Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Google Cloud-Ressource angehängt werden kann. Sie können Tags verwenden, um Richtlinien je nachdem, ob eine unterstützte Ressource ein bestimmtes Tag hat, bedingt zuzulassen oder abzulehnen.

Hinweise

Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.
  • listEffectiveTags
    • für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listEffectiveTags zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.

Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

Erforderliche Berechtigungen

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen.
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen.
  • Erforderliche Berechtigungen für den Tag-Wert:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Ein neues Tag erstellen und definieren

Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Ressource in Ihrer Google Cloud-Hierarchie angehängt. Um ein neues Tag zu erstellen, müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie angeben. Dazu erstellen Sie einen Schlüssel mit dem Namen environment.

Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen environment erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: production, development und test.

Sie können maximal 1.000 Schlüssel erstellen, die in einer bestimmten Organisation oder einem bestimmten Projekt erstellt wurden. Für jeden Schlüssel können insgesamt 1.000 Werte erstellt werden.

Schließlich können Sie diese Werte an Ressourcen in Ihrer Hierarchie anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Sie können beispielsweise test an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar environment: test enthalten.

Tags erstellen

Zuerst müssen Sie einen Tag-Schlüssel erstellen.

Der shortName des Tag-Schlüssels darf eine maximale Länge von 256 Zeichen haben. Der zulässige Zeichensatz für shortName enthält UTF-8-codierte Unicode-Zeichen mit Ausnahme von einfachen Anführungszeichen ('), doppelten Anführungszeichen (") und umgekehrten Schrägstrichen (\`), and forward slashes (/).

Nachdem die shortName erstellt wurde, kann sie nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, für das Sie einen Tag-Schlüssel erstellen möchten.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie im Feld Tag-Schlüssel den Anzeigenamen des Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  5. Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung ein.

  6. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  7. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  8. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  9. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag-Schlüssel erstellen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys create, um einen Tag-Schlüssel zu erstellen:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisation oder Projektressource für diesen Tag-Schlüssel. Beispiel: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Um einen Tag-Schlüssel zu erstellen, erstellen Sie eine JSON-Darstellung des Schlüssels. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisation oder Projektressource für diesen Tag-Schlüssel. Beispiel: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen und lesbaren Anzeigenamen namespacedName, der in der übergeordneten Ressource mit einem Namespace versehen ist, sowie eine global eindeutige permanente ID namens name.

Tag-Schlüssel aufrufen

Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.

  3. Alle Tags in der ausgewählten Organisation oder dem ausgewählten Projekt werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys describe, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie Informationen anzeigen möchten. Beispiel: tagKeys/123456789012 oder project-id/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, für den Sie Informationen anzeigen lassen möchten. Beispiel: tagKeys/123456789012.

Wenn Sie die Informationen zu einem bestimmten Tag-Schlüssel mithilfe seines Namespace-Namens anzeigen lassen möchten, verwenden Sie die Methode tagKeys.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME ist der Namespace-Name des Tag-Schlüssels und hat das Format parentNamespace/tagKeyShortName.

Tag-Werte hinzufügen

Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.

Der shortName des Tag-Werts muss die folgenden Anforderungen erfüllen:

  • Ein shortName darf eine maximale Länge von 256 Zeichen haben.

  • Ein shortName muss mit einem alphanumerischen Zeichen beginnen.

  • Ein shortName kann UTF-8-codierte Unicode-Zeichen enthalten, mit Ausnahme von einfachen Anführungszeichen ('), doppelten Anführungszeichen (") und umgekehrten Schrägstrichen (\`), and forward slashes (/).

  • Ein shortName kann nach dem Erstellen nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, für das Sie einen Tag-Wert erstellen möchten.

  3. Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.

  4. Klicken Sie auf Wert hinzufügen.

  5. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  6. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values create, um einen Tag-Wert zu erstellen. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Wobei:

  • TAGVALUE_SHORTNAME ist der Kurzname des neuen Tag-Werts. Beispiel: production.

  • TAGKEY_NAME ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Wenn Sie einen Tag-Wert erstellen möchten, erstellen Sie eine JSON-Darstellung des Werts. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.

Verwenden Sie dann die Methode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

JSON-Text anfordern:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123.

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Wert. Beispiel: environment.

  • DESCRIPTION ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein. Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen und lesbaren Anzeigenamen namespacedName, der in der übergeordneten Ressource mit einem Namespace versehen ist, sowie eine global eindeutige permanente ID namens name.

Tag-Werte abrufen

Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.

  3. Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie Tag-Werte aufrufen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values describe, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tagwerts. Beispiel: tagValues/4567890123 oder 123456789012/environment/production.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123.

Verwenden Sie die Methode tagValues.getNamespaced, um die Informationen zu einem bestimmten Tag-Wert mithilfe seines Namespace-Namens anzuzeigen:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME ist der Namespace-Name des Tag-Werts und hat das Format parentNamespace/tagKeyShortName/tagValueShortName.

Wenn Sie über die Google Cloud CLI auf Tags verweisen, können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Für API-Aufrufe mit Ausnahme von getNamespaced sollte nur die permanente ID verwendet werden. Weitere Informationen zu den Arten von Kennzeichnungen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und Kennzeichnungen.

Vorhandene Tags aktualisieren

Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.

Console

So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  5. Aktualisieren Sie die Beschreibung des Tag-Schlüssels.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Wobei:

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel: tagKeys/123456789012.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, z. B. tagKeys/123456789012.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Sie können auch die Beschreibung von Tag-Werten ändern.

Console

So aktualisieren Sie die Beschreibung eines Tag-Werts:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  6. Aktualisieren Sie die Beschreibung des Tag-Werts.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel: tagValues/4567890123.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Verwenden Sie zum Ändern der Beschreibung eines Tag-Schlüssels den Befehl tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGVALUE_NAME ist der permanente ID-Name des Tag-Werts. Beispiel: tagValues/4567890123.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Tag-Schlüssel auflisten

Sie können alle Tag-Schlüssel auflisten, die mit einer bestimmten Organisations- oder Projektressource verknüpft sind. Verwenden Sie dazu die Google Cloud Console, die gcloud CLI oder einen Aufruf an die API.

Console

So rufen Sie alle Tags auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihre Tags enthält.

  3. Alle Tags, die Sie in dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt.

gcloud

Wenn Sie eine Liste aller Tag-Schlüssel abrufen möchten, die in einer Organisation oder einer Projektressource erstellt wurden, verwenden Sie den Befehl gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID ist die ID der Organisations- oder Projektressource, für die Sie angehängte Tag-Schlüssel finden möchten.

  • Eine Organisations- oder Projekt-ID muss im Format organizations/ORGANIZATION_ID oder projects/PROJECT_NAME angegeben werden. Beispiel: organizations/123456789012 und projects/test-project123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten. Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID ist die ID der Organisations- oder Projektressource, für die Sie die angehängten Tag-Schlüssel suchen möchten, z. B. organizations/123456789012 und projects/test-project123.

Tag-Werte auflisten

Sie können alle Tag-Werte, die mit einem bestimmten Tag-Schlüssel verknüpft sind, über die Google Cloud Console, die gcloud CLI oder einen Aufruf an die API auflisten.

Console

Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf Aktionen und dann auf Details ansehen.

  4. Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values list, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie angehängte Werte finden möchten. Beispiel: tagKeys/123456789012 oder 1234567/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME ist der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

Zugriff auf Tags verwalten

Sie können Nutzern über die Google Cloud Console spezifischen Zugriff gewähren, um Tags zu verwalten und Tag-Werte an Ressourcen anzuhängen. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.

Tag-Schlüssel

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt mit dem Tag-Schlüssel aus, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tag-Werte

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt mit dem Tag-Schlüssel aus, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tags an Ressourcen anhängen

Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud-Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise environment: development angehängt ist, können environment: production oder environment: test nicht angehängt werden. An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft. Im folgenden Workflow wird beschrieben, wie Sie ein Tag an eine Organisation, einen Ordner oder eine Projektressource anhängen. Weitere Informationen zum Anhängen von Tags an einen anderen Ressourcentyp finden Sie in der Dokumentation zur entsprechenden Ressource unter Dienste, die Tags unterstützen.

Console

So hängen Sie ein Tag an eine Organisation, einen Ordner oder eine Projektressource an:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags auf Bereich auswählen.

  5. Wählen Sie die Organisation oder das Projekt aus, das Ihre Tags enthält, und klicken Sie dann auf Öffnen.

  6. Wählen Sie im Bereich Tags die Option Tag hinzufügen aus.

  7. Wählen Sie im Feld Schlüssel aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  8. Wählen Sie im Feld Wert den Wert für das Tag aus der Liste aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  9. Wenn Sie weitere Tags anhängen möchten, klicken Sie auf Tag hinzufügen und wählen Sie dann den Schlüssel und den Wert für jedes einzelne Tag aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

  12. In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die neuen Tags werden auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des hinzuzufügenden Tag-Werts. Beispiel: tagValues/4567890123 oder 12345678/environment/production.

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanente ID oder den Namespace-Namen des Tag-Werts und die permanente ID der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der TagBinding-Referenz.

Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

ODER

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME ist der Namespace-Name des angehängten Tag-Werts und hat folgendes Format: parentNamespace/tagKeyShortName/tagValueShortName.

Alle an eine Ressource angehängten Tags auflisten

Sie können eine Liste aller an eine Ressource angehängten Tags abrufen, für Tags, die entweder übernommen oder direkt angehängt wurden.

Console

So rufen Sie alle Tags auf, die an eine Ressource angehängt oder von ihr übernommen wurden:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.

  3. Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt. Übernommene Tags werden als übernommen gekennzeichnet.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die direkt an eine Ressource angehängt sind: Wenn Sie das --effective-Flag hinzufügen, wird auch eine Liste der Tags zurückgegeben, die von dieser Ressource übernommen wurden.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie die Tags auflisten, die an eine globale Ressource angehängt sind, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Wenn Sie dem tags bindings list-Befehl das --effective-Flag hinzufügen, wird auch eine Liste aller Tags zurückgegeben, die von dieser Ressource übernommen wurden. Die Antwort sollte in etwa so aussehen:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Sind alle in einer Ressource ausgewerteten Tags direkt angehängt, ist das inherited-Feld falsch und wird ausgelassen.

API

Wenn Sie eine Liste von Tag-Bindungen abrufen möchten, die direkt an eine globale Ressource wie eine Organisation angehängt sind, verwenden Sie die Methode tagBindings.list und geben Sie die übergeordnete Ressource in der Abfrage an:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Bei Erfolg sollte der Antworttext eine Liste von TagBinding-Objekten enthalten. Beispiel:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Tags von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Console

So trennen Sie ein Tag von einer Organisation, einem Ordner oder einer Projektressource:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf Element löschen.

  5. Klicken Sie auf Speichern.

  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

  7. In einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die aktualisierte Liste der Tags wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wobei:

  • TAGBINDINGS_NAME ist die permanente ID der TagBinding. Beispiel: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Tag-Werte mit Tag-Holds schützen

Ein Tag-Hold ist eine Ressource, die Sie erstellen können, um zu verhindern, dass ein Tag-Wert gelöscht wird. Wenn ein Tag-Wert einen Tag-Hold hat, kann er von Nutzern erst gelöscht werden, wenn der Tag-Hold zuvor gelöscht wurde.

Tag-Holds erstellen

Sie können einen Tag-Hold manuell über die gcloud CLI oder die API erstellen.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds create, um einen Tag-Hold zu erstellen:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, für den dieser Tag-Hold erstellt werden soll. Beispiel: tagValues/567890123456.

  • HOLDER_NAME ist der Name der Ressource, an die der Tagwert angehängt ist. Muss weniger als 200 Zeichen enthalten.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold für eine globale Ressource wie ein Google Cloud-Projekt erstellen, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold für eine regionale oder zonale Ressource erstellen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Zum Erstellen eines Tag-Holds für einen Tag-Wert müssen Sie zuerst eine JSON-Darstellung eines Tag-Holds erstellen. Dieser JSON-Verweis muss einen Verweis auf die Ressource enthalten, an die der Tag-Wert angehängt ist. Weitere Informationen zum Format eines Tag-Holds finden Sie in der Referenz zu TagHolds.

Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine globale Ressource wie eine Organisation angehängt ist, verwenden Sie die Methode tagHolds.create mit dem Hostnamen des globalen Endpunkts:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Wenn Sie einen Tag-Hold für einen Tag-Wert erstellen, der an eine regionale Ressource, z. B. eine Compute Engine-Instanz, angehängt ist, verwenden Sie die Methode tagHolds.create mit dem regionalen Endpunkt, an dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

JSON-Text anfordern:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • HOLDER_NAME ist der Name der Ressource, an die der Tagwert angehängt ist. Muss weniger als 200 Zeichen enthalten.

  • ORIGIN_NAME ist ein optionaler String, der den Ursprung dieser Anfrage darstellt. Dieses Feld sollte für Menschen verständliche Informationen enthalten, um Ursprünge voneinander zu unterscheiden. Er darf höchstens 200 Zeichen lang sein.

Tag-Holds auflisten

Sie können über die gcloud CLI oder die API alle Tag-Holds unter einem bestimmten Tag-Wert auflisten.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds list, um Tag-Holds aufzulisten, die sich unter einem Tag-Wert befinden:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/567890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie nach Tag-Holds suchen, die global erstellt wurden, sollten Sie dieses Flag weglassen. Wenn Sie nach Tag-Holds unter einer regionalen oder zonalen Ressource suchen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Mit der GET-Methode tagHolds können Sie eine Liste der Tag-Holds unter einem Tag-Wert abrufen. Geben Sie dabei den Wert des übergeordneten Tags in der URL an:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/567890123456.

Tag-Holds entfernen

Sie können Tag-Holds, die für einen bestimmten Tag-Wert erstellt wurden, über die gcloud CLI oder die API entfernen.

Bei einigen Ressourcen werden einem Tag-Wert, der an diese Ressource angehängt ist, Tag-Holds hinzugefügt. Wenn Sie ein Tag an eine solche Ressource anhängen, erstellt die Ressource einen Tag-Hold, der verhindert, dass Nutzer den angehängten Tag-Wert löschen.

Sie können einen Tag-Hold über die gcloud CLI oder die API löschen.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds delete, um einen Tag-Hold zu löschen:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Wobei:

  • TAGHOLD_NAME ist der Namespace-Name des Tag-Holds, der mit dem Befehl list abgerufen werden kann. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie einen Tag-Hold löschen, der sich unter einem Tag-Wert befindet, der an eine globale Ressource wie einen Ordner oder ein Projekt angehängt ist, sollten Sie dieses Flag weglassen. Wenn Sie einen Tag-Hold löschen, der in einem regionalen oder zonalen Prozess erstellt wurde, müssen Sie den Speicherort angeben. Beispiel: us-central1.

API

Verwenden Sie die Methode tagHolds.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des Tag-Werts, mit dem der zu löschende Tag-Hold verknüpft ist. Beispiel: tagValues/567890123456.

  • TAGHOLD_NAME ist der Namespace-Name des Tag-Holds, den Sie löschen möchten, der mit dem Befehl list abgerufen werden kann. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Tags löschen

Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.

Wenn das Tag von einer anderen Ressource verwendet wird oder ein Nutzer manuell einen Tag-Hold erstellt hat, müssen Sie möglicherweise Tag-Holds entfernen und Tag-Bindungen löschen, bevor Sie die Tag-Werte löschen können. Informationen zum Entfernen von Tag-Holds finden Sie unter Tag-Holds entfernen.

Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.

Console

So löschen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.

  5. Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf Werte löschen.

  6. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tag values delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tagwerts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

API

Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tag-Werts, den Sie löschen möchten, z. B. tagValues/567890123456.

Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.

Console

So löschen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.

  4. Klicken Sie auf Tags löschen.

  5. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys delete, um einen Tag-Schlüssel zu löschen:

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

API

Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME ist die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.

Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Bedingungen und Tags für Identity and Access Management

Sie können Tags und Bedingungen für die Identitäts- und Zugriffsverwaltung verwenden, um Nutzern in Ihrer Hierarchie bedingt Rollen zuzuweisen. Dieser Prozess macht Ressourcen für Nutzer unzugänglich, bis ein Tag angehängt wird, das mit einer bedingten Richtlinie verknüpft ist. Sie können beispielsweise verlangen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen, bevor sie sie verwenden können.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel costCenter und den Werten 0001, 0002 usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.

  2. Erstellen Sie auf Organisationsebene eine benutzerdefinierte Rolle, mit der Nutzer den Ressourcen, für die Tags erforderlich sind, Tags hinzufügen können. Dadurch werden den angegebenen Hauptkonten in Ihrer Organisation diese Berechtigungen gewährt.

    Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.

  4. Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag costCenter angehängt werden muss.

    resource.hasTagKey('123456789012/costCenter')

Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der IAM-Richtlinie gewährt werden.

Organisationsrichtlinien und Tags

Sie können Tags und die bedingte Erzwingung von Organisationsrichtlinien verwenden, um eine zentrale Kontrolle über die Ressourcen in Ihrer Hierarchie zu ermöglichen. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Unterstützte Dienste

Eine Liste der Dienste, die Tags unterstützen, finden Sie unter Dienste, die Tags unterstützen.

Bekannte Fehler beheben

Bedingungsausdruck schlägt fehl

Wenn Sie einen der add-iam-policy-binding-Befehle über die Google Cloud CLI ausführen und die IAM-Richtlinie für diese Ressource bedingte Rollenbindungen für diese Rolle enthält, werden Sie vom gcloud CLI-Tool aufgefordert, einen der in der Richtlinie vorhandenen Bedingungsausdrücke auszuwählen. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Verwenden Sie das Flag --condition, um in der Befehlszeile einen Bedingungsausdruck anzugeben, um dieses Problem zu umgehen.