcloud resource-manager tags holds create
:
gcloud resource-manager tags holds create TAGVALUE_NAME \ --holder=HOLDER_NAME \ --location=LOCATION
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazio dei nomi del valore tag per il quale deve essere creata la conservazione di questo tag; ad esempio:tagValues/567890123456
.HOLDER_NAME
è il nome della risorsa in cui è associato il valore del tag. Deve contenere meno di 200 caratteri.LOCATION
è la località della risorsa. Se stai creando un blocco tag per una risorsa globale, ad esempio un progetto Google Cloud, devi omettere questo flag. Se stai creando un blocco tag per una risorsa a livello di regione o zona, devi specificare la località; ad esempio:us-central1
.
API
Per creare un blocco tag per un valore tag, devi prima creare una rappresentazione JSON di un blocco tag. Questo riferimento JSON deve includere un riferimento
alla risorsa a cui è associato il valore del tag. Per ulteriori informazioni sul formato di un blocco tag, consulta il riferimento TagHolds
.
Se vuoi creare un blocco tag per un valore tag associato a una risorsa globale, ad esempio un'organizzazione, utilizza il metodo tagHolds.create
con il nome host dell'endpoint globale:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds
Se stai creando un blocco tag per un valore tag associato a una risorsa regionale, ad esempio un'istanza di Compute Engine, utilizza il
metodo tagHolds.create
con l'endpoint regionale in cui si trova
la risorsa.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds
Corpo JSON della richiesta:
{ "holder":HOLDER_NAME, "origin":ORIGIN_NAME }
Dove:
TAGVALUE_NAME
è l'ID permanente del valore tag associato, ad esempio:tagValues/4567890123
.HOLDER_NAME
è il nome della risorsa in cui è associato il valore del tag. Deve contenere meno di 200 caratteri.ORIGIN_NAME
è una stringa facoltativa che rappresenta l'origine di questa richiesta. Questo campo deve includere informazioni comprensibili per distinguere le origini l'una dall'altra. Deve contenere meno di 200 caratteri.
Conservazioni dei tag di schede
Puoi elencare tutti i blocchi dei tag sotto un determinato valore tag utilizzando gcloud CLI o l'API.
gcloud
Per elencare i blocchi dei tag che si trovano sotto un valore tag, utilizza il comando gcloud CLI: gcloud resource-manager tags holds list
:
gcloud resource-manager tags holds list TAGVALUE_NAME \ --location=LOCATION
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazio dei nomi del valore del tag, ad esempio:tagValues/567890123456
.LOCATION
è la località della risorsa. Se sei alla ricerca di archiviazioni a fini legali di tag create a livello globale, devi omettere questo flag. Se stai cercando blocchi tag in una risorsa a livello di regione o zona, devi specificare la località, ad esempio:us-central1
.
API
Per visualizzare un elenco dei blocchi dei tag all'interno di un valore tag, utilizza il metodo tagHolds
GET, specificando il valore del tag principale nell'URL:
GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds
Dove:
TAGVALUE_NAME
è l'ID permanente o il nome con spazio dei nomi del valore del tag, ad esempio:tagValues/567890123456
.
Rimozione delle conservazioni dei tag in corso
Puoi rimuovere le archiviazioni a fini legali dei tag create per un determinato valore tag utilizzando gcloud CLI o l'API.
Alcune risorse aggiungono blocchi dei tag a un valore tag associato a quella risorsa. Se colleghi un tag a una risorsa di questo tipo, la risorsa crea un blocco tag che impedirà agli utenti di eliminare il valore del tag associato.
Puoi eliminare un blocco tag utilizzando gcloud CLI o l'API.
gcloud
Per eliminare un blocco tag, utilizza il comando gcloud resource-manager tags holds delete
gcloud CLI:
gcloud resource-manager tags holds delete TAGHOLD_NAME \ --location=LOCATION
Dove:
TAGHOLD_NAME
è il nome con spazio dei nomi della conservazione tag, che puoi trovare utilizzando il comandolist
. Ad esempio:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.LOCATION
è la località della risorsa. Se stai eliminando un blocco di tag che si trova sotto un valore di tag associato a una risorsa globale, come una cartella o un progetto, devi omettere questo flag. Se elimina un blocco tag creato da un processo a livello di regione o zona, devi specificarne la località. Ad esempio:us-central1
.
API
Per eliminare un valore di tag, utilizza il metodo tagHolds.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}
Dove:
TAGVALUE_NAME
è l'ID permanente del valore tag a cui è associato il blocco tag che vuoi eliminare; ad esempio:tagValues/567890123456
.TAGHOLD_NAME
è il nome con spazio dei nomi della conservazione tag che vuoi eliminare, che puoi trovare utilizzando il comandolist
. Ad esempio:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.
Eliminazione dei tag
Per eliminare un tag, devi eliminare ogni componente che lo definisce. Innanzitutto, devi eliminare tutte le associazioni di tag che lo associano alle risorse nella tua gerarchia. Per istruzioni sull'eliminazione delle associazioni di tag, consulta Scollegamento di un tag da una risorsa.
Se il tag è utilizzato da un'altra risorsa o se un utente ha creato manualmente un blocco tag, potrebbe essere necessario rimuovere le conservazioni dei tag ed eliminare le associazioni di tag prima di poter eliminare i valori dei tag. Per informazioni sulla rimozione delle archiviazioni a fini legali dei tag, consulta Rimozione delle archiviazioni a fini legali dei tag.
Quando non ci sono altre associazioni di tag per i valori di tag da eliminare, puoi eliminare i valori.
Console
Per eliminare un valore di tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente il valore del tag.
Fai clic su
Azioni accanto alla chiave tag contenente il valore tag da eliminare e poi fai clic su Visualizza dettagli.Nell'elenco dei valori del tag associati a questa chiave tag, fai clic sul valore tag che vuoi eliminare.
Fai clic sulla casella di controllo accanto al valore del tag da eliminare, poi fai clic su
Elimina valori.Fai clic su Conferma.
gcloud
Per eliminare il valore di un tag, utilizza il comando gcloud resource-manager tag values delete
:
gcloud resource-manager tags values delete TAGVALUE_NAME
TAGVALUE_NAME
è l'ID permanente o il nome con spazi dei nomi del valore del tag che vuoi eliminare, ad esempio: tagValues/567890123456
.
API
Per eliminare un valore di tag, utilizza il metodo tagValues.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
è l'ID permanente del valore tag
da eliminare, ad esempio tagValues/567890123456
.
Dopo aver eliminato tutti i valori del tag associati a una chiave, puoi eliminare la chiave.
Console
Per eliminare una chiave tag:
Apri la pagina Tag nella console Google Cloud.
Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto contenente la chiave tag.
Fai clic sulla casella di controllo accanto alla chiave tag da eliminare.
Fai clic su
Elimina tag.Fai clic su Conferma.
gcloud
Per eliminare una chiave tag, utilizza il comando gcloud resource-manager tags keys delete
:
gcloud resource-manager tags keys delete TAGKEYS_NAME
TAGKEYS_NAME
è l'ID permanente o il nome con spazi dei nomi della chiave tag che vuoi eliminare, ad esempio: tagKeys/123456789012
.
API
Per eliminare una chiave tag, utilizza il metodo tagKeys.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}
TAGKEYS_NAME
è l'ID permanente della chiave tag che vuoi eliminare; ad esempio: tagKeys/123456789012
.
Criteri e tag
Puoi utilizzare i tag con criteri che li supportano per applicare questi criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore di tag come condizione per il criterio.
Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) a seconda che una risorsa abbia un tag specifico.
Condizioni e tag di Identity and Access Management
Puoi utilizzare i tag e le condizioni di Identity and Access Management per concedere ruoli agli utenti nella tua gerarchia in modo condizionale. Questo processo rende le risorse inaccessibili agli utenti finché non viene collegato un tag associato a un criterio condizionale. Ad esempio, potresti voler richiedere che gli sviluppatori assegnino un centro di costo a una risorsa prima di poterla utilizzare.
Crea un tag da utilizzare per associare le risorse a un elemento che identificherà se alle risorse è stata applicata la governance adeguata. Ad esempio, potresti creare un tag con la chiave
costCenter
e i valori0001
,0002
e così via per associare le risorse ai vari centri di costo della tua azienda.Crea un ruolo personalizzato a livello di organizzazione che consenta agli utenti di aggiungere tag alle risorse per le quali richiedi l'utilizzo di tag. In questo modo le autorizzazioni vengono concesse alle entità specificate in qualsiasi punto dell'organizzazione.
Ad esempio, un ruolo personalizzato che consente agli utenti di aggiungere tag ai progetti includerà le seguenti autorizzazioni:
resourcemanager.projects.get
resourcemanager.hierarchyNodes.create
resourcemanager.hierarchyNodes.delete
resourcemanager.hierarchyNodes.list
Quando crei progetti per i tuoi sviluppatori, assegna loro questo ruolo personalizzato nel progetto.
Assegna agli sviluppatori qualsiasi altro ruolo che includa le autorizzazioni per eseguire azioni desiderate all'interno del progetto. Quando concedi ruoli agli utenti del progetto, questi devono essere sempre concessi in modo condizionale per richiedere l'allegato del tag
costCenter
.resource.hasTagKey('123456789012/costCenter')
Ogni volta che viene creato un progetto, gli sviluppatori devono collegarvi il tag costCenter
prima di poter eseguire le azioni al suo interno concesse dal criterio IAM.
Criteri e tag dell'organizzazione
Puoi utilizzare i tag e l'applicazione condizionale dei criteri dell'organizzazione per fornire un controllo centralizzato delle risorse nella gerarchia. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con i tag.
Servizi supportati
Per un elenco dei servizi che supportano i tag, vedi Servizi che supportano i tag.
Risoluzione dei problemi noti
L'espressione della condizione non riesce
Se esegui uno dei comandi add-iam-policy-binding
utilizzando Google Cloud CLI e il criterio IAM su quella risorsa contiene associazioni di ruoli condizionali per quel ruolo, lo strumento gcloud CLI ti chiede di scegliere una delle espressioni di condizione esistenti nel criterio. Se scegli un'espressione di condizione che contiene una virgola, il comando non riesce. Per aggirare il problema, utilizza il flag --condition
per specificare un'espressione di condizione nella riga di comando.