Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Organisation, einen Ordner oder ein Projekt angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen, ob eine Ressource ein bestimmtes Tag hat.

Hinweis

Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:

    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen
  • Erforderliche Berechtigungen für den Tag-Wert:

    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:

    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Ein neues Tag erstellen und definieren

Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Organisation, einen Ordner oder eine Projektressource in der Google Cloud-Hierarchie angehängt. Zum Erstellen eines neuen Tags müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie angeben, indem Sie einen Schlüssel mit dem Namen env erstellen.

Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen env erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: prod, dev und test.

Unter einer bestimmten Organisation können maximal 300 Schlüssel erstellt werden, wobei für jeden Schlüssel insgesamt 300 Werte erstellt werden können.

Schließlich können Sie diese Werte an Ressourcen in Ihrer Hierarchie anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Sie können beispielsweise test an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar env: test enthalten.

Tags erstellen

Zuerst müssen Sie einen Tag-Schlüssel erstellen.

Der shortName des Tag-Schlüssels darf maximal 63 Zeichen lang sein. Zulässig für shortName sind alphanumerische Groß- und Kleinbuchstaben (keine Internationalisierung), Bindestriche, Unterstriche und Punkte. Der shortName muss mit einem alphanumerischen Zeichen beginnen und enden. Nachdem der shortName erstellt wurde, kann er nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen neuen Tag-Schlüssel:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie auf Tag erstellen.

  5. Geben Sie im Feld Tag-Name den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  6. Geben Sie im Feld Tag-Beschreibung eine Beschreibung des Tag-Schlüssels ein.

  7. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  8. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  9. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  10. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

gcloud

Verwenden Sie zum Erstellen eines neuen Tag-Schlüssels den Befehl gcloud alpha resource-manager tags keys create:

gcloud alpha resource-manager tags keys create SHORT_NAME \
    --parent=organizations/ORGANIZATION_ID

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: env.

  • ORGANIZATION_ID ist die ID der Organisation, die die übergeordnete Ressource für diesen Tag-Schlüssel sein soll. Beispiel: 12345678901. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag key env in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Erstellen Sie eine JSON-Darstellung des Schlüssels, um einen neuen Tag-Schlüssel zu erstellen. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

JSON-Text anfordern:

{
    "parent": ORGANIZATION_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: env.

  • ORGANIZATION_ID ist die ID der Organisation, die die übergeordnete Ressource für diesen Tag-Schlüssel sein soll. Beispiel: organizations/12345678901. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Organisation einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Schlüssel aufrufen

Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Alle Tags in dieser Organisation werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys describe, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

gcloud alpha resource-manager tags keys describe TAGKEY_NAME

Dabei ist TAGKEY_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

Dabei ist TAGKEY_NAME die permanente ID des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012.

Tag-Werte hinzufügen

Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.

Der shortName des Tag-Werts darf maximal 63 Zeichen enthalten. Zulässig für shortName sind alphanumerische Groß- und Kleinbuchstaben (keine Internationalisierung), Bindestriche, Unterstriche und Punkte. Der shortName muss mit einem alphanumerischen Zeichen beginnen und enden. Nachdem der shortName erstellt wurde, kann er nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen neuen Tag-Wert:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.

  5. Klicken Sie auf Wert hinzufügen.

  6. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  7. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  8. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Erstellen eines neuen Tag-Werts den Befehl gcloud alpha resource-manager tags keys create. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:

gcloud alpha resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Wobei:

  • TAGVALUE_SHORTNAME ist der Kurzname des neuen Tag-Werts. Beispiel: prod.

  • TAGKEY_NAME ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag value prod in tag key 12345678901/env...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012

API

Wenn Sie einen neuen Tag-Wert erstellen möchten, erstellen Sie eine JSON-Darstellung des Werts. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.

Verwenden Sie dann die Methode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

JSON-Text anfordern:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123.

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Wert. Beispiel: env.

  • DESCRIPTION ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Organisation einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Werte abrufen

Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Alle Tags, die Sie in dieser Organisation erstellt haben, werden in der Liste angezeigt. Klicken Sie auf das Tag, dessen Tag-Werte Sie sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags values describe, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

gcloud alpha resource-manager tags values describe TAGVALUE_NAME

Dabei ist TAGVALUE_NAME der Namespace-Name des Tag-Werts. Beispiel: 1234567890/env/prod.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: prod
namespaced_name: 1234567890/env/prod
parent: tagKeys/123456789012

API

Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

Dabei ist TAGVALUE_NAME die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123.

Wenn Sie mit dem gcloud-Befehlszeilentool auf Tags verweisen, können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Beim Aufrufen der API sollte nur die permanente ID verwendet werden. Weitere Informationen zu den Arten von Kennzeichnungen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und Kennzeichnungen.

Vorhandene Tags aktualisieren

Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.

Console

So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  6. Aktualisieren Sie die Beschreibung des Tag-Schlüssels.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud alpha resource-manager tags keys update:

gcloud alpha resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Wobei:

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel: tagKeys/123456789012.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
description: "new description"
parent: organizations/12345678901

API

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, z. B. tagKeys/123456789012.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Sie können auch die Beschreibung von Tag-Werten ändern.

Console

So aktualisieren Sie die Beschreibung eines Tag-Werts:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  6. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  7. Aktualisieren Sie die Beschreibung des Tag-Werts.

  8. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud alpha resource-manager tags values update:

gcloud alpha resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel: tagValues/4567890123.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012
description: "new description"

API

Verwenden Sie zum Ändern der Beschreibung eines Tag-Schlüssels den Befehl tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGVALUE_NAME ist der permanente ID-Name des Tag-Werts. Beispiel: tagValues/4567890123.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Tag-Schlüssel auflisten

Sie können alle Tag-Schlüssel, die einer bestimmten Organisation zugeordnet sind, mit der Cloud Console, dem gcloud-Tool oder mit einem Aufruf der API auflisten.

Console

So rufen Sie alle Tags auf:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Alle Tags, die Sie in dieser Organisation erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys list, um eine Liste aller Tag-Schlüssel zurückzugeben, die an eine Organisationsressource angehängt sind:

gcloud alpha resource-manager tags keys list --parent=ORGANIZATION_ID

Dabei ist ORGANIZATION_ID die ID der Organisation, für die Sie angehängte Tag-Schlüssel suchen möchten.

  • Eine Organisations-ID sollte im Format organizations/ORGANIZATION_ID angegeben werden, z. B. organizations/12345678901. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012          env         description of tag key

API

Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

Dabei ist RESOURCE_ID die ID der Ressource, für die Sie angehängte Tag-Schlüssel suchen möchten. Beispiel: organizations/12345678901.

Tag-Werte auflisten

Sie können alle Tag-Werte, die einem bestimmten Tag-Schlüssel zugeordnet sind, über die Cloud Console, das gcloud-Tool oder einen Aufruf der API auflisten.

Console

Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf Aktionen und dann auf Details ansehen.

  5. Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags values list, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:

gcloud alpha resource-manager tags values list --parent=TAGKEY_NAME

Dabei ist TAGKEY_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie die angehängten Werte suchen möchten. Beispiel: tagKeys/123456789012.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME
tagValues/123456789012   prod

API

Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

Dabei ist TAGKEY_NAME der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

Zugriff auf Tags verwalten

Sie können Nutzern mithilfe der Cloud Console bestimmten Zugriff zum Verwalten von Tags und Anhängen von Tag-Werten an Ressourcen gewähren. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.

Tag-Schlüssel

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.

  5. Klicken Sie auf Zugriff verwalten.

  6. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben E-Mail-Benachrichtigung senden.

    4. Klicken Sie auf Speichern.

  7. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  8. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tag-Werte

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie auf Zugriff verwalten.

  6. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben E-Mail-Benachrichtigung senden.

    4. Klicken Sie auf Speichern.

  7. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  8. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tags an Ressourcen anhängen

Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud-Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise env: dev angehängt ist, können env: prod oder env: test nicht angehängt werden. An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud-Ressource verknüpft.

Console

So hängen Sie ein Tag an eine Ressource an:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.

  3. Klicken Sie im angezeigten Infofeld auf den Tab Tags.

  4. Klicken Sie auf das Optionsfeld Tag-Bindungen hinzufügen.

  5. Geben Sie im Feld Tag-Wert den Namespace-Namen des Tag-Werts ein, den Sie anhängen möchten. Beispiel: 4567890123/Environment/Test.

  6. Wenn Sie weitere Tag-Werte anhängen möchten, klicken Sie auf Wert hinzufügen und geben Sie für jeden Tag-Wert den Namespace-Namen ein.

  7. Klicken Sie auf Bindungen speichern.

  8. Das neue Tag wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud alpha resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

gcloud alpha resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll: Beispiel: tagValues/4567890123.

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanenten IDs des Tag-Werts und der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der Referenz zu TagBinding.

Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

Alle an eine Ressource angehängten Tags auflisten

Sie können eine Liste aller mit einer Ressource verknüpften Tags abrufen. Die folgenden Beispiele enthalten eine Liste von Tag-Bindungen, die direkt an die Ressource angehängt sind, geben jedoch keine Tags zurück, die von übergeordneten Ressourcen übernommen wurden.

Console

So können Sie alle Tags aufrufen, die an eine Ressource angehängt sind:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.

  3. Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie die mit einer globalen Ressource wie einem Ordner oder einem Projekt verknüpften Tags auflisten, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

API

Um eine Liste der Tag-Bindungen zu erhalten, die mit einer globalen Ressource wie einer Organisation verbunden sind, verwenden Sie die Methode tagBindings.list, wobei Sie die übergeordnete Ressource in der Abfrage angeben:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Bei Erfolg sollte der Antworttext eine Liste von TagBinding-Objekten enthalten. Beispiel:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Tags von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Console

So trennen Sie ein Tag von einer Ressource:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.

  3. Klicken Sie im angezeigten Infofeld auf den Tab Tags.

  4. Klicken Sie auf das Optionsfeld Tag-Bindungen entfernen.

  5. Geben Sie im Feld Tag-Wert den Namespace-Namen des Tag-Werts ein, den Sie entfernen möchten. Beispiel: 4567890123/Environment/Test.

  6. Klicken Sie auf Bindungen speichern.

  7. Sie finden die aktualisierte Liste der angehängten Tags in der Spalte Tags auf der Seite Ressourcen verwalten.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

gcloud alpha resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel: us-central1

API

Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wobei:

  • TAGBINDINGS_NAME ist die permanente ID der TagBinding. Beispiel: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Tags löschen

Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.

Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.

Console

So löschen Sie einen Tag-Wert:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.

  6. Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf Werte löschen.

  7. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tag values delete, um eine Tag-Bindung zu löschen:

gcloud alpha resource-manager tags values delete TAGVALUE_NAME

Dabei ist TAGVALUE_NAME die permanente ID oder der Namespace-Name des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

API

Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

Dabei ist TAGVALUE_NAME die permanente ID des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.

Console

So löschen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.

  5. Klicken Sie auf Tags löschen.

  6. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys delete, um einen Tag-Schlüssel zu löschen:

gcloud alpha resource-manager tags keys delete TAGKEYS_NAME

Dabei ist TAGKEYS_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

API

Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

Dabei ist TAGKEYS_NAME die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.

Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Sie können auch Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen für Organisationsrichtlinien angewendet werden. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Tags für Ressourcen anfordern

Mit Tags und Bedingungen für die Identitäts- und Zugriffsverwaltung können Sie das Tagging für Ressourcen in Ihrer Hierarchie obligatorisch machen. Dadurch können die Ressourcen erst wieder verwendet werden, wenn Sie ein bestimmtes Tag anhängen. Beispielsweise können Sie festlegen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen müssen, bevor sie sie verwenden können.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel costCenter und den Werten 0001, 0002 usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.

  2. Erstellen Sie eine benutzerdefinierte Rolle auf Organisationsebene, mit der Nutzer den Ressourcen, für die Sie Tags benötigen, Tags hinzufügen können. Dadurch werden diese Berechtigungen den angegebenen Hauptkonten an einer beliebigen Stelle in Ihrer Organisation gewährt.

    Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list
  3. Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.

  4. Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag costCenter angehängt werden muss.

    resource.hasTagKey('12345678901/costCenter')
    

Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der IAM-Richtlinie gewährt werden.

Bekannte Fehler beheben

Bedingungsausdruck schlägt fehl

Wenn Sie einen der add-iam-policy-binding-Befehle mit dem gcloud-Befehlszeilentool ausführen und die IAM-Richtlinie für diese Ressource bedingte Rollenbindungen für diese Rolle enthält, fordert Sie das gcloud-Tool auf, einen der Bedingungsausdrücke auszuwählen, die in der Richtlinie vorhanden sind. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Zur Umgehung dieses Problems geben Sie mit dem Flag --condition einen Bedingungsausdruck in der Befehlszeile an.