Cette page a été traduite par l'API Cloud Translation.
Switch to English

Créer et gérer des tags

Ce guide explique comment créer et gérer des tags. Un tag est une paire clé/valeur pouvant être associée à une organisation, un dossier ou un projet. Vous pouvez utiliser des tags pour autoriser ou refuser des règles de manière conditionnelle en fonction de la nature d'une balise spécifique.

Avant de commencer

Pour plus d'informations sur les tags et leur fonctionnement, consultez la page Présentation des tags.

Autorisations requises

Les autorisations dont vous avez besoin dépendent de l'action que vous devez effectuer.

Pour obtenir ces autorisations, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources.

Afficher les tags

Pour afficher les définitions de tag, vous avez besoin du rôle Lecteur de tag (roles/resourcemanager.tagViewer) ou d'un autre rôle qui inclut les autorisations suivantes:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.resourceTagBindings.list

Administrer des tags

Pour créer, mettre à jour et supprimer des définitions de tags, vous devez disposer du rôle Administrateur de tags (roles/resourcemanager.tagAdmin) ou d'un autre rôle incluant les autorisations suivantes:

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get

Gérer les tags sur les ressources

Pour ajouter et supprimer des tags associés à des ressources, vous devez disposer desUtilisateur de tags role (roles/resourcemanager.tagUser ) ou un autre rôle avec des autorisations équivalentes, à la fois pourvaleur de la balise et lesauxquelles vous associez la valeur de tag s'affiche en haut de l'écran. Le rôle Utilisateur de la balise inclut les autorisations suivantes:

  • Autorisations requises pour la ressource à laquelle vous associez la valeur de tag:

    • resourcemanager.resourceTagBindings.create
    • resourcemanager.resourceTagBindings.delete
    • resourcemanager.resourceTagBindings.list
  • Autorisations requises pour la valeur de la balise:

    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
    • resourcemanager.tagValueBindings.list
  • Autorisations vous permettant d'afficher des projets et des définitions de tags:

    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Créer et définir un tag

Les tags sont composés d'une paire clé-valeur et sont associés à une organisation, un dossier ou une ressource de projet de votre hiérarchie Google Cloud. Pour créer un tag, vous devez d'abord créer une clé décrivant le tag que vous créez. Par exemple, vous pouvez spécifier des environnements de production, de test et de développement pour les ressources de votre hiérarchie de ressources en créant une clé nommée env.

Ensuite, vous pouvez créer les différentes valeurs que la clé peut avoir. Si vous avez créé une clé de tag nommée env, vous pouvez spécifier qu'il existe trois environnements potentiels et créer une valeur pour chacun: prod,dev, et test.

Vous pouvez créer un maximum de 300 clés créées au sein d'une organisation, et il existe un total de 300 valeurs au total pour chaque clé.

Enfin, vous pouvez ensuite associer ces valeurs aux ressources de votre hiérarchie, ce qui les contient dans l'association de paires clé/valeur. Par exemple, vous pouvez associer test à plusieurs dossiers d'environnement de test dans votre organisation, chacun contenant la paire clé/valeur env: test.

Créer un tag

Pour commencer, vous devez créer une clé de tag.

La longueur de la clé shortName ne peut pas dépasser 63 caractères. Le jeu de caractères autorisé pour l'expression shortName comprend des caractères alphanumériques en majuscules et minuscules (pas d'internationalisation), des tirets, des traits de soulignement et des points. La partie shortName doit commencer et se terminer par un caractère alphanumérique. Une fois le fichier shortName créé, il ne peut plus être modifié et doit être unique dans le même espace de noms.

Console

Pour créer une clé de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Créer un tag.

  5. Dans la zone Nom du tag, saisissez le nom à afficher de la clé de la balise. Cet élément fait partie du nom de l'espace de noms du tag.

  6. Dans la zone Description du tag, saisissez une description de la clé de tag.

  7. Si vous souhaitez ajouter des valeurs de tag à cette clé, cliquez sur Ajouter une valeur pour chaque valeur de tag que vous souhaitez créer.

  8. Dans la zone Valeur de balise, saisissez le nom à afficher correspondant à la valeur de votre balise. Cet élément fait partie du nom de l'espace de noms du tag.

  9. Dans le champ Description de la valeur de tag, saisissez une description de la valeur de votre tag.

  10. Une fois les valeurs de tags ajoutées, cliquez sur Créer une balise.

gcloud

Pour créer une clé de tag, utilisez la commande gcloud alpha resource-manager tags keys create:

gcloud alpha resource-manager tags keys create SHORT_NAME \
    --parent=organizations/ORGANIZATION_ID

Où :

  • SHORT_NAME est le nom à afficher pour votre clé de tag. Par exemple : env

  • ORGANIZATION_ID est l'ID de l'organisation à utiliser comme ressource parente pour cette clé de tag. Exemple : 12345678901. Pour savoir comment obtenir votre ID d'organisation, consultez la page Créer et gérer des organisations.

Vous devriez obtenir une réponse semblable à celle-ci:

Creating tag key env in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Pour créer une clé de tag, créez une représentation JSON de la clé. Pour plus d'informations sur le format d'une clé de tag, consultez la documentation de référence sur KeyKey.

Ensuite, utilisez la méthode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Corps JSON de la requête :

{
    "parent": ORGANIZATION_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Où :

  • SHORT_NAME est le nom à afficher pour votre clé de tag. Par exemple : env

  • ORGANIZATION_ID est l'ID de l'organisation à laquelle la ressource parente est la clé parent. Exemple : organizations/12345678901. Pour savoir comment obtenir votre ID d'organisation, consultez la page Créer et gérer des organisations.

  • DESCRIPTION est la description de la clé et ne peut pas comporter plus de 256 caractères.

Une fois la clé créée, vous pouvez trouver le nom d'affichage lisible unique appelé namespacedName, qui est espace de noms dans son organisation parente. Un ID permanent unique, appelé name.

Afficher une clé de tag

Vous pouvez trouver des informations sur une clé de tag spécifique à l'aide de l'ID permanent ou du nom de l'espace de noms qui est affiché lors de sa création.

Console

Pour afficher une balise créée, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Tous les tags de cette organisation s'affichent dans la liste. Cliquez sur le tag dont vous souhaitez afficher la clé de tag.

gcloud

Pour afficher les informations associées à une clé de tag donnée, exécutez la commande gcloud alpha resource-manager tags keys describe:

gcloud alpha resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME est l'ID permanent ou le nom de l'espace de noms de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple : tagKeys/123456789012

Vous devriez obtenir une réponse semblable à celle-ci:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
parent: organizations/12345678901

API

Pour afficher les informations associées à une clé de tag donnée, utilisez la méthode tagKeys.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME correspond à l'ID permanent de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple : tagKeys/123456789012

Ajouter des valeurs de balises

Une fois que vous avez créé une clé de tag, vous pouvez ajouter des valeurs acceptées pour la clé.

La valeur de la balise shortName ne doit pas dépasser 63 caractères. Le jeu de caractères autorisé pour shortName inclut des caractères alphanumériques en majuscules et minuscules (pas d'internationalisation), des tirets, des traits de soulignement et des points. La partie shortName doit commencer et se terminer par un caractère alphanumérique. Une fois le fichier shortName créé, il ne peut plus être modifié et doit être unique dans le même espace de noms.

Console

Pour créer une valeur de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Dans la liste des tags, cliquez sur celui auquel vous souhaitez ajouter une valeur.

  5. Cliquez sur Ajouter une valeur.

  6. Dans la zone Valeur de balise, saisissez le nom à afficher correspondant à la valeur de votre balise. Cet élément fait partie du nom de l'espace de noms du tag.

  7. Dans le champ Description de la valeur de tag, saisissez une description de la valeur de votre tag.

  8. Cliquez sur Enregistrer.

gcloud

Pour créer une valeur de tag, utilisez la commande gcloud alpha resource-manager tags keys create. Vous devez spécifier la clé sous laquelle cette valeur est créée:

gcloud alpha resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Où :

  • TAGVALUE_SHORTNAME est le nom court de la nouvelle valeur de tag. Par exemple : prod

  • TAGKEY_NAME correspond à l'ID permanent ou au nom d'un espace de noms de la clé de tag parent. Par exemple :tagKeys/4567890123

Vous devriez obtenir une réponse semblable à celle-ci:

Creating tag value prod in tag key 12345678901/env...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012

API

Pour créer une valeur de tag, créez une représentation JSON de la valeur. Pour plus d'informations sur le format d'une valeur de tag, consultez la documentation de référence sur TagValue.

Ensuite, utilisez la méthode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Corps JSON de la requête :

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Où :

  • TAGKEY_NAME correspond à l'ID permanent de la clé du tag parent. Par exemple :tagKeys/4567890123

  • SHORT_NAME est le nom à afficher pour la valeur de votre balise. Par exemple : env

  • DESCRIPTION est une description de la valeur et ne peut pas comporter plus de 256 caractères.

Après avoir créé la valeur, vous recherchez le nom à afficher lisible unique appelé namespacedName, qui est espace de noms dans son organisation parente, et un ID permanent unique appelé name.

Récupérer les valeurs de tags

Vous pouvez trouver des informations sur une valeur de tag spécifique à l'aide de l'ID permanent ou du nom de l'espace de noms qui s'affiche lors de sa création.

Console

Pour afficher une balise créée, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Tous les tags que vous avez créés dans cette organisation s'affichent dans la liste. Cliquez sur le tag dont vous souhaitez afficher les valeurs.

gcloud

Pour afficher les informations associées à une valeur de tag donnée, exécutez la commande gcloud alpha resource-manager tags values describe:

gcloud alpha resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME est le nom de l'espace de noms de la valeur de tag. Par exemple : 1234567890/env/prod

Vous devriez obtenir une réponse semblable à celle-ci:

short_name: prod
namespaced_name: 1234567890/env/prod
parent: tagKeys/123456789012

API

Pour afficher les informations associées à une valeur de tag donnée, utilisez la méthode tagValues.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME est l'ID permanent de la valeur du tag. Par exemple : tagValues/4567890123

Lorsque vous référencez des tags à l'aide de l'outil de ligne de commande gcloud, vous pouvez utiliser le nom de l'espace de noms ou l'ID permanent pour les clés et les valeurs de tag. Les appels à l'API ne doivent utiliser que l'ID permanent. Consultez la section Définitions et identifiants des tags pour plus d'informations sur les types d'identifiants utilisés par une balise.

Mettre à jour des tags existants

Vous pouvez modifier un tag existant en modifiant la ou les valeurs qui lui sont associées. Vous pouvez modifier la description d'un tag, mais pas son nom court.

Console

Pour mettre à jour la description d'une clé de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Actions à côté de la clé de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.

  5. Cliquez sur Modifier à côté de Description en haut de l'écran.

  6. Mettez à jour la description de la clé de tag.

  7. Cliquez sur Enregistrer.

gcloud

Pour modifier la description d'une clé de tag, utilisez la commande gcloud alpha resource-manager tags keys update:

gcloud alpha resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Où :

  • TAGKEY_NAME est l'ID permanent ou le nom de l'espace de noms de la clé à mettre à jour. Par exemple : tagKeys/123456789012

  • NEW_DESCRIPTION est une chaîne de 256 caractères maximum à utiliser comme nouvelle description.

Vous devriez obtenir une réponse semblable à celle-ci:

name: tagKeys/123456789012
short_name: env
namespaced_name: 12345678901/env
description: "new description"
parent: organizations/12345678901

API

Pour modifier la description d'une clé de tag, utilisez la méthode tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Corps JSON de la requête :

{
    "description": DESCRIPTION,
}

Où :

  • TAGKEY_NAME est l'ID permanent de la clé du tag. Par exemple : tagKeys/123456789012

  • DESCRIPTION est la description de la clé et ne peut pas comporter plus de 256 caractères.

Vous pouvez également modifier la description des valeurs de tags.

Console

Pour mettre à jour la description d'une valeur de balise, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Actions à côté de la clé de tag pour la valeur que vous souhaitez mettre à jour, puis sur Afficher les détails.

  5. Cliquez sur Actions à côté de la valeur de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.

  6. Cliquez sur Modifier à côté de Description en haut de l'écran.

  7. Mettez à jour la description de la valeur de la balise.

  8. Cliquez sur Enregistrer.

gcloud

Pour modifier la description des valeurs de tag, utilisez la commande gcloud alpha resource-manager tags values update:

gcloud alpha resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Où :

  • TAGVALUE_NAME est l'ID permanent ou le nom de l'espace de noms de la valeur de tag à mettre à jour. Par exemple : tagValues/4567890123

  • NEW_DESCRIPTION est une chaîne de 256 caractères maximum à utiliser comme nouvelle description.

Vous devriez obtenir une réponse semblable à celle-ci:

short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012
description: "new description"

API

Pour modifier la description d'une clé de tag, utilisez la commande tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Corps JSON de la requête :

{
    "description": DESCRIPTION,
}

Où :

  • TAGVALUE_NAME est le nom d'ID permanent de la valeur de tag. Par exemple : tagValues/4567890123

  • DESCRIPTION est la description de la clé et ne peut pas comporter plus de 256 caractères.

Répertorier des clés de tag

Vous pouvez répertorier toutes les clés de tags associées à une organisation particulière à l'aide de Cloud Console, de l'outil gcloud ou d'un appel de l'API.

Console

Pour afficher tous les tags, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Tous les tags que vous avez créés dans cette organisation s'affichent dans la liste.

gcloud

Pour renvoyer la liste de toutes les clés de tag associées à une ressource Organisation, utilisez la commande gcloud alpha resource-manager tags keys list:

gcloud alpha resource-manager tags keys list --parent=ORGANIZATION_ID

ORGANIZATION_ID correspond à l'ID de l'organisation pour laquelle vous souhaitez rechercher des clés de tag associées.

  • Un ID d'organisation doit être au format organizations<var>ORGANIZATION_ID. Exemple : organizations/12345678901. Pour savoir comment obtenir votre ID d'organisation, consultez la section Créer et gérer des organisations.

Vous devriez obtenir une réponse semblable à celle-ci:

NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012          env         description of tag key

API

Pour renvoyer la liste de toutes les clés de tag pour une ressource donnée, utilisez la méthode tagKeys.list, la ressource parente spécifiée dans la requête:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID correspond à l'ID de la ressource pour laquelle vous souhaitez rechercher des clés de tag associées. Par exemple : organizations/12345678901

Répertorier les valeurs de tags

Vous pouvez répertorier toutes les valeurs de tags associées à une clé de tag spécifique à l'aide de Cloud Console, de l'outil gcloud ou d'un appel de l'API.

Console

Pour afficher toutes les valeurs de tag associées à une clé de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Actions à côté de la clé de tag contenant les valeurs que vous souhaitez rechercher, puis sur Afficher les détails.

  5. Toutes les valeurs de tags que vous avez créées sous cette clé de tag s'affichent dans la liste.

gcloud

Pour renvoyer la liste de toutes les valeurs de tags associées à une clé, utilisez la commande gcloud alpha resource-manager tags values list:

gcloud alpha resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME correspond à l'ID permanent ou au nom d'un espace de noms de la clé de tag pour laquelle vous souhaitez trouver les valeurs associées. Par exemple : tagKeys/123456789012

Vous devriez obtenir une réponse semblable à celle-ci:

short_name: prod
namespaced_name: 12345678901/env/prod
parent: tagKeys/123456789012
description: "new description"

API

Pour renvoyer la liste de toutes les valeurs de tags associées à une clé, utilisez la méthode tagValues.list, en spécifiant la clé de tag parent dans la requête:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME est le nom d'ID permanent de la clé de tag. Par exemple : tagKeys/123456789012

Gérer l'accès aux tags

Vous pouvez accorder aux utilisateurs un accès spécifique pour gérer les tags et associer des valeurs de tags aux ressources à l'aide de Cloud Console. Consultez la section Autorisations requises pour obtenir la liste des rôles associés aux tags, ainsi que les autorisations qu'ils comprennent.

Clés de tag

Pour gérer l'accès des utilisateurs à l'aide d'une clé de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cochez la case à côté du tag dont vous souhaitez gérer l'accès.

  5. Cliquez sur Gérer l'accès.

  6. Pour ajouter un rôle à un membre, cliquez sur Ajouter un membre.

    1. Dans la zone de texte Nouveaux membres, saisissez l'adresse e-mail du membre auquel vous souhaitez attribuer un nouveau rôle.

    2. Sélectionnez un rôle dans le menu déroulant Rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur Ajouter un autre rôle.

    3. Si vous souhaitez envoyer une notification, cochez la case à côté de Envoyer une notification par e-mail.

    4. Cliquez sur Enregistrer.

  7. Pour modifier le rôle d'un membre, cliquez sur Modifier à côté du membre que vous souhaitez modifier.

    1. Vous pouvez modifier les rôles attribués aux membres de ce tag en cliquant sur le menu déroulant Role (Rôle) et en choisissant un nouveau rôle.

    2. Si vous souhaitez ajouter d'autres rôles, cliquez sur Ajouter un autre rôle.

    3. Pour supprimer un rôle de ce membre sur ce tag, cliquez sur Supprimer le rôle à côté du rôle à supprimer.

    4. Cliquez sur Enregistrer.

  8. Pour supprimer le rôle d'un membre, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.

    1. Cliquez sur Supprimer.

Valeurs des tags

Pour gérer l'accès des utilisateurs pour une valeur de balise, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Actions à côté de la clé de tag pour la valeur à laquelle vous souhaitez gérer l'accès, puis cliquez sur Afficher les détails.

  5. Cliquez sur Gérer l'accès.

  6. Pour ajouter un rôle à un membre, cliquez sur Ajouter un membre.

    1. Dans la zone de texte Nouveaux membres, saisissez l'adresse e-mail du membre auquel vous souhaitez attribuer un nouveau rôle.

    2. Sélectionnez un rôle dans le menu déroulant Rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur Ajouter un autre rôle.

    3. Si vous souhaitez envoyer une notification, cochez la case à côté de Envoyer une notification par e-mail.

    4. Cliquez sur Enregistrer.

  7. Pour modifier le rôle d'un membre, cliquez sur Modifier à côté du membre que vous souhaitez modifier.

    1. Vous pouvez modifier les rôles attribués aux membres de ce tag en cliquant sur le menu déroulant Role (Rôle) et en choisissant un nouveau rôle.

    2. Si vous souhaitez ajouter d'autres rôles, cliquez sur Ajouter un autre rôle.

    3. Pour supprimer un rôle de ce membre sur ce tag, cliquez sur Supprimer le rôle à côté du rôle à supprimer.

    4. Cliquez sur Enregistrer.

  8. Pour supprimer le rôle d'un membre, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.

    1. Cliquez sur Supprimer.

Associer des tags aux ressources

Une fois un tag créé et un accès approprié accordé au tag et à la ressource, le tag peut être associé à une ressource Google Cloud en tant que paire clé/valeur. Une seule valeur peut être associée à une ressource pour une clé donnée. Par exemple, si env: dev est associé, env: prod ou env: test ne peuvent pas être associés. Chaque ressource peut être associée à un maximum de 50 paires clé-valeur.

Les tags sont associés aux ressources en créant une ressource de liaison de tag associant la valeur à la ressource Google Cloud.

Console

Pour associer un tag à une ressource, procédez comme suit:

  1. Ouvrez la page Gérer les ressources de Cloud Console.

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur l'organisation, le dossier ou le projet auquel vous souhaitez associer un tag.

  3. Dans le panneau d'informations qui s'affiche, cliquez sur l'onglet Tags.

  4. Cochez la case d'option Ajouter des liaisons de tags.

  5. Dans la zone Valeur de tag, saisissez le nom de l'espace de noms de la valeur de tag que vous souhaitez associer. Exemple :4567890123/Environment/Test

  6. Si vous souhaitez associer d'autres valeurs de tag, cliquez sur Ajouter une valeur, puis saisissez le nom de l'espace de noms pour chaque valeur de tag.

  7. Cliquez sur Enregistrer les liaisons.

  8. La nouvelle balise s'affiche dans la colonne Tags de la page Gérer les ressources.

gcloud

Pour associer un tag à une ressource, vous devez créer une ressource de liaison de tag à l'aide de la commande gcloud alpha resource-manager tags bindings create:

gcloud alpha resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
--location=LOCATION

Où :

  • TAGVALUE_NAME est l'ID permanent ou le nom de l'espace de noms de la valeur de tag à associer. Par exemple : tagValues/4567890123

  • RESOURCE_ID est l'ID complet de la ressource, y compris le nom de domaine de l'API afin de confirmer le type de ressource (//cloudresourcemanager.googleapis.com/). Par exemple, pour associer un tag à projects/7890123456,l'ID complet est : //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION est l'emplacement de votre ressource. Si vous associez un tag à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cet indicateur. Si vous associez un tag à une ressource régionale, vous devez spécifier l'emplacement. Par exemple: us-central1 Aucune ressource régionale n'est actuellement compatible avec les tags.

API

Pour associer un tag à une ressource, vous devez d'abord créer une représentation JSON d'une liaison de tag qui inclut les ID permanents de la valeur de tag et de la ressource. Pour en savoir plus sur le format d'une liaison de tag, consultez la documentation de référence TagBinding.

Si vous associez le tag à une ressource globale telle qu'une organisation, utilisez la méthode tagBindings.create avec le nom d'hôte du point de terminaison global:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Si vous associez le tag à une ressource régionale, utilisez la méthode tagBindings.create avec le point de terminaison régional où se trouve votre ressource. Aucune ressource régionale n'est actuellement compatible avec les tags.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Corps JSON de la requête :

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

Où :

  • TAGBINDING_NAME est le nom de votre liaison de tag ; Par exemple : tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/4567890123

  • RESOURCE_ID correspond à l'ID de la ressource à laquelle vous associez cette valeur de tag. Exemple : projects/7890123456.

  • TAGVALUE_NAME correspond à l'ID permanent de la valeur de tag associée. Par exemple : tagValues/4567890123

  • LOCATION est le point de terminaison régional de votre ressource. Par exemple : us-central1

Répertorier tous les tags associés à une ressource

Vous pouvez obtenir la liste de tous les tags associés à une ressource. Les exemples suivants fournissent une liste de liaisons de tags associées directement à la ressource, mais ne renvoient pas les tags hérités des ressources parentes.

Console

Pour afficher tous les tags associés à une ressource, procédez comme suit:

  1. Ouvrez la page Gérer les ressources de Cloud Console.

    Ouvrir la page "Gérer les ressources"

  2. Recherchez votre organisation, votre dossier ou votre projet dans la liste des ressources.

  3. Les tags associés à la ressource s'affichent dans la colonne Tags.

gcloud

Pour obtenir la liste des liaisons de tags associées à une ressource, utilisez la commande gcloud alpha resource-manager tags bindings list:

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Où :

  • RESOURCE_ID est l'ID complet de la ressource. Par exemple : //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION est l'emplacement de votre ressource. Si vous répertoriez les tags associés à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cet indicateur. Si vous associez un tag à une ressource régionale, vous devez spécifier l'emplacement. Par exemple: us-central1 Aucune ressource régionale n'est actuellement compatible avec les tags.

Vous devriez obtenir une réponse semblable à celle-ci:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

API

Pour obtenir la liste des liaisons de tags associées à une ressource globale, telle qu'une organisation, utilisez la méthode tagBindings.list en spécifiant la ressource parente dans la requête:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Si vous souhaitez répertorier les liaisons de tags associées à une ressource régionale, utilisez la méthode tagBindings.list avec le point de terminaison régional où se trouve votre ressource. Aucune ressource régionale n'est actuellement compatible avec les tags.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Où :

  • RESOURCE_ID est l'ID complet de la ressource. Exemple : //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION est le point de terminaison régional de votre ressource. Par exemple : us-central1

Si la requête aboutit, le corps de la réponse doit inclure une liste d'objets TagBinding. Exemple :

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Dissocier un tag d'une ressource

Vous pouvez dissocier un tag d'une ressource en supprimant la ressource de liaison de tag.

Console

Pour dissocier un tag d'une ressource, procédez comme suit:

  1. Ouvrez la page Gérer les ressources de Cloud Console.

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur l'organisation, le dossier ou le projet dont vous souhaitez dissocier un tag.

  3. Dans le panneau d'informations qui s'affiche, cliquez sur l'onglet Tags.

  4. Cochez la case d'option Supprimer les liaisons de tag.

  5. Dans le champ Valeur de tag, saisissez le nom de l'espace de noms de la valeur de tag que vous souhaitez supprimer. Exemple :4567890123/Environment/Test

  6. Cliquez sur Enregistrer les liaisons.

  7. La liste mise à jour des tags associés est disponible dans la colonne Tags de la page Gérer les ressources.

gcloud

Pour supprimer une liaison de tag, utilisez la commande gcloud alpha resource-manager tags bindings delete:

gcloud alpha resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Où :

  • TAGVALUE_NAME est l'ID permanent ou le nom de l'espace de noms de la valeur de tag associée. Par exemple : tagValues/567890123456

  • RESOURCE_ID est l'ID complet de la ressource. Par exemple: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION est l'emplacement de votre ressource. Si vous supprimez une liaison de tag associée à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cet indicateur. Si vous supprimez une liaison de tag associée à une ressource régionale, vous devez spécifier l'emplacement. Par exemple: us-central1 Aucune ressource régionale n'est actuellement compatible avec les tags.

API

Pour supprimer une liaison de tag associée à une ressource globale, telle qu'une organisation, utilisez la méthode tagBindings.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Si vous souhaitez supprimer une liaison de tags associée à une ressource régionale, utilisez la méthode tagBindings.delete avec le point de terminaison régional où se trouve votre ressource. Aucune ressource régionale n'est actuellement compatible avec les tags.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Où :

  • TAGBINDINGS_NAME est l'ID permanent de TagBinding. Exemple : tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION est le point de terminaison régional de votre ressource. Par exemple : us-central1

Supprimer des tags

Pour supprimer une balise, vous devez supprimer chacun de ses composants définis. Commencez par supprimer les liaisons de tags qui associent ce tag aux ressources de votre hiérarchie. Pour plus d'informations sur la suppression de liaisons de tags, consultez la section Dissocier un tag d'une ressource.

Une fois qu'il n'y a plus de liaisons de tags pour les valeurs de tag que vous souhaitez supprimer, vous pouvez les supprimer.

Console

Pour supprimer la valeur d'un tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cliquez sur Actions à côté de la clé de tag contenant la valeur de tag que vous souhaitez supprimer, puis sur Afficher les détails.

  5. Dans la liste des valeurs de tag associées à cette clé de tag, cliquez sur la valeur de tag que vous souhaitez supprimer.

  6. Cochez la case à côté de la valeur de tag que vous souhaitez supprimer, puis cliquez sur Supprimer les valeurs.

  7. Cliquez sur Confirmer.

gcloud

Pour supprimer la valeur d'un tag, utilisez la commande gcloud alpha resource-manager tag values delete:

gcloud alpha resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME est l'ID permanent ou le nom de l'espace de noms de la valeur de tag que vous souhaitez supprimer. Par exemple : tagValues/567890123456

API

Pour supprimer une valeur de tag, utilisez la méthode tagValues.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME est l'ID permanent de la valeur de tag que vous souhaitez supprimer. Par exemple : tagValues/567890123456

Une fois que toutes les valeurs de tags associées à une clé ont été supprimées, vous pouvez ensuite supprimer la clé.

Console

Pour supprimer une clé de tag, procédez comme suit:

  1. Ouvrez la page Tags de Cloud Console.

    Ouvrir la page "Tags"

  2. Sélectionnez l'outil de sélection de projets en haut de la page.

  3. Dans l'outil de sélection d'organisations, sélectionnez votre organisation.

  4. Cochez la case à côté de la clé de tag que vous souhaitez supprimer.

  5. Cliquez sur Supprimer les tags.

  6. Cliquez sur Confirmer.

gcloud

Pour supprimer une clé de tag, utilisez la commande gcloud alpha resource-manager tags keys delete:

gcloud alpha resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME est l'ID permanent ou le nom de l'espace de noms de la clé de tag que vous souhaitez supprimer. Par exemple : tagKeys/123456789012

API

Pour supprimer une clé de tag, utilisez la méthode tagKeys.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME est l'ID permanent de la clé de tag que vous souhaitez supprimer. Par exemple : tagKeys/123456789012

Règles et tags

Vous pouvez utiliser des tags avec des règles qui les acceptent pour appliquer ces stratégies de manière conditionnelle. Vous pouvez rendre la présence ou l'absence d'une valeur de tag la condition pour cette règle.

Par exemple, vous pouvez attribuer de manière conditionnelle des rôles IAM (gestion de l'authentification et des accès) selon qu'une ressource possède un tag spécifique ou non.

Pour en savoir plus sur l'utilisation des tags avec IAM afin de mieux contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.

Vous pouvez également utiliser des règles d'administration avec des tags pour contrôler la façon dont vos contraintes liées aux règles d'administration sont appliquées. Pour en savoir plus, consultez la section Définir des règles d'administration à l'aide de tags.

Exiger des tags sur des ressources

Vous pouvez rendre vos tags obligatoires pour les ressources de votre hiérarchie grâce aux tags et aux conditions de gestion de l'authentification et des accès. Ce processus rend les ressources inutilisables jusqu'à ce que vous lui attachiez un tag spécifique. Par exemple, vous pouvez exiger que vos développeurs attribuent un centre de coûts à une ressource avant de pouvoir l'utiliser.

  1. Créez un tag que vous pourrez utiliser pour associer des ressources à un élément permettant de savoir si la gouvernance a été correctement appliquée. Par exemple, vous pouvez créer un tag avec les clés costCenter et 0001, 0002, etc., afin d'associer les ressources aux différents centres de coûts : votre entreprise.

  2. Créez un rôle personnalisé au niveau de l'organisation qui permet aux utilisateurs d'ajouter des tags aux ressources sur lesquelles vous souhaitez ajouter des tags. Ces autorisations seront accordées aux membres spécifiés n'importe où dans votre organisation.

    Par exemple, un rôle personnalisé permettant aux utilisateurs d'ajouter des tags aux projets inclut les autorisations suivantes:

    • resourcemanager.projects.get
    • resourcemanager.resourceTagBindings.create
    • resourcemanager.resourceTagBindings.delete
    • resourcemanager.resourceTagBindings.list
  3. Lorsque vous créez des projets pour vos développeurs, attribuez-leur ce rôle personnalisé sur le projet.

  4. Attribuez à vos développeurs tous les autres rôles qui incluent les autorisations leur permettant d'effectuer les actions souhaitées au sein de ce projet. Lorsque vous attribuez des rôles aux utilisateurs du projet, ceux-ci doivent toujours être accordés de manière conditionnelle pour exiger le rattachement de la balise costCenter.

    resource.hasTagKey('12345678901/costCenter')
    

Désormais, à chaque fois qu'un projet est créé, vos développeurs doivent y associer le tag costCenter, avant de pouvoir effectuer les actions qui lui sont accordées par la stratégie IAM.

Résoudre les problèmes connus

Échec de l'expression de condition

Si vous exécutez l'une des commandes add-iam-policy-binding à l'aide de l'outil de ligne de commande gcloud et que la stratégie IAM sur cette ressource contient des liaisons de rôles conditionnelles pour ce rôle, l'outil gcloud affiche des invites. vous choisissez l'une des expressions de condition qui existent dans la stratégie. Si vous choisissez une expression de condition contenant une virgule, la commande échoue. Pour contourner ce problème, utilisez l'option --condition pour spécifier une expression de condition dans la ligne de commande.