In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Google Cloud-Ressource angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.
Hinweis
Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.
Erforderliche Berechtigungen
Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.
Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.
Tags aufrufen
Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer
) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:
Erforderliche Berechtigungen
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
für den entsprechenden Ressourcentyp. Beispiel:compute.instances.listTagBindings
zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.listEffectiveTags
für den entsprechenden Ressourcentyp.
Beispiel:
compute.instances.listEffectiveTags
zum Aufrufen aller Tags, die Compute Engine-Instanzen angehängt oder von ihnen übernommen wurden.
Tags verwalten
Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin
) oder eine andere Rolle mit den folgenden Berechtigungen:
Erforderliche Berechtigungen
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Tags für Ressourcen verwalten
Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser
) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:
Erforderliche Berechtigungen
- Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
- Ressourcenspezifische
createTagBinding
-Berechtigung, z. B.compute.instances.createTagBinding
für Compute Engine-Instanzen. - Ressourcenspezifische
deleteTagBinding
-Berechtigung, z. B.compute.instances.deleteTagBinding
für Compute Engine-Instanzen. - Erforderliche Berechtigungen für den Tag-Wert:
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Ein neues Tag erstellen und definieren
Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Ressource in Ihrer Google Cloud-Hierarchie angehängt. Um ein neues Tag zu erstellen, müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie festlegen. Dazu erstellen Sie einen Schlüssel mit dem Namen environment
.
Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen environment
erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: production
, development
und test
.
Sie können maximal 1.000 Schlüssel pro Organisation erstellen. Pro Schlüssel können Sie insgesamt 1.000 Werte erstellen.
Schließlich können Sie diese Werte an Ressourcen in Ihrer Hierarchie anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Sie können beispielsweise test
an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar environment: test
enthalten.
Tags erstellen
Zuerst müssen Sie einen Tag-Schlüssel erstellen.
Der shortName
des Tag-Schlüssels darf maximal 63 Zeichen lang sein. Zulässig für shortName
sind alphanumerische Groß- und Kleinbuchstaben (keine Internationalisierung), Bindestriche, Unterstriche und Punkte.
Der shortName
muss mit einem alphanumerischen Zeichen beginnen und enden. Nachdem der shortName
erstellt wurde, kann er nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.
Console
So erstellen Sie einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie auf
Tag erstellen.Geben Sie im Feld Tag-Name den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Tag-Beschreibung eine Beschreibung des Tag-Schlüssels ein.
Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf
Wert hinzufügen.Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.
Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys create
, um einen Tag-Schlüssel zu erstellen:
gcloud resource-manager tags keys create SHORT_NAME \ --parent=organizations/ORGANIZATION_ID
Wobei:
SHORT_NAME
ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel:environment
.ORGANIZATION_ID
ist die ID der Organisation, die die übergeordnete Ressource für diesen Tag-Schlüssel sein soll. Beispiel:123456789012
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Creating tag key environment in organization 1234567890... <blocking wait until creation completes> name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Erstellen Sie eine JSON-Darstellung des Schlüssels, um einen Tag-Schlüssel zu erstellen. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.
Verwenden Sie dann die Methode tagKeys.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d
JSON-Text anfordern:
{ "parent": ORGANIZATION_ID, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Wobei:
SHORT_NAME
ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel:environment
.ORGANIZATION_ID
ist die ID der Organisation, die die übergeordnete Ressource für diesen Tag-Schlüssel sein soll. Beispiel:organizations/123456789012
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName
, der in seiner übergeordneten Ressource einen Namespace aufweist, sowie eine global eindeutige, permanente ID namens name
.
Tag-Schlüssel aufrufen
Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.
Console
So rufen Sie ein erstelltes Tag auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Alle Tags in dieser Organisation werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys describe
, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:
gcloud resource-manager tags keys describe TAGKEY_NAME
Dabei ist TAGKEY_NAME
die permanente ID oder der Namespace-Name des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel:
tagKeys/123456789012
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}
Dabei ist TAGKEY_NAME
die permanente ID des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel:
tagKeys/123456789012
.
Tag-Werte hinzufügen
Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.
Der shortName
Ihres Tag-Werts muss die folgenden Anforderungen erfüllen:
Ein
shortName
darf maximal 63 Zeichen lang sein.Ein
shortName
muss mit einem alphanumerischen Zeichen beginnen und enden.Ein
shortName
darf nur alphanumerische Zeichen in Groß- und Kleinschreibung (keine Internationalisierung), Bindestriche (-
), Unterstriche (_
), Punkte (.
), At-Zeichen (@
), Prozentzeichen (%
), Gleichheitszeichen (=
), Pluszeichen (+
), Doppelpunkte (:
), Kommas (,
), Sternchen (*
), Rautezeichen (#
), Klammern ({12/1/}/b/b) enthalten.Ein
shortName
kann nach dem Erstellen nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.
Console
So erstellen Sie einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.
Klicken Sie auf
Wert hinzufügen.Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.
Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys
create
, um einen Tag-Wert zu erstellen. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:
gcloud resource-manager tags values create TAGVALUE_SHORTNAME \ --parent=TAGKEY_NAME
Wobei:
TAGVALUE_SHORTNAME
ist der Kurzname des neuen Tag-Werts. Beispiel:production
.TAGKEY_NAME
ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Creating tag value production in tag key 123456789012/environment... <blocking wait until creation completes> name: tagValues/7890123456 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Erstellen Sie eine JSON-Darstellung des Werts, um einen Tag-Wert zu erstellen. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.
Verwenden Sie dann die Methode tagValues.create:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d
JSON-Text anfordern:
{ "parent": TAGKEY_NAME, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Wobei:
TAGKEY_NAME
ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123
.SHORT_NAME
ist der Anzeigename für Ihren Tag-Wert. Beispiel:environment
.DESCRIPTION
ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein.
Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName
, der innerhalb der übergeordneten Ressource mit einem Namespace versehen ist, sowie eine global eindeutige permanente ID namens name
.
Tag-Werte abrufen
Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.
Console
So rufen Sie ein erstelltes Tag auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Alle Tags, die Sie in dieser Organisation erstellt haben, werden in der Liste angezeigt. Klicken Sie auf das Tag, dessen Tag-Werte Sie sehen möchten.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags values describe
, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:
gcloud resource-manager tags values describe TAGVALUE_NAME
Dabei ist TAGVALUE_NAME
der Namespace-Name des Tag-Werts. Beispiel: 123456789012/environment/production
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
Dabei ist TAGVALUE_NAME
die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123
.
Beim Referenzieren von Tags mit der Google Cloud CLI können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Beim Aufrufen der API sollte nur die permanente ID verwendet werden. Weitere Informationen zu den Arten von Kennungen, die in einem Tag verwendet werden, finden Sie unter Tag-Definitionen und -Kennungen.
Vorhandene Tags aktualisieren
Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.
Console
So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie oben auf dem Bildschirm neben Beschreibung auf
Bearbeiten.Aktualisieren Sie die Beschreibung des Tag-Schlüssels.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud resource-manager tags keys update
:
gcloud resource-manager tags keys update TAGKEY_NAME \ --description=NEW_DESCRIPTION
Wobei:
TAGKEY_NAME
ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel:tagKeys/123456789012
.NEW_DESCRIPTION
ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment description: "new description" parent: organizations/123456789012
API
Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d
JSON-Text anfordern:
{ "description": DESCRIPTION, }
Wobei:
TAGKEY_NAME
ist die permanente ID des Tag-Schlüssels, z. B.tagKeys/123456789012
.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Sie können auch die Beschreibung von Tag-Werten ändern.
Console
So aktualisieren Sie die Beschreibung eines Tag-Werts:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf
Aktionen und dann auf Details ansehen.Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie oben auf dem Bildschirm neben Beschreibung auf
Bearbeiten.Aktualisieren Sie die Beschreibung des Tag-Werts.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud resource-manager tags values update
:
gcloud resource-manager tags values update TAGVALUE_NAME \ --description="NEW_DESCRIPTION"
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel:tagValues/4567890123
.NEW_DESCRIPTION
ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012 description: "new description"
API
Verwenden Sie zum Ändern der Beschreibung eines Tag-Schlüssels den Befehl tagValues.patch:
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d
JSON-Text anfordern:
{ "description": DESCRIPTION, }
Wobei:
TAGVALUE_NAME
ist der permanente ID-Name des Tag-Werts. Beispiel:tagValues/4567890123
.DESCRIPTION
ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.
Tag-Schlüssel auflisten
Sie können alle Tag-Schlüssel, die einer bestimmten Organisation zugeordnet sind, über die Google Cloud Console, die gcloud CLI oder durch einen Aufruf an die API auflisten.
Console
So rufen Sie alle Tags auf:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Alle Tags, die Sie in dieser Organisation erstellt haben, werden in der Liste angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys list
, um eine Liste aller Tag-Schlüssel zurückzugeben, die an eine Organisationsressource angehängt sind:
gcloud resource-manager tags keys list --parent=ORGANIZATION_ID
Dabei ist ORGANIZATION_ID
die ID der Organisation, für die Sie angehängte Tag-Schlüssel suchen möchten.
- Eine Organisations-ID sollte im Format
organizations/ORGANIZATION_ID
angegeben werden, z. B.organizations/123456789012
. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME SHORT_NAME DESCRIPTION tagKeys/123456789012 environment description of tag key
API
Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys { "parent": "RESOURCE_ID" }
Dabei ist RESOURCE_ID
die ID der Ressource, für die Sie angehängte Tag-Schlüssel suchen möchten. Beispiel: organizations/123456789012
.
Tag-Werte auflisten
Sie können alle Tag-Werte, die einem bestimmten Tag-Schlüssel zugeordnet sind, über die Google Cloud Console, die gcloud CLI oder durch einen Aufruf an die API auflisten.
Console
Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf
Aktionen und dann auf Details ansehen.Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags values list
, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:
gcloud resource-manager tags values list --parent=TAGKEY_NAME
Dabei ist TAGKEY_NAME
die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie die angehängten Werte suchen möchten. Beispiel: tagKeys/123456789012
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME SHORT_NAME tagValues/123456789012 production
API
Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues { "parent": "TAGKEY_NAME" }
Dabei ist TAGKEY_NAME
der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012
.
Zugriff auf Tags verwalten
Sie können Nutzern über die Google Cloud Console bestimmten Zugriff zum Verwalten von Tags und zum Anhängen von Tag-Werten an Ressourcen gewähren. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.
Tag-Schlüssel
So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.
Klicken Sie auf
Zugriff verwalten.Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf
Hauptkonto hinzufügen.Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.
Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben E-Mail-Benachrichtigung senden.
Klicken Sie auf Speichern.
Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf
Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.Klicken Sie auf Speichern.
Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.- Klicken Sie auf Entfernen.
Tag-Werte
So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf
Aktionen und dann auf Details ansehen.Klicken Sie auf
Zugriff verwalten.Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf
Hauptkonto hinzufügen.Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.
Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben E-Mail-Benachrichtigung senden.
Klicken Sie auf Speichern.
Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf
Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf
Weitere Rolle hinzufügen.Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.Klicken Sie auf Speichern.
Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf
Rolle löschen.- Klicken Sie auf Entfernen.
Tags an Ressourcen anhängen
Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud-Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise environment: development
angehängt ist, können environment: production
oder environment: test
nicht angehängt werden.
An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.
Console
So hängen Sie ein Tag an eine Organisation, einen Ordner oder eine Projektressource an:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.
Klicken Sie auf
Tags.Wählen Sie im Bereich Tags die Option Tag hinzufügen aus.
Wählen Sie im Feld Schlüssel aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
Wählen Sie im Feld Wert den Wert für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
Wenn Sie weitere Tags anhängen möchten, klicken Sie auf
Tag hinzufügen und wählen Sie die Schlüssel und Werte für jedes Tag aus.Klicken Sie auf Speichern.
Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.
Sie erhalten eine Benachrichtigung, dass Ihre Tags aktualisiert wurden. Die neuen Tags werden auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.
gcloud
Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create
eine Tag-Bindungsressource erstellen:
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll: Beispiel:tagValues/4567890123
.RESOURCE_ID
ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/
) zu identifizieren. Wenn Sie beispielsweise ein Tag anprojects/7890123456
anhängen möchten, lautet die vollständige ID://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanenten IDs des Tag-Werts und der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der Referenz zu TagBinding.
Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:
POST https://cloudresourcemanager.googleapis.com/v3/tagBindings
Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings
JSON-Text anfordern:
{ "parent": RESOURCE_ID, "tagValue": TAGVALUE_NAME, }
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/
) zu identifizieren. Wenn Sie beispielsweise ein Tag anprojects/7890123456
anhängen möchten, lautet die vollständige ID://cloudresourcemanager.googleapis.com/projects/7890123456
.TAGVALUE_NAME
ist die permanente ID des angehängten Tag-Werts. Beispiel:tagValues/4567890123
.
Alle an eine Ressource angehängten Tags auflisten
Sie können eine Liste aller Tags abrufen, die einer Ressource angehängt sind, und zwar für Tags, die entweder übernommen oder direkt angehängt wurden.
Console
So rufen Sie alle Tags auf, die an eine Ressource angehängt oder von einer Ressource übernommen wurden:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.
Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt. Übernommene Tags werden als
übernommen gekennzeichnet.
gcloud
Mit dem Befehl gcloud resource-manager tags bindings list
können Sie eine Liste der Tag-Bindungen abrufen, die direkt mit einer Ressource verknüpft sind. Wenn Sie das Flag --effective
hinzufügen, wird auch eine Liste von Tags zurückgegeben, die von dieser Ressource übernommen wurden.
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie die Tags auflisten, die an eine globale Ressource angehängt sind, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel:us-central1
.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Wenn Sie das Flag --effective
in den Befehl tags bindings list
einfügen, wird auch eine Liste aller von dieser Ressource übernommenen Tags zurückgegeben. Die Antwort sollte in etwa so aussehen:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
Wenn alle Tags, die für eine Ressource ausgewertet werden, direkt angehängt werden, ist das Feld inherited
falsch und wird ausgelassen.
API
Wenn Sie eine Liste der Tag-Bindungen abrufen möchten, die direkt an eine globale Ressource wie eine Organisation angehängt sind, verwenden Sie die Methode tagBindungs.list. Geben Sie dazu die übergeordnete Ressource in der Abfrage an:
GET https://cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Wobei:
RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
ist der regionale Endpunkt für Ihre Ressource. Beispiel:us-central1
.
Bei Erfolg sollte der Antworttext eine Liste von TagBinding
-Objekten enthalten. Beispiel:
name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Tags von einer Ressource trennen
Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.
Console
So trennen Sie ein Tag von einer Organisation, einem Ordner oder einer Projektressource:
Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.
Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.
Klicken Sie auf
Tags.Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf
Element löschen.Klicken Sie auf Speichern.
Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.
Sie erhalten eine Benachrichtigung, dass Ihre Tags aktualisiert wurden. Die aktualisierte Tag-Liste wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings delete
, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456
.RESOURCE_ID
ist die vollständige ID der Ressource. Beispiel://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete
mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.
DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Wobei:
TAGBINDINGS_NAME
ist die permanente ID der TagBinding. Beispiel:tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
.LOCATION
ist der regionale Endpunkt für Ihre Ressource. Beispiel:us-central1
.
Tag-Werte mit Tag-Holds schützen
Ein Tag-Hold ist eine Ressource, die Sie erstellen können, um einen Tag-Wert vor dem Löschen zu schützen. Wenn ein Tag-Wert einen Tag-Hold hat, kann er nur von Nutzern gelöscht werden, wenn er zuerst gelöscht wurde.
Tag-Holds erstellen
Sie können einen Tag-Hold manuell über die gcloud CLI oder die API erstellen.
gcloud
Verwenden Sie zum Erstellen eines Tag-Holds den CLI-Befehl gcloud alpha resource-manager tags holds create
:
gcloud alpha resource-manager tags holds create TAGVALUE_NAME \ --holder=HOLDER_NAME \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace-Name des Tag-Werts, für den dieser Tag-Hold erstellt werden soll. Beispiel:tagValues/567890123456
.HOLDER_NAME
ist der Name der Ressource, an die der Tag-Wert angehängt ist. Muss weniger als 200 Zeichen enthalten.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold für eine globale Ressource, z. B. ein Google Cloud-Projekt, erstellen, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold für eine regionale oder zonale Ressource erstellen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen möchten, müssen Sie zuerst eine JSON-Darstellung eines Tag-Holds erstellen. Diese JSON-Referenz muss einen Verweis auf die Ressource enthalten, an die der Tag-Wert angehängt ist. Weitere Informationen zum Format eines Tag-Holds finden Sie in der Referenz zu TagHolds
.
Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine globale Ressource wie eine Organisation angehängt ist, verwenden Sie die Methode tagHolds.create
mit dem globalen Endpunkthostnamen:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds
Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagHolds.create
mit dem regionalen Endpunkt, an dem sich Ihre Ressource befindet.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds
JSON-Text anfordern:
{ "holder":HOLDER_NAME, "origin":ORIGIN_NAME }
Wobei:
TAGVALUE_NAME
ist die permanente ID des angehängten Tag-Werts. Beispiel:tagValues/4567890123
.HOLDER_NAME
ist der Name der Ressource, an die der Tag-Wert angehängt ist. Muss weniger als 200 Zeichen enthalten.ORIGIN_NAME
ist ein optionaler String, der den Ursprung dieser Anfrage darstellt. Dieses Feld sollte für Menschen verständliche Informationen enthalten, um Ursprünge voneinander zu unterscheiden. Muss weniger als 200 Zeichen enthalten.
Tag-Holds auflisten
Sie können alle Tag-Holds unter einem bestimmten Tag-Wert mithilfe der gcloud CLI oder der API auflisten.
gcloud
Verwenden Sie den gcloud-Befehl gcloud alpha resource-manager tags holds list
, um Tag-Holds aufzulisten, die unter einem Tag-Wert enthalten sind:
gcloud alpha resource-manager tags holds list TAGVALUE_NAME \ --location=LOCATION
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace des Namens des Tag-Werts. Beispiel:tagValues/567890123456
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie nach global erstellten Tag-Holds suchen, sollten Sie dieses Flag weglassen. Wenn Sie Tag-Holds unter einer regionalen oder zonalen Ressource suchen, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Wenn Sie eine Liste der Tag-Holds unter einem Tag-Wert abrufen möchten, verwenden Sie die GET-Methode tagHolds
und geben den Wert des übergeordneten Tags in der URL an:
GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds
Wobei:
TAGVALUE_NAME
ist die permanente ID oder der Namespace des Namens des Tag-Werts. Beispiel:tagValues/567890123456
.
Tag-Holds entfernen
Sie können Tag-Holds für einen bestimmten Tag-Wert mithilfe der gcloud CLI oder der API entfernen.
Einige Ressourcen fügen einem mit dieser Ressource verknüpften Tag-Wert Tag-Holds hinzu. Wenn Sie ein Tag an eine solche Ressource anhängen, erstellt die Ressource einen Tag-Hold, der verhindert, dass Nutzer den angehängten Tag-Wert löschen.
Sie können einen Tag-Hold über die gcloud CLI oder die API löschen.
gcloud
Verwenden Sie zum Löschen eines Tag-Holds den CLI-Befehl gcloud alpha resource-manager tags holds delete
:
gcloud alpha resource-manager tags holds delete TAGHOLD_NAME \ --location=LOCATION
Wobei:
TAGHOLD_NAME
ist der Namespace-Name des Tag-Holds, der mit dem Befehllist
ermittelt werden kann. Beispiel:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.LOCATION
ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold löschen, der sich unter einem Tag-Wert befindet, der an eine globale Ressource wie einen Ordner oder ein Projekt angehängt ist, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold löschen, der aus einem regionalen oder zonalen Prozess erstellt wurde, müssen Sie den Standort angeben. Beispiel:us-central1
.
API
Verwenden Sie zum Löschen eines Tag-Werts die Methode tagHolds.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}
Wobei:
TAGVALUE_NAME
ist die permanente ID des Tag-Werts, an den der zu löschende Tag-Hold angehängt ist. Beispiel:tagValues/567890123456
.TAGHOLD_NAME
ist der Namespace-Name des Tag-Holds, den Sie löschen möchten. Er wird mit dem Befehllist
ermittelt. Beispiel:tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.
Tags löschen
Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.
Wenn das Tag von einer anderen Ressource verwendet wird oder ein Nutzer manuell einen Tag-Hold erstellt hat, müssen Sie möglicherweise Tag-Holds entfernen und Tag-Bindungen löschen, bevor Sie die Tag-Werte löschen können. Informationen zum Entfernen von Tag-Holds finden Sie unter Tag-Holds entfernen.
Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.
Console
So löschen Sie einen Tag-Wert:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf
Aktionen und dann auf Details ansehen.Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.
Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf
Werte löschen.Klicken Sie auf Bestätigen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tag values delete
, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags values delete TAGVALUE_NAME
Dabei ist TAGVALUE_NAME
die permanente ID oder der Namespace-Name des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456
.
API
Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
Dabei ist TAGVALUE_NAME
die permanente ID des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456
.
Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.
Console
So löschen Sie einen Tag-Schlüssel:
Öffnen Sie in der Google Cloud Console die Seite Tags.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Organisationsauswahl Ihre Organisation aus.
Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.
Klicken Sie auf
Tags löschen.Klicken Sie auf Bestätigen.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags keys delete
, um einen Tag-Schlüssel zu löschen:
gcloud resource-manager tags keys delete TAGKEYS_NAME
Dabei ist TAGKEYS_NAME
die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012
.
API
Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}
Dabei ist TAGKEYS_NAME
die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012
.
Richtlinien und Tags
Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.
Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Bedingungen und Tags für Identity and Access Management
Sie können Tags und Bedingungen für die Identitäts- und Zugriffsverwaltung verwenden, um Nutzern in Ihrer Hierarchie Rollen zuzuweisen. Bei diesem Vorgang können Nutzer erst auf Ressourcen zugreifen, wenn ein Tag angehängt wurde, das einer bedingten Richtlinie zugeordnet ist. Beispielsweise können Sie festlegen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen müssen, bevor sie sie verwenden können.
Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel
costCenter
und den Werten0001
,0002
usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.Erstellen Sie eine benutzerdefinierte Rolle auf Organisationsebene, mit der Nutzer Tags den Ressourcen hinzufügen können, für die Sie Tags benötigen. Dadurch werden diese Berechtigungen den angegebenen Hauptkonten überall in Ihrer Organisation gewährt.
Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:
resourcemanager.projects.get
resourcemanager.hierarchyNodes.create
resourcemanager.hierarchyNodes.delete
resourcemanager.hierarchyNodes.list
Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.
Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag
costCenter
angehängt werden muss.resource.hasTagKey('123456789012/costCenter')
Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter
-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der IAM-Richtlinie gewährt werden.
Unterstützte Dienste
Eine Liste der Dienste, die Tags unterstützen, finden Sie unter Dienste, die Tags unterstützen.
Bekannte Fehler beheben
Bedingungsausdruck schlägt fehl
Wenn Sie einen der add-iam-policy-binding
-Befehle mit der Google Cloud CLI ausführen und die IAM-Richtlinie für diese Ressource bedingte Rollenbindungen für diese Rolle enthält, werden Sie von der gcloud CLI aufgefordert, einen der Bedingungsausdrücke auszuwählen, die in der Richtlinie vorhanden sind. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Verwenden Sie das Flag --condition
, um in der Befehlszeile einen Bedingungsausdruck anzugeben.