Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das einer Organisation, einem Ordner oder einem Projekt zugeordnet werden kann. Sie können Tags verwenden, um Richtlinien basierend auf einer bestimmten Tag-Regel zuzulassen oder abzulehnen.

Hinweis

Weitere Informationen zu Tags und deren Funktionsweise finden Sie in der Tag-Übersicht.

Erforderliche Berechtigungen

Die erforderlichen Berechtigungen hängen von der gewünschten Aktion ab.

Bitten Sie Ihren Administrator, die passende Rolle auf der entsprechenden Ressourcenhierarchie zuzuweisen, um diese Berechtigungen zu erhalten.

Tags ansehen

Zum Anzeigen von Tag-Definitionen benötigen Sie die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.resourceTagBindings.list

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die an Ressourcen angehängt sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für das tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen möchten. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:

    • resourcemanager.resourceTagBindings.create
    • resourcemanager.resourceTagBindings.delete
    • resourcemanager.resourceTagBindings.list
  • Für den Tag-Wert erforderliche Berechtigungen:

    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
    • resourcemanager.tagValueBindings.list
  • Berechtigungen zum Anzeigen von Projekten und Tag-Definitionen:

    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Neues Tag erstellen und definieren

Tags bestehen aus einem Schlüssel/Wert-Paar und sind an eine Organisation, einen Ordner oder eine Projektressource in Ihrer Google Cloud-Hierarchie angehängt. Um ein neues Tag zu erstellen, müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in der Ressourcenhierarchie festlegen. Dazu erstellen Sie einen Schlüssel mit dem Namen env.

Anschließend können Sie die verschiedenen Werte des Schlüssels erstellen. Wenn Sie einen Tag-Schlüssel mit dem Namen env erstellt haben, möchten Sie möglicherweise drei mögliche Umgebungen angeben und für jede einen Wert erstellen: prod, dev, und test.

Sie können maximal 300 Schlüssel erstellen, die in einer bestimmten Organisation erstellt wurden. Pro Schlüssel können insgesamt 300 Werte erstellt werden.

Schließlich können Sie diese Werte an Ressourcen in der Hierarchie anhängen, die sie mit der Schlüssel/Wert-Paare verknüpfen. Sie könnten beispielsweise test in mehreren Testumgebungsordnern in Ihrer Organisation anhängen und jeder würde das Schlüssel/Wert-Paar env: test führen.

Tags erstellen

Als Erstes müssen Sie einen Tag-Schlüssel erstellen.

Der Parameter shortName des Tag-Schlüssels darf maximal 63 Zeichen lang sein. Der zulässige Zeichensatz für shortName enthält alphanumerische Zeichen in Groß- und Kleinschreibung (keine Internationalisierung), Bindestriche, Unterstriche und Punkte. shortName muss mit einem alphanumerischen Zeichen beginnen und enden. Sobald die shortName erstellt wurde, kann sie nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen neuen Tag-Schlüssel:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie auf Tag erstellen.

  5. Geben Sie im Feld Tag-Name den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens des Tags.

  6. Geben Sie im Feld Tag-Beschreibung eine Beschreibung des Tag-Schlüssels ein.

  7. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  8. Geben Sie im Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens des Tags.

  9. Geben Sie im Feld Tag-Wert-Beschreibung eine Beschreibung des Tag-Werts ein.

  10. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys create, um einen neuen Tag-Schlüssel zu erstellen:

gcloud alpha resource-manager tags keys create SHORT_NAME \
    --parent=organizations/ORGANIZATION_ID

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: env

  • ORGANIZATION_ID ist die ID der Organisation, die als übergeordnete Ressource für diesen Tag-Schlüssel verwendet werden soll. Beispiel: 12345678901. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag key env in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Erstellen Sie einen neuen Tag-Schlüssel, um einen neuen Tag-Schlüssel zu erstellen. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

JSON-Text anfordern:

{
    "parent": ORGANIZATION_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: env

  • ORGANIZATION_ID ist die ID der Organisation, die als übergeordnete Ressource für diesen Tag-Schlüssel verwendet werden soll. Beispiel: organizations/12345678901. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht mehr als 256 Zeichen enthalten.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, von Menschen lesbaren Anzeigenamen namespacedName, der in der übergeordneten Organisation als Namespace bezeichnet wird, und eine global eindeutige permanente ID, die name genannt wird.

Tag-Schlüssel ansehen

Sie können Informationen zu einem bestimmten Tag-Schlüssel mithilfe der permanenten ID oder dem Namespace-Namen ermitteln, die beim Erstellen angezeigt werden.

Console

So rufen Sie ein erstelltes Tag auf:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Alle Tags in dieser Organisation werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel anzeigen möchten.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys describe, um Informationen zu einem bestimmten Tagschlüssel aufzurufen:

gcloud alpha resource-manager tags keys describe TAGKEY_NAME

Dabei ist TAGKEY_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Mit der Methode tagKeys.get können Sie die Informationen zu einem bestimmten Tagschlüssel anzeigen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

Dabei ist TAGKEY_NAME die permanente ID des Tag-Schlüssels, für den Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012

Tag-Werte hinzufügen

Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.

Der Tag-Wert shortName darf maximal 63 Zeichen lang sein. Der zulässige Zeichensatz für shortName enthält alphanumerische Zeichen in Groß- und Kleinschreibung (keine Internationalisierung), Bindestriche, Unterstriche und Punkte. shortName muss mit einem alphanumerischen Zeichen beginnen und enden. Sobald die shortName erstellt wurde, kann sie nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen neuen Tag-Wert:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie in der Liste der Tags auf das Tag, dem Sie einen neuen Wert hinzufügen möchten.

  5. Klicken Sie auf Wert hinzufügen.

  6. Geben Sie im Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens des Tags.

  7. Geben Sie im Feld Tag-Wert-Beschreibung eine Beschreibung des Tag-Werts ein.

  8. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags keys create, um einen neuen Tag-Wert zu erstellen. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:

gcloud alpha resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Wobei:

  • TAGVALUE_SHORTNAME ist der Kurzname des neuen Tag-Werts. Beispiel: prod

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag value prod in tag key 12345678901/env...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012

API

Erstellen Sie zum Erstellen eines neuen Tag-Werts eine JSON-Darstellung. Weitere Informationen zum Format eines Tag-Werts finden Sie in der TagValue-Referenz.

Verwenden Sie dann die Methode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

JSON-Text anfordern:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Wert. Beispiel: env

  • DESCRIPTION ist eine Beschreibung des Werts und darf nicht mehr als 256 Zeichen enthalten.

Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen, von Menschen lesbaren Anzeigenamen namespacedName, der in der übergeordneten Organisation als Namespace bezeichnet wird, und eine global eindeutige permanente ID, die als name bezeichnet wird.

Tag-Werte abrufen

Sie können Informationen zu einem bestimmten Tag-Wert über die permanente ID oder den Namespace-Namen abrufen, die beim Erstellen angezeigt werden.

Console

So rufen Sie ein erstelltes Tag auf:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Alle in dieser Organisation erstellten Tags werden in der Liste angezeigt. Klicken Sie auf das Tag, dessen Tag-Werte angezeigt werden sollen.

gcloud

Verwenden Sie den Befehl gcloud alpha resource-manager tags values describe, um Informationen zu einem bestimmten Tagwert aufzurufen:

gcloud alpha resource-manager tags values describe TAGVALUE_NAME

Dabei ist TAGVALUE_NAME der Namespace-Name des Tag-Werts. Beispiel: 1234567890/env/prod

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: prod
namespaced_name: 1234567890/env/prod
parent: tagKeys/123456789012

API

Verwenden Sie die Methode tagValues.get, um Informationen zu einem bestimmten Tagwert aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

Dabei ist TAGVALUE_NAME die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123

Beim Referenzieren von Tags mit dem gcloud-Befehlszeilentool können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Aufrufe an die API sollten nur die permanente ID verwenden. Weitere Informationen zu den Tag-Typen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und -Kennungen.

Vorhandene Tags aktualisieren

Sie können ein vorhandenes Tag ändern, indem Sie den ihm zugeordneten Schlüssel oder die entsprechenden Werte aktualisieren. Sie können die Tag-Beschreibung aktualisieren, aber nicht den Kurznamen.

Console

So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie oben neben Beschreibung auf Bearbeiten.

  6. Die Beschreibung des Tag-Schlüssels aktualisieren.

  7. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer Tag-Schlüsselbeschreibung verwenden Sie den Befehl gcloud alpha resource-manager tags keys update:

gcloud alpha resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Wobei:

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des zu aktualisierenden Schlüssels. Beispiel: tagKeys/123456789012

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen für die neue Beschreibung.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
description: "new description"
parent: organizations/12345678901

API

Mit der Methode tagKeys.patch können Sie eine Beschreibung des Tag-Schlüssels ändern:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des Tag-Schlüssels. Beispiel: tagKeys/123456789012

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht mehr als 256 Zeichen enthalten.

Außerdem können Sie die Beschreibung von Tag-Werten ändern.

Console

So aktualisieren Sie die Beschreibung eines Tag-Werts:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  6. Klicken Sie oben neben Beschreibung auf Bearbeiten.

  7. Die Beschreibung des Tag-Werts aktualisieren.

  8. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer Tag-Wert-Beschreibung verwenden Sie den Befehl gcloud alpha resource-manager tags values update:

gcloud alpha resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des zu aktualisierenden Tag-Werts. Beispiel: tagValues/4567890123

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen für die neue Beschreibung.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012
description: "new description"

API

Um die Beschreibung eines Tag-Schlüssels zu ändern, verwenden Sie den Befehl tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGVALUE_NAME ist der permanente ID-Name des Tag-Werts. Beispiel: tagValues/4567890123

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht mehr als 256 Zeichen enthalten.

Tag-Schlüssel auflisten

Sie können alle Tag-Schlüssel, die einer bestimmten Organisation zugeordnet sind, über die Cloud Console, das gcloud-Tool oder einen Aufruf der API auflisten.

Console

So rufen Sie alle Tags auf:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Alle in dieser Organisation erstellten Tags werden in der Liste angezeigt.

gcloud

Mit dem Befehl gcloud alpha resource-manager tags keys list können Sie eine Liste aller Tag-Schlüssel abrufen, die mit einer Organisationsressource verknüpft sind:

gcloud alpha resource-manager tags keys list --parent=ORGANIZATION_ID

Dabei ist ORGANIZATION_ID die ID der Organisation, für die Sie angehängte Tag-Schlüssel suchen möchten.

  • Geben Sie eine Organisations-ID im Format organizations<var>ORGANIZATION_ID an. Beispiel: organizations/12345678901 Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012          env         description of tag key

API

Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben wird:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

Dabei ist RESOURCE_ID die ID der Ressource, für die Sie angehängte Tag-Schlüssel finden möchten. Beispiel: organizations/12345678901

Tag-Werte auflisten

Sie können alle Tag-Werte, die einem bestimmten Tag-Schlüssel zugeordnet sind, über die Cloud Console, das gcloud-Tool oder einen Aufruf der API auflisten.

Console

So rufen Sie alle Tag-Werte auf, die mit einem Tag-Schlüssel verknüpft sind:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel mit den gewünschten Tag-Werten auf Aktionen und dann auf Details ansehen.

  5. Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.

gcloud

Mit dem Befehl gcloud alpha resource-manager tags values list können Sie eine Liste aller Tag-Werte abrufen, die mit einem Schlüssel verknüpft sind:

gcloud alpha resource-manager tags values list --parent=TAGKEY_NAME

Dabei ist TAGKEY_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie verknüpfte Werte suchen möchten. Beispiel: tagKeys/123456789012

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012
description: "new description"

API

Mit der Methode tagValues.list können Sie eine Liste aller Tag-Werte abrufen, die mit einem Schlüssel verknüpft sind. Dabei muss der übergeordnete Tag-Schlüssel in der Abfrage angegeben werden:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

Dabei ist TAGKEY_NAME der permanente ID-Name des Tagschlüssels. Beispiel: tagKeys/123456789012

Zugriff auf Tags verwalten

Sie können Nutzern mithilfe der Cloud Console spezifischen Zugriff gewähren, um Tags zu verwalten und Tag-Werte an Ressourcen anzuhängen. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen mit Tags und den Berechtigungen, die sie enthalten.

Tag-Schlüssel

So verwalten Sie den Zugriff für einen Tag-Schlüssel:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie das Kästchen neben dem Tag an, für das Sie den Zugriff verwalten möchten.

  5. Klicke auf Zugriff verwalten.

  6. Klicken Sie auf Mitglied hinzufügen, um einem Mitglied eine Rolle hinzuzufügen.

    1. Geben Sie im Textfeld Neue Mitglieder die E-Mail-Adresse des Mitglieds ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben Benachrichtigungs-E-Mail senden.

    4. Klicken Sie auf Speichern.

  7. Klicken Sie neben dem Mitglied, das Sie bearbeiten möchten, auf Bearbeiten.

    1. Sie können alle Rollen ändern, die den Mitgliedern dieses Tags zugewiesen sind, indem Sie auf das Drop-down-Menü Rolle klicken und eine neue Rolle auswählen.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen, um diesem Mitglied eine Rolle zu entfernen.

    4. Klicken Sie auf Speichern.

  8. Klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tag-Werte

So verwalten Sie den Zugriff für einen Tag-Wert:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel für den Wert, dessen Zugriff Sie verwalten möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicke auf Zugriff verwalten.

  6. Klicken Sie auf Mitglied hinzufügen, um einem Mitglied eine Rolle hinzuzufügen.

    1. Geben Sie im Textfeld Neue Mitglieder die E-Mail-Adresse des Mitglieds ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Benachrichtigung senden möchten, klicken Sie auf das Kästchen neben Benachrichtigungs-E-Mail senden.

    4. Klicken Sie auf Speichern.

  7. Klicken Sie neben dem Mitglied, das Sie bearbeiten möchten, auf Bearbeiten.

    1. Sie können alle Rollen ändern, die den Mitgliedern dieses Tags zugewiesen sind, indem Sie auf das Drop-down-Menü Rolle klicken und eine neue Rolle auswählen.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen, um diesem Mitglied eine Rolle zu entfernen.

    4. Klicken Sie auf Speichern.

  8. Klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tags an Ressourcen anhängen

Nachdem ein Tag erstellt wurde und der Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag einer Google Cloud-Ressource als Schlüssel/Wert-Paar zugewiesen werden. Einer Ressource kann nur ein Wert zugeordnet werden. Wenn beispielsweise env: dev angehängt ist, können env: prod oder env: test nicht angehängt werden. Eine Ressource kann maximal 50 Schlüssel/Wert-Paare enthalten.

Tags werden mit einer Tag-Bindung-Ressource verknüpft, die den Wert mit der Google Cloud-Ressource verknüpft.

Console

So hängen Sie ein Tag an eine Ressource an:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das bzw. das Sie ein Tag anhängen möchten.

  3. Klicken Sie im angezeigten Infobereich auf den Tab Tags.

  4. Klicken Sie auf das Optionsfeld Add Tag binding (Tag-Bindungen hinzufügen).

  5. Geben Sie im Feld Tag-Wert den Namespace-Namen des Tag-Werts ein, den Sie anhängen möchten. Beispiel: 4567890123/Environment/Test.

  6. Wenn Sie weitere Tag-Werte anhängen möchten, klicken Sie auf Wert hinzufügen und geben Sie für jeden Tag-Wert den Namespace-Namen ein.

  7. Klicken Sie auf Bindungen speichern.

  8. Das neue Tag wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud alpha resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

gcloud alpha resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Name des Namespace, der angehängt werden soll. Beispiel: tagValues/4567890123

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu kennzeichnen. Wenn Sie beispielsweise projects/7890123456 ein Tag anhängen möchten,lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION ist der Standort der Ressource. Wenn Sie ein Tag an eine globale Ressource wie einen Ordner oder ein Projekt anhängen, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource anhängen, müssen Sie den Standort angeben. Beispiel: us-central1 Keine regionalen Ressourcen unterstützen derzeit Tags.

API

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanenten IDs des Tagwerts und der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der TagBinding-Referenz.

Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen möchten, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkt-Hostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Wenn Sie das Tag an eine regionale Ressource anhängen, verwenden Sie die Methode tagBindings.create mit dem regionalen Endpunkt, in dem sich die Ressource befindet. Tags werden derzeit nicht von regionalen Ressourcen unterstützt.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

Wobei:

  • TAGBINDING_NAME ist der Name Ihrer Tag-Bindung. Beispiel: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/4567890123

  • RESOURCE_ID ist die ID der Ressource, an die Sie diesen Tag-Wert anhängen. Beispiel: projects/7890123456.

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1

Alle mit einer Ressource verknüpften Tags auflisten

Sie können eine Liste aller Tags abrufen, die mit einer Ressource verknüpft sind. Die folgenden Beispiele enthalten eine Liste von Tag-Bindungen, die direkt mit der Ressource verbunden sind. Es werden jedoch keine Tags zurückgegeben, die von übergeordneten Ressourcen übernommen wurden.

Console

So rufen Sie alle Tags auf, die an eine Ressource angehängt sind:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.

  3. Die mit der Ressource verknüpften Tags werden in der Spalte Tags angezeigt.

gcloud

Mit dem Befehl gcloud alpha resource-manager tags bindings list können Sie eine Liste der Tag-Bindungen abrufen, die mit einer Ressource verbunden sind:

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION ist der Standort der Ressource. Wenn Sie die mit einer globalen Ressource verknüpften Tags auflisten, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource anhängen, müssen Sie den Standort angeben. Beispiel: us-central1 Keine regionalen Ressourcen unterstützen derzeit Tags.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

API

Zum Abrufen einer Liste von Tag-Bindungen, die an eine globale Ressource wie eine Organisation gebunden sind, verwenden Sie die Methode tagBindings.list. Geben Sie in der Abfrage die übergeordnete Ressource an:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wenn Sie die mit einer regionalen Ressource verknüpften Tag-Bindungen auflisten möchten, verwenden Sie die Methode tagBindings.list mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet. Tags werden derzeit nicht von regionalen Ressourcen unterstützt.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1

Wenn der Vorgang erfolgreich ist, sollte der Antworttext eine Liste von TagBinding-Objekten enthalten. Beispiel:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Tag von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Console

So trennen Sie ein Tag von einer Ressource:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.

  3. Klicken Sie im angezeigten Infobereich auf den Tab Tags.

  4. Klicken Sie auf das Optionsfeld Tag-Bindungen entfernen.

  5. Geben Sie im Feld Tag-Wert den Namespace-Namen des zu entfernenden Tag-Werts ein. Beispiel: 4567890123/Environment/Test.

  6. Klicken Sie auf Bindungen speichern.

  7. Die aktualisierte Liste der angehängten Tags finden Sie auf der Seite Ressourcen verwalten in der Spalte Tags.

gcloud

Zum Löschen einer Tag-Bindung verwenden Sie den Befehl gcloud alpha resource-manager tags bindings delete:

gcloud alpha resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION ist der Standort der Ressource. Wenn Sie eine Tag-Bindung löschen, die mit einer globalen Ressource verbunden ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource angehängt ist, müssen Sie den Standort angeben. Beispiel: us-central1 Keine regionalen Ressourcen unterstützen derzeit Tags.

API

Zum Löschen einer Tag-Bindung, die einer globalen Ressource wie einer Organisation zugeordnet ist, verwenden Sie die Methode tagBindings.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wenn Sie eine mit einer regionalen Ressource verknüpfte Tag-Bindung löschen möchten, verwenden Sie die Methode tagBindings.delete mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet. Tags werden derzeit nicht von regionalen Ressourcen unterstützt.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wobei:

  • TAGBINDINGS_NAME ist die permanente ID von TagBinding. Beispiel: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1

Tags löschen

Damit ein Tag gelöscht werden kann, müssen Sie alle seine definierten Komponenten löschen. Löschen Sie zuerst alle Tag-Bindungen, mit denen dieses Tag an Ressourcen in der Hierarchie angehängt wird. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.

Wenn es keine weiteren Tag-Bindungen für die Tag-Werte gibt, die Sie löschen möchten, können Sie die Werte löschen.

Console

So löschen Sie einen Tag-Wert:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie neben dem Tag-Schlüssel mit dem Tag-Wert, den Sie löschen möchten, auf Aktionen und dann auf Details anzeigen.

  5. Klicken Sie in der Liste der mit diesem Tag-Schlüssel verknüpften Tag-Werte auf den Tag-Wert, den Sie löschen möchten.

  6. Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf Werte löschen.

  7. Klicken Sie auf Bestätigen.

gcloud

Um einen Tag-Wert zu löschen, verwenden Sie den Befehl gcloud alpha resource-manager tag values delete:

gcloud alpha resource-manager tags values delete TAGVALUE_NAME

Dabei ist TAGVALUE_NAME die permanente ID oder der Namespace-Name des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456

API

Verwenden Sie zum Löschen eines Tag-Werts die Methode tagValues.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

Dabei ist TAGVALUE_NAME die permanente ID des zu löschenden Tag-Werts. Beispiel: tagValues/567890123456

Sobald alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen.

Console

So löschen Sie einen Tag-Schlüssel:

  1. .ffnen Sie in der Cloud Console die Seite Tags.

    Seite "Tags" öffnen

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie im Organisationsauswahl Ihre Organisation aus.

  4. Klicken Sie das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten, an.

  5. Klicken Sie auf Tags löschen.

  6. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie zum Löschen eines Tag-Schlüssels den Befehl gcloud alpha resource-manager tags keys delete:

gcloud alpha resource-manager tags keys delete TAGKEYS_NAME

Dabei ist TAGKEYS_NAME die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012

API

Mit der Methode tagKeys.delete löschen Sie einen Tag-Schlüssel:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

Dabei ist TAGKEYS_NAME die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die diese Richtlinien unter bestimmten Bedingungen erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts für die Richtlinie festlegen.

Sie können beispielsweise Rollen aus der Identitäts- und Zugriffsverwaltung (IAM) basierend darauf zuweisen, ob eine Ressource ein bestimmtes Tag enthält.

Weitere Informationen dazu, wie Sie mithilfe von Tags den Zugriff auf Ihre Google Cloud-Ressourcen steuern, finden Sie unter Tags und Zugriffssteuerung.

Sie können auch Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen Ihrer Organisationsrichtlinien angewendet werden. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Tags für Ressourcen anfordern

Sie können Tags und Identitäts- und Zugriffsverwaltungsbedingungen verwenden, um die Tag-Kennzeichnung für Ressourcen in der Hierarchie obligatorisch zu machen. Dadurch werden die Ressourcen unbrauchbar, bis Sie ein bestimmtes Tag damit anhängen. Beispiel: Sie möchten, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen, bevor sie sie verwenden können.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen Ressourcen zuordnen können, mit denen bestimmt wird, ob die Ressourcen richtig auf Governance angewendet wurden. Beispielsweise könnten Sie ein Tag mit dem Schlüssel costCenter und den Werten 0001, 0002 usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen unter Ihr Unternehmen einrichten.

  2. Erstellen Sie eine benutzerdefinierte Rolle auf Organisationsebene, mit der Nutzer den Ressourcen Tags hinzufügen können, für die Sie Tags verwenden möchten. Dadurch werden diese Berechtigungen den angegebenen Mitgliedern überall in Ihrer Organisation gewährt.

    Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, würde beispielsweise die folgenden Berechtigungen umfassen:

    • resourcemanager.projects.get
    • resourcemanager.resourceTagBindings.create
    • resourcemanager.resourceTagBindings.delete
    • resourcemanager.resourceTagBindings.list
  3. Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.

  4. Weisen Sie Ihren Entwicklern andere Rollen zu, die die Berechtigungen für sie enthalten, die gewünschten Aktionen innerhalb dieses Projekts durchzuführen. Wenn Sie Nutzern im Projekt Rollen zuweisen, sollten die Rollen immer unter Vorbehalt gewährt werden, damit der Anhang costCenter erforderlich ist.

    resource.hasTagKey('12345678901/costCenter')
    

Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das Tag costCenter anhängen, bevor sie die in der IAM-Richtlinie erteilten Aktionen ausführen können.

Bekannte Fehler beheben

Bedingungsausdruck schlägt fehl

Wenn Sie einen der add-iam-policy-binding-Befehle mit dem gcloud-Befehlszeilentool ausführen und die IAM-Richtlinie für diese Ressource bedingte Bindungsbindungen für diese Rolle enthält, fordert das gcloud-Tool Sie auf, wählen Sie einen der in der Richtlinie vorhandenen Bedingungsausdrücke aus. Wenn Sie einen Bedingungsausdruck auswählen, der ein Komma enthält, schlägt der Befehl fehl. Zur Umgehung dieses Problems können Sie mit dem Flag --condition einen Bedingungsausdruck in der Befehlszeile angeben.