In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Google Cloud-Ressource angehängt werden kann. Sie können Tags verwenden, um Richtlinien je nachdem, ob eine unterstützte Ressource ein bestimmtes Tag hat, bedingt zuzulassen oder abzulehnen.
Hinweise
Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.
Erforderliche Berechtigungen
Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.
Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.
Tags aufrufen
Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer
) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:
Erforderliche Berechtigungen
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
für den entsprechenden Ressourcentyp. Beispiel:compute.instances.listTagBindings
zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.listEffectiveTags
für den entsprechenden Ressourcentyp.
Beispiel:
compute.instances.listEffectiveTags
zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.
Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer
) für die Organisationsressource.
Tags verwalten
Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin
) oder eine andere Rolle mit den folgenden Berechtigungen:
Erforderliche Berechtigungen
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer
) für die Organisationsressource.
Tags für Ressourcen verwalten
Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser
) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:
Erforderliche Berechtigungen
- Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
- Ressourcenspezifische
createTagBinding
-Berechtigung, z. B.compute.instances.createTagBinding
für Compute Engine-Instanzen. - Ressourcenspezifische
deleteTagBinding
-Berechtigung, z. B.compute.instances.deleteTagBinding
für Compute Engine-Instanzen. - Erforderliche Berechtigungen für den Tag-Wert:
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Ein neues Tag erstellen und definieren
Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Ressource in Ihrer Google Cloud-Hierarchie angehängt. Um ein neues Tag zu erstellen, müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie angeben. Dazu erstellen Sie einen Schlüssel mit dem Namen environment
.
Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen environment
erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: production
, development
und test
.
Sie können maximal 1.000 Schlüssel erstellen, die in einer bestimmten Organisation oder einem bestimmten Projekt erstellt wurden. Für jeden Schlüssel können insgesamt 1.000 Werte erstellt werden.
Schließlich können Sie diese Werte an Ressourcen in Ihrer Hierarchie anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Sie können beispielsweise test
an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar environment: test
enthalten.
Tags erstellen
Zuerst müssen Sie einen Tag-Schlüssel erstellen.
Der shortName
des Tag-Schlüssels darf eine maximale Länge von 256 Zeichen haben. Der zulässige Zeichensatz für shortName
enthält UTF-8-codierte Unicode-Zeichen mit Ausnahme von einfachen Anführungszeichen ('
), doppelten Anführungszeichen ("
) und umgekehrten Schrägstrichen (\`),
and forward slashes (
/).
Nachdem die shortName
erstellt wurde, kann sie nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.
Console
So erstellen Sie einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, für das Sie einen Tag-Schlüssel erstellen möchten.
Klicken Sie auf
Erstellen.Geben Sie im Feld Tag-Schlüssel den Anzeigenamen des Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung ein.
Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf
Wert hinzufügen.Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.
Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag-Schlüssel erstellen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys create
, um einen Tag-Schlüssel zu erstellen:
gcloud resource-manager tags keys create SHORT_NAME \ --parent=RESOURCE_ID
Wobei:
SHORT_NAME
ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel:environment
.RESOURCE_ID
ist die ID der übergeordneten Organisation oder Projektressource für diesen Tag-Schlüssel. Beispiel:organizations/123456789012
,projects/test-project123
oderprojects/234567890123
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Creating tag key environment in organization 1234567890... <blocking wait until creation completes> name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Um einen Tag-Schlüssel zu erstellen, erstellen Sie eine JSON-Darstellung des Schlüssels. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.
Verwenden Sie dann die Methode tagKeys.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d
JSON-Text anfordern:
{ "parent": RESOURCE_ID, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Wobei:
SHORT_NAME
ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel:environment
.RESOURCE_ID
ist die ID der übergeordneten Organisation oder Projektressource für diesen Tag-Schlüssel. Beispiel:organizations/123456789012
,projects/test-project123
oderprojects/234567890123
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen und lesbaren Anzeigenamen namespacedName
, der in der übergeordneten Ressource mit einem Namespace versehen ist, sowie eine global eindeutige permanente ID namens name
.
Tag-Schlüssel aufrufen
Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.
Console
So rufen Sie ein erstelltes Tag auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.
Alle Tags in der ausgewählten Organisation oder dem ausgewählten Projekt werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys describe
, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:
gcloud resource-manager tags keys describe TAGKEY_NAME
TAGKEY_NAME
ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie Informationen anzeigen möchten. Beispiel: tagKeys/123456789012
oder project-id/environment
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}
TAGKEY_NAME
ist die permanente ID des Tag-Schlüssels, für den Sie Informationen anzeigen lassen möchten. Beispiel: tagKeys/123456789012
.
Wenn Sie die Informationen zu einem bestimmten Tag-Schlüssel mithilfe seines Namespace-Namens anzeigen lassen möchten, verwenden Sie die Methode tagKeys.getNamespaced
:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}
TAGKEY_NAMESPACED_NAME
ist der Namespace-Name des Tag-Schlüssels und hat das Format parentNamespace/tagKeyShortName
.
Tag-Werte hinzufügen
Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.
Der shortName
des Tag-Werts muss die folgenden Anforderungen erfüllen:
Ein
shortName
darf eine maximale Länge von 256 Zeichen haben.Ein
shortName
muss mit einem alphanumerischen Zeichen beginnen.Ein
shortName
kann UTF-8-codierte Unicode-Zeichen enthalten, mit Ausnahme von einfachen Anführungszeichen ('
), doppelten Anführungszeichen ("
) und umgekehrten Schrägstrichen (\`), and forward slashes (
/).Ein
shortName
kann nach dem Erstellen nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.
Console
So erstellen Sie einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, für das Sie einen Tag-Wert erstellen möchten.
Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.
Klicken Sie auf
Wert hinzufügen.Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags values
create
, um einen Tag-Wert zu erstellen. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:
gcloud resource-manager tags values create TAGVALUE_SHORTNAME \ --parent=TAGKEY_NAME
Wobei:
TAGVALUE_SHORTNAME
ist der Kurzname des neuen Tag-Werts. Beispiel:production
.TAGKEY_NAME
ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Creating tag value production in tag key 123456789012/environment... <blocking wait until creation completes> name: tagValues/7890123456 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Wenn Sie einen Tag-Wert erstellen möchten, erstellen Sie eine JSON-Darstellung des Werts. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.
Verwenden Sie dann die Methode tagValues.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d
JSON-Text anfordern:
{ "parent": TAGKEY_NAME, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Wobei:
TAGKEY_NAME
ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123
.SHORT_NAME
ist der Anzeigename für Ihren Tag-Wert. Beispiel:environment
.DESCRIPTION
ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein. Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen und lesbaren AnzeigenamennamespacedName
, der in der übergeordneten Ressource mit einem Namespace versehen ist, sowie eine global eindeutige permanente ID namensname
.
Tag-Werte abrufen
Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.
Console
So rufen Sie ein erstelltes Tag auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.
Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie Tag-Werte aufrufen möchten.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags values describe
, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:
gcloud resource-manager tags values describe TAGVALUE_NAME
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tagwerts. Beispiel: tagValues/4567890123
oder 123456789012/environment/production
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagValues/456789012345 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
ist die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123
.
Verwenden Sie die Methode tagValues.getNamespaced, um die Informationen zu einem bestimmten Tag-Wert mithilfe seines Namespace-Namens anzuzeigen:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}
TAGVALUE_NAMESPACED_NAME
ist der Namespace-Name des Tag-Werts und hat das Format parentNamespace/tagKeyShortName/tagValueShortName
.
Wenn Sie über die Google Cloud CLI auf Tags verweisen, können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Für API-Aufrufe mit Ausnahme von getNamespaced
sollte nur die permanente ID verwendet werden. Weitere Informationen zu den Arten von Kennzeichnungen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und Kennzeichnungen.
Vorhandene Tags aktualisieren
Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.
Console
So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.
Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie oben auf dem Bildschirm neben Beschreibung auf
Bearbeiten.Aktualisieren Sie die Beschreibung des Tag-Schlüssels.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud resource-manager tags keys update
:
gcloud resource-manager tags keys update TAGKEY_NAME \ --description=NEW_DESCRIPTION
Wobei:
TAGKEY_NAME
ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel:tagKeys/123456789012
.NEW_DESCRIPTION
ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment description: "new description" parent: organizations/123456789012
API
Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d
JSON-Text anfordern:
{ "description": DESCRIPTION, }
Wobei:
TAGKEY_NAME
ist die permanente ID des Tag-Schlüssels, z. B.tagKeys/123456789012
.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Sie können auch die Beschreibung von Tag-Werten ändern.
Console
So aktualisieren Sie die Beschreibung eines Tag-Werts:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Wert enthält.
Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf
Aktionen und dann auf Details ansehen.Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie oben auf dem Bildschirm neben Beschreibung auf
Bearbeiten.Aktualisieren Sie die Beschreibung des Tag-Werts.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud resource-manager tags values update
:
gcloud resource-manager tags values update TAGVALUE_NAME \ --description="NEW_DESCRIPTION"
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel:tagValues/4567890123
.NEW_DESCRIPTION
ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012 description: "new description"
API
Verwenden Sie zum Ändern der Beschreibung eines Tag-Schlüssels den Befehl tagValues.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d
JSON-Text anfordern:
{ "description": DESCRIPTION, }
Wobei:
TAGVALUE_NAME
ist der permanente ID-Name des Tag-Werts. Beispiel:tagValues/4567890123
.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Tag-Schlüssel auflisten
Sie können alle Tag-Schlüssel auflisten, die mit einer bestimmten Organisations- oder Projektressource verknüpft sind. Verwenden Sie dazu die Google Cloud Console, die gcloud CLI oder einen Aufruf an die API.
Console
So rufen Sie alle Tags auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihre Tags enthält.
Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt.
gcloud
Wenn Sie eine Liste aller Tag-Schlüssel abrufen möchten, die in einer Organisation oder einer Projektressource erstellt wurden, verwenden Sie den Befehl gcloud resource-manager tags keys list
:
gcloud resource-manager tags keys list --parent=RESOURCE_ID
RESOURCE_ID
ist die ID der Organisations- oder Projektressource, für die Sie angehängte Tag-Schlüssel finden möchten.
- Eine Organisations- oder Projekt-ID muss im Format
organizations/ORGANIZATION_ID
oderprojects/PROJECT_NAME
angegeben werden. Beispiel:organizations/123456789012
undprojects/test-project123
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten. Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME SHORT_NAME DESCRIPTION tagKeys/123456789012 environment description of tag key
API
Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys { "parent": "RESOURCE_ID" }
RESOURCE_ID
ist die ID der Organisations- oder Projektressource, für die Sie die angehängten Tag-Schlüssel suchen möchten, z. B. organizations/123456789012
und projects/test-project123
.
Tag-Werte auflisten
Sie können alle Tag-Werte, die mit einem bestimmten Tag-Schlüssel verknüpft sind, über die Google Cloud Console, die gcloud CLI oder einen Aufruf an die API auflisten.
Console
Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.
Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf
Aktionen und dann auf Details ansehen.Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags values list
, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:
gcloud resource-manager tags values list --parent=TAGKEY_NAME
TAGKEY_NAME
ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie angehängte Werte finden möchten. Beispiel: tagKeys/123456789012
oder 1234567/environment
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME SHORT_NAME tagValues/123456789012 production
API
Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues { "parent": "TAGKEY_NAME" }
TAGKEY_NAME
ist der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012
.
Zugriff auf Tags verwalten
Sie können Nutzern über die Google Cloud Console spezifischen Zugriff gewähren, um Tags zu verwalten und Tag-Werte an Ressourcen anzuhängen. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.
Tag-Schlüssel
So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt mit dem Tag-Schlüssel aus, für den Sie den Zugriff verwalten möchten.
Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.
Klicken Sie auf
Zugriff verwalten.Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf
Hauptkonto hinzufügen.Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.
Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Klicken Sie auf Speichern.
Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf
Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.Klicken Sie auf Speichern.
Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.- Klicken Sie auf Entfernen.
Tag-Werte
So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt mit dem Tag-Schlüssel aus, für den Sie den Zugriff verwalten möchten.
Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie auf
Zugriff verwalten.Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf
Hauptkonto hinzufügen.Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.
Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Klicken Sie auf Speichern.
Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf
Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.Klicken Sie auf Speichern.
Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.- Klicken Sie auf Entfernen.
Tags an Ressourcen anhängen
Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud-Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise environment: development
angehängt ist, können environment: production
oder environment: test
nicht angehängt werden.
An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft. Im folgenden Workflow wird beschrieben, wie Sie ein Tag an eine Organisation, einen Ordner oder eine Projektressource anhängen. Weitere Informationen zum Anhängen von Tags an einen anderen Ressourcentyp finden Sie in der Dokumentation zur entsprechenden Ressource unter Dienste, die Tags unterstützen.
Console
So hängen Sie ein Tag an eine Organisation, einen Ordner oder eine Projektressource an:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.
Klicken Sie auf
Tags.Klicken Sie im Bereich Tags auf Bereich auswählen.
Wählen Sie die Organisation oder das Projekt aus, das Ihre Tags enthält, und klicken Sie dann auf Öffnen.
Wählen Sie im Bereich Tags die Option Tag hinzufügen aus.
Wählen Sie im Feld Schlüssel aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
Wählen Sie im Feld Wert den Wert für das Tag aus der Liste aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
Wenn Sie weitere Tags anhängen möchten, klicken Sie auf
Tag hinzufügen und wählen Sie dann den Schlüssel und den Wert für jedes einzelne Tag aus.Klicken Sie auf Speichern.
Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.
In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die neuen Tags werden auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.
gcloud
Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create
eine Tag-Bindungsressource erstellen:
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des hinzuzufügenden Tag-Werts. Beispiel:tagValues/4567890123
oder12345678/environment/production
.RESOURCE_ID
ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/
) zu identifizieren. Wenn Sie beispielsweise ein Tag anprojects/7890123456
anhängen möchten, lautet die vollständige ID://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanente ID oder den Namespace-Namen des Tag-Werts und die permanente ID der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der TagBinding-Referenz.
Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:
POST https://cloudresourcemanager.googleapis.com/v3/tagBindings
Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings
JSON-Text anfordern:
{ "parent": RESOURCE_ID, "tagValue": TAGVALUE_NAME, }
ODER
{ "parent": RESOURCE_ID, "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME, }
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/
) zu identifizieren. Wenn Sie beispielsweise ein Tag anprojects/7890123456
anhängen möchten, lautet die vollständige ID://cloudresourcemanager.googleapis.com/projects/7890123456
.TAGVALUE_NAME
ist die permanente ID des angehängten Tag-Werts. Beispiel:tagValues/4567890123
.TAGVALUE_NAMESPACED_NAME
ist der Namespace-Name des angehängten Tag-Werts und hat folgendes Format:parentNamespace/tagKeyShortName/tagValueShortName
.
Alle an eine Ressource angehängten Tags auflisten
Sie können eine Liste aller an eine Ressource angehängten Tags abrufen, für Tags, die entweder übernommen oder direkt angehängt wurden.
Console
So rufen Sie alle Tags auf, die an eine Ressource angehängt oder von ihr übernommen wurden:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.
Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt. Übernommene Tags werden als
übernommen gekennzeichnet.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings list
, um eine Liste der Tag-Bindungen abzurufen, die direkt an eine Ressource angehängt sind: Wenn Sie das --effective
-Flag hinzufügen, wird auch eine Liste der Tags zurückgegeben, die von dieser Ressource übernommen wurden.
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie die Tags auflisten, die an eine globale Ressource angehängt sind, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel:us-central1
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Wenn Sie dem tags bindings list
-Befehl das --effective
-Flag hinzufügen, wird auch eine Liste aller Tags zurückgegeben, die von dieser Ressource übernommen wurden. Die Antwort sollte in etwa so aussehen:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
Sind alle in einer Ressource ausgewerteten Tags direkt angehängt, ist das inherited
-Feld falsch und wird ausgelassen.
API
Wenn Sie eine Liste von Tag-Bindungen abrufen möchten, die direkt an eine globale Ressource wie eine Organisation angehängt sind, verwenden Sie die Methode tagBindings.list und geben Sie die übergeordnete Ressource in der Abfrage an:
GET https://cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der regionale Endpunkt für Ihre Ressource. Beispiel:us-central1
.
Bei Erfolg sollte der Antworttext eine Liste von TagBinding
-Objekten enthalten. Beispiel:
name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Tags von einer Ressource trennen
Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.
Console
So trennen Sie ein Tag von einer Organisation, einem Ordner oder einer Projektressource:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.
Klicken Sie auf
Tags.Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf
Element löschen.Klicken Sie auf Speichern.
Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.
In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die aktualisierte Liste der Tags wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings delete
, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456
.RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Wobei:
TAGBINDINGS_NAME
ist die permanente ID der TagBinding. Beispiel:tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
.LOCATION
ist der regionale Endpunkt für Ihre Ressource. Beispiel:us-central1
.
Tag-Werte mit Tag-Holds schützen
Ein Tag-Hold ist eine Ressource, die Sie erstellen können, um zu verhindern, dass ein Tag-Wert gelöscht wird. Wenn ein Tag-Wert einen Tag-Hold hat, kann er von Nutzern erst gelöscht werden, wenn der Tag-Hold zuvor gelöscht wurde.
Tag-Holds erstellen
Sie können einen Tag-Hold manuell über die gcloud CLI oder die API erstellen.
gcloud
Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds create
, um einen Tag-Hold zu erstellen:
gcloud resource-manager tags holds create TAGVALUE_NAME \ --holder=HOLDER_NAME \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts, für den dieser Tag-Hold erstellt werden soll. Beispiel:tagValues/567890123456
.HOLDER_NAME
ist der Name der Ressource, an die der Tagwert angehängt ist. Muss weniger als 200 Zeichen enthalten.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold für eine globale Ressource wie ein Google Cloud-Projekt erstellen, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold für eine regionale oder zonale Ressource erstellen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Zum Erstellen eines Tag-Holds für einen Tag-Wert müssen Sie zuerst eine JSON-Darstellung eines Tag-Holds erstellen. Dieser JSON-Verweis muss einen Verweis auf die Ressource enthalten, an die der Tag-Wert angehängt ist. Weitere Informationen zum Format eines Tag-Holds finden Sie in der Referenz zu TagHolds
.
Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine globale Ressource wie eine Organisation angehängt ist, verwenden Sie die Methode tagHolds.create
mit dem Hostnamen des globalen Endpunkts:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds
Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine regionale Ressource, z. B. eine Compute Engine-Instanz, angehängt ist, verwenden Sie die Methode tagHolds.create
mit dem regionalen Endpunkt, an dem sich Ihre Ressource befindet.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds
JSON-Text anfordern:
{ "holder":HOLDER_NAME, "origin":ORIGIN_NAME }
Wobei:
TAGVALUE_NAME
ist die permanente ID des angehängten Tag-Werts. Beispiel:tagValues/4567890123
.HOLDER_NAME
ist der Name der Ressource, an die der Tagwert angehängt ist. Muss weniger als 200 Zeichen enthalten.ORIGIN_NAME
ist ein optionaler String, der den Ursprung dieser Anfrage darstellt. Dieses Feld sollte für Menschen verständliche Informationen enthalten, um Ursprünge voneinander zu unterscheiden. Er darf höchstens 200 Zeichen lang sein.
Tag-Holds auflisten
Sie können über die gcloud CLI oder die API alle Tag-Holds unter einem bestimmten Tag-Wert auflisten.
gcloud
Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds list
, um Tag-Holds aufzulisten, die sich unter einem Tag-Wert befinden:
gcloud resource-manager tags holds list TAGVALUE_NAME \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel:tagValues/567890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie nach Tag-Holds suchen, die global erstellt wurden, sollten Sie dieses Flag weglassen. Wenn Sie nach Tag-Holds unter einer regionalen oder zonalen Ressource suchen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Mit der GET-Methode tagHolds
können Sie eine Liste der Tag-Holds unter einem Tag-Wert abrufen. Geben Sie dabei den Wert des übergeordneten Tags in der URL an:
GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel:tagValues/567890123456
.
Tag-Holds entfernen
Sie können Tag-Holds, die für einen bestimmten Tag-Wert erstellt wurden, über die gcloud CLI oder die API entfernen.
Bei einigen Ressourcen werden einem Tag-Wert, der an diese Ressource angehängt ist, Tag-Holds hinzugefügt. Wenn Sie ein Tag an eine solche Ressource anhängen, erstellt die Ressource einen Tag-Hold, der verhindert, dass Nutzer den angehängten Tag-Wert löschen.
Sie können einen Tag-Hold über die gcloud CLI oder die API löschen.
gcloud
Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds delete
, um einen Tag-Hold zu löschen:
gcloud resource-manager tags holds delete TAGHOLD_NAME \ --location=LOCATION
Wobei:
TAGHOLD_NAME
ist der Namespace-Name des Tag-Holds, der mit dem Befehllist
abgerufen werden kann. Beispiel:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold löschen, der sich unter einem Tag-Wert befindet, der an eine globale Ressource wie einen Ordner oder ein Projekt angehängt ist, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold löschen, der in einem regionalen oder zonalen Prozess erstellt wurde, müssen Sie den Speicherort angeben. Beispiel:us-central1
.
API
Verwenden Sie die Methode tagHolds.delete, um einen Tag-Wert zu löschen:
DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}
Wobei:
TAGVALUE_NAME
ist die permanente ID des Tag-Werts, mit dem der zu löschende Tag-Hold verknüpft ist. Beispiel:tagValues/567890123456
.TAGHOLD_NAME
ist der Namespace-Name des Tag-Holds, den Sie löschen möchten, der mit dem Befehllist
abgerufen werden kann. Beispiel:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.
Tags löschen
Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.
Wenn das Tag von einer anderen Ressource verwendet wird oder ein Nutzer manuell einen Tag-Hold erstellt hat, müssen Sie möglicherweise Tag-Holds entfernen und Tag-Bindungen löschen, bevor Sie die Tag-Werte löschen können. Informationen zum Entfernen von Tag-Holds finden Sie unter Tag-Holds entfernen.
Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.
Console
So löschen Sie einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Wert enthält.
Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf
Aktionen und dann auf Details ansehen.Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.
Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf
Werte löschen.Klicken Sie auf Bestätigen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tag values delete
, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags values delete TAGVALUE_NAME
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tagwerts, den Sie löschen möchten. Beispiel: tagValues/567890123456
.
API
Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
ist die permanente ID des Tag-Werts, den Sie löschen möchten, z. B. tagValues/567890123456
.
Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.
Console
So löschen Sie einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.
Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.
Klicken Sie auf
Tags löschen.Klicken Sie auf Bestätigen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys delete
, um einen Tag-Schlüssel zu löschen:
gcloud resource-manager tags keys delete TAGKEYS_NAME
TAGKEYS_NAME
ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012
.
API
Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}
TAGKEYS_NAME
ist die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012
.
Richtlinien und Tags
Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.
Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Bedingungen und Tags für Identity and Access Management
Sie können Tags und Bedingungen für die Identitäts- und Zugriffsverwaltung verwenden, um Nutzern in Ihrer Hierarchie bedingt Rollen zuzuweisen. Dieser Prozess macht Ressourcen für Nutzer unzugänglich, bis ein Tag angehängt wird, das mit einer bedingten Richtlinie verknüpft ist. Sie können beispielsweise verlangen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen, bevor sie sie verwenden können.
Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel
costCenter
und den Werten0001
,0002
usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.Erstellen Sie auf Organisationsebene eine benutzerdefinierte Rolle, mit der Nutzer den Ressourcen, für die Tags erforderlich sind, Tags hinzufügen können. Dadurch werden den angegebenen Hauptkonten in Ihrer Organisation diese Berechtigungen gewährt.
Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:
resourcemanager.projects.get
resourcemanager.hierarchyNodes.create
resourcemanager.hierarchyNodes.delete
resourcemanager.hierarchyNodes.list
Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.
Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag
costCenter
angehängt werden muss.resource.hasTagKey('123456789012/costCenter')
Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter
-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der IAM-Richtlinie gewährt werden.
Organisationsrichtlinien und Tags
Sie können Tags und die bedingte Erzwingung von Organisationsrichtlinien verwenden, um eine zentrale Kontrolle über die Ressourcen in Ihrer Hierarchie zu ermöglichen. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Unterstützte Dienste
Eine Liste der Dienste, die Tags unterstützen, finden Sie unter Dienste, die Tags unterstützen.
Bekannte Fehler beheben
Bedingungsausdruck schlägt fehl
Wenn Sie einen der add-iam-policy-binding
-Befehle über die Google Cloud CLI ausführen und die IAM-Richtlinie für diese Ressource bedingte Rollenbindungen für diese Rolle enthält, werden Sie vom gcloud CLI-Tool aufgefordert, einen der in der Richtlinie vorhandenen Bedingungsausdrücke auszuwählen. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Verwenden Sie das Flag --condition
, um in der Befehlszeile einen Bedingungsausdruck anzugeben, um dieses Problem zu umgehen.