Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar. die an eine Google Cloud-Ressource angehängt werden können. Sie können Tags verwenden, um Richtlinien je nachdem, ob eine unterstützte Ressource ein ein bestimmtes Tag hinzufügen.

Hinweis

Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.
  • listEffectiveTags
    • für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listEffectiveTags zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.

Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

Erforderliche Berechtigungen

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen.
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen.
  • Erforderliche Berechtigungen für den Tag-Wert:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Ein neues Tag erstellen und definieren

Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Ressource in Ihrem Google Cloud-Hierarchie. Zum Erstellen eines neuen Tags müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie angeben, indem Sie einen Schlüssel mit dem Namen environment erstellen.

Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen environment erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: production, development und test.

Sie können maximal 1.000 Schlüssel erstellen, die in einer bestimmten Organisation oder und für jeden Schlüssel können insgesamt 1.000 Werte erstellt werden.

Schließlich können Sie diese Werte an Ressourcen in Ihrer Hierarchie anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Sie können beispielsweise test an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar environment: test enthalten.

Tags erstellen

Zuerst müssen Sie einen Tag-Schlüssel erstellen.

Die shortName des Tag-Schlüssels darf maximal 256 Zeichen lang sein. Der zulässige Zeichensatz für shortName umfasst UTF-8-codierte Unicode-Zeichen mit Ausnahme von einfachen Anführungszeichen ('), doppelten Anführungszeichen ("), umgekehrten Schrägstriche (\) und Schrägstriche (/).

Nachdem die shortName erstellt wurde, kann sie nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig ist.

Console

So erstellen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Umfangsauswahl Organisation oder Projekt, unter dem Sie einen Tag-Schlüssel erstellen möchten.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie im Feld Tag-Schlüssel den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  5. Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung für Ihren Tag-Schlüssel ein.

  6. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  7. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  8. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  9. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys create, um einen Tag-Schlüssel zu erstellen:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisation oder Projektressource für diesen Tag-Schlüssel. Beispiel: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Terraform

Verwenden Sie die Ressource google_tags_tag_key:

Bevor Sie Tag-Schlüssel mit Terraform erstellen, aktivieren Sie die Cloud Resource Manager API

Im folgenden Beispiel werden Tag-Schlüssel mit den Namen env und department erstellt:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department"
}

Führen Sie die Schritte in den folgenden Abschnitten aus, um Ihre Terraform-Konfiguration auf ein Google Cloud-Projekt anzuwenden.

Cloud Shell vorbereiten

  1. Rufen Sie Cloud Shell auf.

  2. Legen Sie das Google Cloud-Standardprojekt fest, auf das Sie Ihre Terraform-Konfigurationen anwenden möchten.

    Sie müssen diesen Befehl nur einmal pro Projekt und in jedem beliebigen Verzeichnis ausführen.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Umgebungsvariablen werden überschrieben, wenn Sie in der Terraform-Konfigurationsdatei explizite Werte festlegen.

Verzeichnis vorbereiten

Jede Terraform-Konfigurationsdatei muss ein eigenes Verzeichnis haben (auch als Stammmodul bezeichnet).

  1. Erstellen Sie in Cloud Shell ein Verzeichnis und eine neue Datei in diesem Verzeichnis. Der Dateiname muss die Erweiterung .tf haben, z. B. main.tf. In dieser wird die Datei als main.tf bezeichnet. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Wenn Sie einer Anleitung folgen, können Sie den Beispielcode in jedem Abschnitt oder Schritt kopieren.

    Kopieren Sie den Beispielcode in das neu erstellte main.tf.

    Kopieren Sie optional den Code aus GitHub. Dies wird empfohlen, wenn das Terraform-Snippet Teil einer End-to-End-Lösung ist.

  3. Prüfen und ändern Sie die Beispielparameter, die auf Ihre Umgebung angewendet werden sollen.
  4. Speichern Sie die Änderungen.
  5. Initialisieren Sie Terraform. Dies ist nur einmal für jedes Verzeichnis erforderlich. 
    terraform init

    Fügen Sie optional die Option -upgrade ein, um die neueste Google-Anbieterversion zu verwenden: 

    terraform init -upgrade

Änderungen anwenden

  1. Prüfen Sie die Konfiguration und prüfen Sie, ob die Ressourcen, die Terraform erstellen oder aktualisieren wird, Ihren Erwartungen entsprechen: 
    terraform plan

    Korrigieren Sie die Konfiguration nach Bedarf.

  2. Wenden Sie die Terraform-Konfiguration an. Führen Sie dazu den folgenden Befehl aus und geben Sie yes an der Eingabeaufforderung ein: 
    terraform apply

    Warten Sie, bis Terraform die Meldung „Apply complete“ anzeigt.

  3. Öffnen Sie Ihr Google Cloud-Projekt, um die Ergebnisse aufzurufen. Rufen Sie in der Google Cloud Console Ihre Ressourcen in der Benutzeroberfläche auf, um sicherzustellen, dass Terraform sie erstellt oder aktualisiert hat.

API

Erstellen Sie eine JSON-Darstellung des Schlüssels, um einen Tag-Schlüssel zu erstellen. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisation. Projektressource für diesen Tag-Schlüssel; Beispiel: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen deiner Organisations-ID findest du unter Organisationen erstellen und verwalten Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Ressource einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Schlüssel aufrufen

Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Umfangsauswahl Organisation oder Projekt, das Ihr Tag enthält.

  3. Alle Tags in der ausgewählten Organisation oder dem ausgewählten Projekt werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys describe, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012 oder project-id/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME ist die permanente ID des Tag-Schlüssels. für die Sie Informationen anzeigen möchten; Beispiel: tagKeys/123456789012.

Verwenden Sie die Methode tagKeys.getNamespaced, um die Informationen zu einem bestimmten Tag-Schlüssel mit seinem Namespace-Namen aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME ist der Namespace-Name des Tag-Schlüssels im Format parentNamespace/tagKeyShortName.

Tag-Werte hinzufügen

Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.

Der shortName des Tag-Werts muss die folgenden Anforderungen erfüllen:

  • Ein shortName darf maximal 256 Zeichen lang sein.

  • Ein shortName muss mit einem alphanumerischen Zeichen beginnen.

  • Ein shortName kann UTF-8-codierte Unicode-Zeichen enthalten, außer einfache Zeichen. Anführungszeichen ('), doppelte Anführungszeichen ("), umgekehrte Schrägstriche (\) und die Schrägstriche (/).

  • Ein shortName kann nach dem Erstellen nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl für den Umfang die Organisation oder das Projekt aus, unter dem Sie einen Tag-Wert erstellen möchten.

  3. Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.

  4. Klicken Sie auf Wert hinzufügen.

  5. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  6. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values create, um einen Tag-Wert zu erstellen. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Wobei:

  • TAGVALUE_SHORTNAME ist der Kurzname des neuen Tag-Werts. Beispiel: production.

  • TAGKEY_NAME ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

Terraform

Verwenden Sie die Ressource google_tags_tag_value:

Bevor Sie Tag-Werte mit Terraform erstellen, aktivieren Sie die Cloud Resource Manager API

Im folgenden Beispiel werden Tag-Werte mit den Namen prod und sales erstellt:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env1"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department1"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

Führen Sie die Schritte in den folgenden Abschnitten aus, um Ihre Terraform-Konfiguration auf ein Google Cloud-Projekt anzuwenden.

Cloud Shell vorbereiten

  1. Rufen Sie Cloud Shell auf.

  2. Legen Sie das Google Cloud-Standardprojekt fest, auf das Sie Ihre Terraform-Konfigurationen anwenden möchten.

    Sie müssen diesen Befehl nur einmal pro Projekt und in jedem beliebigen Verzeichnis ausführen.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Umgebungsvariablen werden überschrieben, wenn Sie in der Terraform-Konfigurationsdatei explizite Werte festlegen.

Verzeichnis vorbereiten

Jede Terraform-Konfigurationsdatei muss ein eigenes Verzeichnis haben (auch als Stammmodul bezeichnet).

  1. Erstellen Sie in Cloud Shell ein Verzeichnis und eine neue Datei in diesem Verzeichnis. Der Dateiname muss die Erweiterung .tf haben, z. B. main.tf. In dieser Anleitung wird die Datei als main.tf bezeichnet. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Wenn Sie einer Anleitung folgen, können Sie den Beispielcode in jedem Abschnitt oder Schritt kopieren.

    Kopieren Sie den Beispielcode in das neu erstellte main.tf.

    Kopieren Sie optional den Code aus GitHub. Dies wird empfohlen, wenn das Terraform-Snippet Teil einer End-to-End-Lösung ist.

  3. Prüfen und ändern Sie die Beispielparameter, die auf Ihre Umgebung angewendet werden sollen.
  4. Speichern Sie die Änderungen.
  5. Initialisieren Sie Terraform. Dies ist nur einmal für jedes Verzeichnis erforderlich. 
    terraform init

    Fügen Sie optional die Option -upgrade ein, um die neueste Google-Anbieterversion zu verwenden: 

    terraform init -upgrade

Änderungen anwenden

  1. Prüfen Sie die Konfiguration und prüfen Sie, ob die Ressourcen, die Terraform erstellen oder aktualisieren wird, Ihren Erwartungen entsprechen: 
    terraform plan

    Korrigieren Sie die Konfiguration nach Bedarf.

  2. Wenden Sie die Terraform-Konfiguration an. Führen Sie dazu den folgenden Befehl aus und geben Sie yes an der Eingabeaufforderung ein: 
    terraform apply

    Warten Sie, bis Terraform die Meldung „Apply complete“ anzeigt.

  3. Öffnen Sie Ihr Google Cloud-Projekt, um die Ergebnisse aufzurufen. Rufen Sie in der Google Cloud Console Ihre Ressourcen in der Benutzeroberfläche auf, um sicherzustellen, dass Terraform sie erstellt oder aktualisiert hat.

API

Wenn Sie einen Tag-Wert erstellen möchten, erstellen Sie eine JSON-Darstellung des Werts. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.

Verwenden Sie dann die Methode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

JSON-Text anfordern:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123.

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Wert. Beispiel: environment.

  • DESCRIPTION ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein. Nachdem Sie den Wert erstellt haben, können Sie die eindeutige visuell lesbare Anzeige namens namespacedName, der innerhalb des übergeordneten Namespace einen Namespace hat Ressource und einer global eindeutigen permanenten ID namens name.

Tag-Werte abrufen

Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl für den Geltungsbereich die Organisation oder das Projekt aus, das Ihr Tag enthält.

  3. Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden angezeigt in auf der Liste. Klicken Sie auf das Tag, für das Sie die Tag-Werte sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values describe, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/4567890123 oder 123456789012/environment/production.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tags. value; Beispiel: tagValues/4567890123.

Zum Anzeigen der Informationen zu einem bestimmten Tag-Wert unter Verwendung des Namespace Namen, verwenden Sie die tagValues.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME ist der Namespace Name des Tag-Werts und hat das Format parentNamespace/tagKeyShortName/tagValueShortName.

Wenn Sie mit der Google Cloud CLI auf Tags verweisen, können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Aufrufe an die API getNamespaced sollte nur die permanente ID verwenden. Weitere Informationen zu den Arten von Kennzeichnungen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und Kennzeichnungen.

Vorhandene Tags aktualisieren

Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.

Console

So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl für den Umfang die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  5. Aktualisieren Sie die Beschreibung des Tag-Schlüssels.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Wobei:

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel: tagKeys/123456789012.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, z. B. tagKeys/123456789012.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Sie können auch die Beschreibung von Tag-Werten ändern.

Console

So aktualisieren Sie die Beschreibung eines Tag-Werts:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl des Gültigkeitsbereichs die Organisation oder das Projekt aus, das Ihren Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  6. Aktualisieren Sie die Beschreibung des Tag-Werts.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel: tagValues/4567890123.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Verwenden Sie zum Ändern der Beschreibung eines Tag-Schlüssels den Befehl tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGVALUE_NAME ist der permanente ID-Name des Tag-Werts. Beispiel: tagValues/4567890123.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Tag-Schlüssel auflisten

Sie können alle Tag-Schlüssel, die einer bestimmten Organisation oder Projektressource zugeordnet sind, mit der Google Cloud Console, der gcloud CLI oder mit einem Aufruf der API auflisten.

Console

So rufen Sie alle Tags auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Umfangsauswahl die Organisation aus. das Ihre Tags enthält.

  3. Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt.

gcloud

Um eine Liste aller Tag-Schlüssel zurückzugeben, die in einer Organisations- oder Projektressource erstellt wurden, verwenden Sie den Befehl gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID ist die ID der Organisation oder Projektressource, für die Sie angehängte Tag-Schlüssel finden möchten.

  • Eine Organisations- oder Projekt-ID muss im folgenden Format angegeben werden: organizations/ORGANIZATION_ID oder projects/PROJECT_NAME; Beispiel: organizations/123456789012 und projects/test-project123. So erhalten Sie Ihre Organisations-ID: Siehe Organisationen erstellen und verwalten Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten. Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID ist die ID der Organisation oder Projektressource, für die Sie angehängte Tag-Schlüssel suchen möchten. Beispiel: organizations/123456789012 und projects/test-project123.

Tag-Werte auflisten

Sie können alle mit einem bestimmten Tag-Schlüssel verknüpften Tag-Werte mithilfe der Methode der Google Cloud Console, der gcloud CLI oder einem Aufruf an die API.

Console

Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl für den Umfang die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf Aktionen und dann auf Details ansehen.

  4. Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values list, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie die angehängten Werte suchen möchten. Beispiel: tagKeys/123456789012 oder 1234567/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME ist der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

Zugriff auf Tags verwalten

Sie können Nutzern Zugriff gewähren, um Tags zu verwalten und Tag-Werte an folgende Elemente anzuhängen: mit der Google Cloud Console. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.

Tag-Schlüssel

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl des Gültigkeitsbereichs die Organisation oder das Projekt aus, das den Tag-Schlüssel enthält, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tag-Werte

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl des Gültigkeitsbereichs die Organisation oder das Projekt aus, das den Tag-Schlüssel enthält, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tags an Ressourcen anhängen

Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud-Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise environment: development angehängt ist, können environment: production oder environment: test nicht angehängt werden. An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft. Im folgenden Workflow wird beschrieben, wie Sie Tag an eine Organisation, einen Ordner oder eine Projektressource anhängen. Weitere Informationen über wie Tags an einen anderen Ressourcentyp angehängt werden, finden Sie in der Dokumentation Ressource in Dienste, die Tags unterstützen.

Console

Gehen Sie wie folgt vor, um ein Tag an eine Organisation, einen Ordner oder eine Projektressource anzuhängen: Folgendes:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags auf Bereich auswählen.

  5. Wählen Sie die Organisation oder das Projekt aus, das Ihre Tags enthält, und klicken Sie auf Öffnen.

  6. Wählen Sie im Bereich Tags die Option Tag hinzufügen aus.

  7. Wählen Sie im Feld Schlüssel den Schlüssel für das Tag aus, über das Sie den Schlüssel anhängen möchten. auf der Liste. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  8. Wählen Sie im Feld Wert den Wert für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  9. Wenn Sie weitere Tags anhängen möchten, klicken Sie auf Tag hinzufügen und wählen Sie für jedes den Schlüssel und den Wert aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

  12. In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die neuen Tags erscheinen unter auf der Seite Ressourcen verwalten in der Spalte Tags

gcloud

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder Namespace-Name des anzuhängenden Tag-Werts Beispiel: tagValues/4567890123 oder 12345678/environment/production

  • RESOURCE_ID ist die vollständige ID der Ressource. einschließlich des API-Domainnamens zur Identifizierung des Ressourcentyps (//cloudresourcemanager.googleapis.com/). Für Um beispielsweise ein Tag an projects/7890123456 anzuhängen, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanente ID oder den Namespace-Namen des Tag-Werts und die permanente ID der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der Referenz zu TagBinding.

Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

ODER

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME ist der Namespace-Name des angehängten Tag-Werts im parentNamespace/tagKeyShortName/tagValueShortName-Format.

Alle an eine Ressource angehängten Tags auflisten

Sie können eine Liste aller mit einer Ressource verknüpften Tags abrufen, die entweder übernommen oder direkt angehängt sind.

Console

So können Sie alle Tags aufrufen, die an eine Ressource angehängt sind oder von dieser übernommen wurden:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.

  3. Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt. Übernommene Tags sind mit Übernommen gekennzeichnet.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die direkt an eine Ressource angehängt sind: Wenn Sie das --effective-Flag hinzufügen, wird auch eine Liste der Tags zurückgegeben, die von dieser Ressource übernommen wurden.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie die Tags auflisten, die an eine globale Ressource angehängt sind, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Wenn Sie dem tags bindings list-Befehl das --effective-Flag hinzufügen, wird auch eine Liste aller Tags zurückgegeben, die von dieser Ressource übernommen wurden. Sie sollten erhalten Sie eine Antwort ähnlich der folgenden:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Sind alle in einer Ressource ausgewerteten Tags direkt angehängt, ist das inherited-Feld falsch und wird ausgelassen.

API

Um eine Liste von Tag-Bindungen abzurufen, die direkt an eine globale Ressource angehängt sind, z. B. einem Unternehmen, nutzen Sie tagBindings.list und geben die übergeordnete Ressource in der Abfrage an:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Bei Erfolg sollte der Antworttext eine Liste von TagBinding-Objekten enthalten. Beispiel:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Tags von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Console

So trennen Sie ein Tag von einer Organisations-, Ordner- oder Projektressource:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf Element löschen.

  5. Klicken Sie auf Speichern.

  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

  7. In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Aktualisierte Tag-Liste wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wobei:

  • TAGBINDINGS_NAME ist die permanente ID der TagBinding. Beispiel: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Tag-Werte mit Tag-Holds schützen

Mit einer Tag-Sperre können Sie einen Tag-Wert vor dem Löschen schützen. Wenn für einen Tag-Wert ein Tag-Hold festgelegt ist, können Nutzer ihn nur löschen, wenn das Der Tag-Hold wird zuerst gelöscht.

Tag-Vorabankündigungen erstellen

Sie können einen Tag-Hold manuell mit der gcloud CLI oder API erstellen.

gcloud

Verwenden Sie zum Erstellen eines Tag-Holds die Methode gcloud resource-manager tags holds create gcloud CLI-Befehlszeile:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace Name des Tag-Werts, für den dieser Tag-Hold erstellt werden soll für Beispiel: tagValues/567890123456.

  • HOLDER_NAME ist der Name der Ressource, an die der Tag-Wert angehängt ist. Die Beschreibung darf höchstens 200 Zeichen lang sein.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold für eine globale Ressource wie eine Google Cloud-Projekt handelt, sollten Sie dieses Flag weglassen. Wenn Sie Beim Erstellen eines Tag-Holds für eine regionale oder zonale Ressource müssen Sie den Standort Beispiel: us-central1.

API

Um einen Tag-Hold für einen Tag-Wert zu erstellen, müssen Sie zuerst eine JSON-Datei erstellen eines Tag-Holds. Diese JSON-Referenz muss eine Referenz enthalten an die Ressource, an die der Tag-Wert angehängt ist. Weitere Informationen Informationen zum Format eines Tag-Holds finden Sie in der Referenz zu TagHolds

Wenn Sie eine Tag-Sperrung für einen Tag-Wert erstellen, der an eine globale Ressource wie eine Organisation angehängt ist, verwenden Sie die Methode tagHolds.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der mit einem regionalen wie z. B. eine Compute Engine-Instanz, verwenden Sie Methode tagHolds.create mit dem regionalen Endpunkt, an dem sich die Ressource befindet befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

JSON-Text anfordern:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • HOLDER_NAME ist der Name der Ressource, wobei wird der Tag-Wert angehängt. Die Beschreibung darf höchstens 200 Zeichen lang sein.

  • ORIGIN_NAME ist ein optionaler String, der den Ursprung dieser Anfrage darstellt. Dieses Feld sollte für Menschen verständliche zur Unterscheidung von Ursprüngen. Muss kleiner als 200 sein Zeichen.

Tag-Holds auflisten

Sie können alle Tag-Holds unter einem bestimmten Tag-Wert mithilfe der Methode gcloud CLI oder die API verwenden können.

gcloud

Um Tag-Holds unter einem Tag-Wert aufzulisten, verwenden Sie die Methode gcloud resource-manager tags holds list gcloud CLI-Befehlszeile:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace Name des Tag-Werts; Beispiel: tagValues/567890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie nach global erstellten Tag-Holds suchen, sollten Sie dieses Flag weglassen. Wenn Sie nach Tag-Holds für eine regionale oder zonale Ressource suchen, müssen Sie den Standort angeben, z. B. us-central1.

API

Um eine Liste der Tag-Holds unter einem Tag-Wert abzurufen, verwenden Sie die Methode tagHolds GET-Methode, wobei der Wert des übergeordneten Tags in der URL angegeben wird:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/567890123456.

Tag-Holds entfernen

Sie können Tag-Holds, die für einen bestimmten Tag-Wert erstellt wurden, mithilfe der Methode gcloud CLI oder die API verwenden können.

Einige Ressourcen fügen einem Tag-Wert, der mit dieser Ressource verbunden ist, Tag-Holds hinzu. Wenn Sie ein Tag an eine solche Ressource anhängen, erstellt die Ressource einen Tag-Hold, der verhindert, dass Nutzer den angehängten Tag-Wert löschen.

Sie können eine Tag-Sperre mit der gcloud CLI oder der API löschen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags holds delete der gcloud CLI, um eine Tag-Sperrung zu löschen:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Wobei:

  • TAGHOLD_NAME ist der Name des Namespaces der Tag-Aussetzung. Sie können ihn mit dem Befehl list ermitteln. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold löschen, der unter einem Tag-Wert steht, der mit einem globalen Ressource wie einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie löschen einen Tag-Hold, der aus einem regionalen oder zonalen Prozess erstellt wurde, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Verwenden Sie zum Löschen eines Tag-Werts die Methode tagHolds.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des Tag-Werts, an den die zu löschende Tag-Bindung angehängt ist. Beispiel: tagValues/567890123456.

  • TAGHOLD_NAME ist der Name des Tags mit dem Namespace, den Sie löschen möchten. Sie können ihn mit dem Befehl list ermitteln. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Tags löschen

Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.

Wenn das Tag von einer anderen Ressource verwendet wird oder ein Nutzer manuell ein Tag erstellt hat müssen Sie eventuell Tag-Holds entfernen und Tag-Bindungen löschen, können Sie die Tag-Werte löschen. Informationen zum Entfernen von Tag-Vorabezügen finden Sie unter Tag-Vorabezügen entfernen.

Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.

Console

So löschen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Umfangsauswahl die Organisation aus. oder Projekt, das Ihren Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.

  5. Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf Werte löschen.

  6. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tag values delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder Namespace-Name des zu löschenden Tag-Werts; Beispiel: tagValues/567890123456.

API

Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.

Console

So löschen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Auswahl für den Umfang die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.

  4. Klicken Sie auf Tags löschen.

  5. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys delete, um einen Tag-Schlüssel zu löschen:

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

API

Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME ist die permanente ID des Tags. Schlüssel, den Sie löschen möchten; Beispiel: tagKeys/123456789012.

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.

Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Bedingungen und Tags für Identity and Access Management

Sie können Tags und Bedingungen für Identity and Access Management verwenden. , um Nutzern in Ihrer Hierarchie bedingt Rollen zuzuweisen. Dadurch sind Ressourcen für Nutzer erst dann zugänglich, wenn ein Tag angehängt wurde, das mit einer bedingten Richtlinie verknüpft ist. Beispielsweise können Sie festlegen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen müssen, bevor sie sie verwenden können.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel costCenter und den Werten 0001, 0002 usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.

  2. Organisationsebene erstellen benutzerdefinierte Rolle, die ermöglicht es Nutzern, den Ressourcen, für die Sie Tags benötigen, Tags hinzuzufügen. Dadurch erhalten Sie diese Berechtigungen für die angegebenen Hauptkonten an beliebiger Stelle in Ihrer Organisation gewähren.

    Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.

  4. Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag costCenter angehängt werden muss.

    resource.hasTagKey('123456789012/costCenter')

Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der IAM-Richtlinie gewährt werden.

Organisationsrichtlinien und Tags

Mit Tags und der bedingten Erzwingung von Organisationsrichtlinien können Sie eine zentralisierte Steuerung der Ressourcen in Ihrer Hierarchie. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Unterstützte Dienste

Eine Liste der Dienste, die Tags unterstützen, finden Sie unter Dienste, die Tags unterstützen.

Bekannte Fehler beheben

Bedingungsausdruck schlägt fehl

Wenn Sie einen der add-iam-policy-binding-Befehle mit der Google Cloud CLI ausführen, und die IAM-Richtlinie für diese Ressource eine bedingte Rolle enthält Bindungen für diese Rolle haben, werden Sie vom gcloud CLI-Tool aufgefordert, eine der in der Richtlinie vorhandenen Bedingungsausdrücke. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Zur Umgehung dieses Problems geben Sie mit dem Flag --condition einen Bedingungsausdruck in der Befehlszeile an.