Ce guide explique comment créer et gérer des tags. Un tag est une paire clé-valeur pouvant être associée à une ressource Google Cloud. Vous pouvez utiliser des tags pour autoriser ou refuser de manière conditionnelle les règles selon qu'une ressource dispose ou non d'un tag spécifique.
Avant de commencer
Pour en savoir plus sur les tags et leur fonctionnement, consultez la page Présentation des tags.
Autorisations requises
Les autorisations dont vous avez besoin dépendent de l'action que vous devez effectuer.
Pour obtenir ces autorisations, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources.
Afficher les tags
Pour afficher les définitions de tag et les tags associés aux ressources, vous devez disposer du rôle Lecteur de tags (roles/resourcemanager.tagViewer
) ou d'un autre rôle comprenant les autorisations suivantes :
Autorisations requises
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
pour le type de ressource approprié. Par exemple,compute.instances.listTagBindings
pour afficher les tags associés aux instances Compute Engine.listEffectiveTags
pour le type de ressource approprié.
Par exemple,
compute.instances.listEffectiveTags
pour afficher tous les tags associés aux instances Compute Engine ou dont celles-ci ont hérité.
Administrer les tags
Pour créer, mettre à jour et supprimer des définitions de tag, vous devez disposer du rôle Administrateur de tags (roles/resourcemanager.tagAdmin
) ou d'un autre rôle comprenant les autorisations suivantes :
Autorisations requises
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Gérer les tags sur les ressources
Pour ajouter et supprimer des tags associés à des ressources, vous devez disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser
) ou d'un autre rôle doté d'autorisations équivalentes sur la valeur de tag et sur la ressource à laquelle vous associez la valeur de tag. Le rôle Utilisateur de tags inclut les autorisations suivantes :
Autorisations requises
- Autorisations requises pour la ressource à laquelle vous associez la valeur de tag
- Autorisation
createTagBinding
spécifique à la ressource, telle quecompute.instances.createTagBinding
pour les instances Compute Engine - Autorisation
deleteTagBinding
spécifique à la ressource, telle quecompute.instances.deleteTagBinding
pour les instances Compute Engine - Autorisations requises pour la valeur du tag :
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Autorisations vous permettant d'afficher les projets et les définitions de tags :
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Créer et définir un tag
Les tags sont constitués d'une paire clé-valeur et sont associés à une ressource de votre hiérarchie Google Cloud. Pour créer un tag, vous devez d'abord créer une clé décrivant le tag que vous créez. Par exemple, vous pouvez spécifier des environnements de production, de test et de développement pour les ressources de votre hiérarchie de ressources en créant une clé nommée environment
.
Vous pouvez ensuite créer les différentes valeurs possibles pour la clé. Si vous avez créé une clé de tag nommée environment
, vous pouvez spécifier qu'il existe trois environnements potentiels et créer une valeur pour chacun d'eux : production
, development
, et test
.
Vous pouvez créer un maximum de 1 000 clés créées pour une organisation ou un projet donné (Preview), et un total de 1 000 valeurs peuvent être créées pour chaque clé.
Enfin, vous pouvez associer ces valeurs aux ressources de votre hiérarchie, auquel cas elles conservent leur association de paire clé-valeur. Par exemple, vous pouvez associer test
à plusieurs dossiers de l'environnement de test au sein de votre organisation, et chacun d'entre eux portera la paire clé-valeur environment: test
.
Créer un tag
Pour commencer, vous devez créer une clé de tag.
Le nom shortName
de la clé de tag ne peut pas comporter plus de 63 caractères. Le jeu de caractères autorisé pour shortName
inclut des caractères alphanumériques en majuscule et en minuscule (pas d'internationalisation), des traits d'union, des traits de soulignement et des points.
Le shortName
doit commencer et se terminer par un caractère alphanumérique. Une fois le shortName
créé, il ne peut plus être modifié et doit être unique au sein de l'espace de noms.
Console
Pour créer une clé de tag:
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) sous lequel vous souhaitez créer une clé de tag.
Cliquez sur
Créer.Dans la zone Clé de tag, saisissez le nom à afficher de la clé de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans le champ Description de la clé de tag, saisissez une description de votre clé de tag.
Si vous souhaitez ajouter des valeurs de tag à cette clé, cliquez sur
Ajouter une valeur pour chaque valeur de tag que vous souhaitez créer.Dans la zone Valeur de tag, saisissez le nom à afficher de votre valeur de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans la zone Description de la valeur de tag, saisissez une description de votre valeur de tag.
Une fois les valeurs de tag ajoutées, cliquez sur Créer une clé de tag.
gcloud
Pour créer une clé de tag, exécutez la commande gcloud resource-manager tags keys create
:
gcloud resource-manager tags keys create SHORT_NAME \ --parent=RESOURCE_ID
Où :
SHORT_NAME
est le nom à afficher pour votre clé de tag, par exemple :environment
.RESOURCE_ID
est l'ID de la ressource Organisation ou Projet parente (Aperçu) pour cette clé de tag. Exemple:organizations/123456789012
,projects/test-project123
ouprojects/234567890123
. Pour savoir comment obtenir cet ID, consultez la page Créer et gérer des organisations. Pour savoir comment obtenir cet ID, consultez Créer et gérer des projets.
Vous devriez obtenir un résultat semblable à celui-ci :
Creating tag key environment in organization 1234567890... <blocking wait until creation completes> name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Pour créer une clé de tag, créez une représentation JSON de la clé. Pour en savoir plus sur le format d'une clé de tag, consultez la documentation de référence sur TagKey.
Exécutez ensuite la méthode tagKeys.create :
POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d
Corps JSON de la requête :
{ "parent": RESOURCE_ID, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Où :
SHORT_NAME
est le nom à afficher pour votre clé de tag, par exemple :environment
.RESOURCE_ID
est l'ID de la ressource Organisation ou Projet parente (Aperçu) pour cette clé de tag. Exemple:organizations/123456789012
,projects/test-project123
ouprojects/234567890123
. Pour savoir comment obtenir cet ID, consultez la page Créer et gérer des organisations. Pour savoir comment obtenir cet ID, consultez Créer et gérer des projets.DESCRIPTION
est une description de la clé qui ne doit pas dépasser 256 caractères.
Une fois la clé créée, vous pouvez trouver le nom à afficher unique et lisible, appelé namespacedName
, qui est associé à un espace de noms dans sa ressource parente, ainsi qu'un ID permanent global unique appelé name
.
Afficher une clé de tag
Vous pouvez trouver des informations sur une clé de tag spécifique en utilisant l'ID permanent ou le nom d'espace de noms qui s'affiche lors de sa création.
Console
Pour afficher un tag créé, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient votre tag.
Tous les tags de cette organisation apparaissent dans la liste. Cliquez sur le tag pour lequel vous souhaitez afficher la clé de tag.
gcloud
Pour afficher les informations concernant une clé de tag spécifique, exécutez la commande gcloud resource-manager tags keys describe
:
gcloud resource-manager tags keys describe TAGKEY_NAME
TAGKEY_NAME
est l'ID permanent ou le nom d'espace de noms de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple : tagKeys/123456789012
ou project-id/environment
.
Vous devriez obtenir un résultat semblable à celui-ci :
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment parent: organizations/123456789012
API
Pour afficher les informations concernant une clé de tag spécifique, utilisez la méthode tagKeys.get :
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}
TAGKEY_NAME
est l'ID permanent de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple : tagKeys/123456789012
.
Pour afficher les informations sur une clé de tag donnée à l'aide de son nom d'espace de noms, utilisez la méthode tagKeys.getNamespaced
:
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}
TAGKEY_NAMESPACED_NAME
est le nom d'espace de noms de la clé de tag et est au format parentNamespace/tagKeyShortName
.
Ajouter des valeurs de tag
Une fois que vous avez créé une clé de tag, vous pouvez ajouter des valeurs acceptées pour cette clé.
La valeur shortName
de votre balise doit répondre aux exigences suivantes:
Une
shortName
ne peut pas comporter plus de 63 caractères.Un
shortName
doit commencer et se terminer par un caractère alphanumérique.Le nom de la chaîne doit être identique à celui d'origine.
Une fois créé, un
shortName
ne peut pas être modifié et doit être unique dans le même espace de noms.
Console
Pour créer une valeur de tag, procédez comme suit:
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) sous lequel vous souhaitez créer une valeur de tag.
Dans la liste des tags, cliquez sur le tag auquel vous souhaitez ajouter une valeur.
Cliquez sur
Ajouter une valeur.Dans la zone Valeur de tag, saisissez le nom à afficher de votre valeur de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans la zone Description de la valeur de tag, saisissez une description de votre valeur de tag.
Cliquez sur Enregistrer.
gcloud
Pour créer une valeur de tag, utilisez la commande gcloud resource-manager tags keys
create
. Vous devez spécifier la clé sous laquelle cette valeur sera créée :
gcloud resource-manager tags values create TAGVALUE_SHORTNAME \ --parent=TAGKEY_NAME
Où :
TAGVALUE_SHORTNAME
est le nom court de la nouvelle valeur de tag. Par exemple,production
.TAGKEY_NAME
correspond à l'ID permanent ou au nom d'espace de noms de la clé de tag parent. Par exemple,tagKeys/4567890123
.
Vous devriez obtenir un résultat semblable à celui-ci :
Creating tag value production in tag key 123456789012/environment... <blocking wait until creation completes> name: tagValues/7890123456 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Pour générer une valeur de tag, créez une représentation JSON de la valeur. Pour en savoir plus sur le format d'une valeur de tag, consultez la documentation de référence sur TagValue.
Ensuite, utilisez la méthode tagValues.create :
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d
Corps JSON de la requête :
{ "parent": TAGKEY_NAME, "shortName": SHORT_NAME, "description": DESCRIPTION, }
Où :
TAGKEY_NAME
est l'ID permanent de la clé de tag parent. Par exemple,tagKeys/4567890123
.SHORT_NAME
est le nom à afficher pour votre valeur de tag. Par exemple,environment
.DESCRIPTION
est une description de la valeur qui ne doit pas dépasser 256 caractères.
Une fois la valeur créée, vous pouvez trouver le nom à afficher unique et lisible, appelé namespacedName
, qui est associé à son espace de noms dans sa ressource parente, ainsi qu'un ID permanent unique, appelé name
.
Récupérer les valeurs de tag
Vous pouvez trouver des informations sur une valeur de tag spécifique en utilisant son ID permanent ou le nom d'espace de noms qui s'affiche lors de sa création.
Console
Pour afficher un tag créé, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient votre tag.
Toutes les balises que vous avez créées pour cette organisation ou ce projet apparaissent dans la liste. Cliquez sur le tag dont vous souhaitez afficher les valeurs de tag.
gcloud
Pour afficher les informations concernant une valeur de tag donnée, utilisez la commande gcloud resource-manager tags values describe
:
gcloud resource-manager tags values describe TAGVALUE_NAME
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag ; par exemple : tagValues/4567890123
ou 123456789012/environment/production
.
Vous devriez obtenir un résultat semblable à celui-ci :
name: tagValues/456789012345 short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012
API
Pour afficher les informations concernant une valeur de tag spécifique, utilisez la méthode tagValues.get :
GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
est l'ID permanent de la valeur de tag, par exemple tagValues/4567890123
.
Pour afficher les informations sur une valeur de tag donnée à l'aide de son nom d'espace de noms, utilisez la méthode tagValues.getNamespaced:
GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}
TAGVALUE_NAMESPACED_NAME
est le nom d'espace de noms de la valeur de tag et est au format parentNamespace/tagKeyShortName/tagValueShortName
.
Lorsque vous référencez des balises à l'aide de Google Cloud CLI, vous pouvez utiliser soit le nom de l'espace de noms, soit l'ID permanent pour les clés et les valeurs de tags. Les appels d'API, à l'exception de getNamespaced
, ne doivent utiliser que l'ID permanent. Pour en savoir plus sur les types d'identifiants utilisés par un tag, consultez la section Définitions et identifiants de tags.
Mettre à jour des tags existants
Vous pouvez modifier un tag existant en mettant à jour la ou les clés qui lui sont associées. Vous pouvez mettre à jour la description d'un tag, mais pas le nom court.
Console
Pour mettre à jour la description d'une clé de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient votre clé de tag.
Cliquez sur
Actions à côté de la clé de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.Cliquez sur
Modifier à côté de Description en haut de l'écran.Mettez à jour la description de la clé de tag.
Cliquez sur Enregistrer.
gcloud
Pour modifier la description d'une clé de tag, exécutez la commande gcloud resource-manager tags keys update
:
gcloud resource-manager tags keys update TAGKEY_NAME \ --description=NEW_DESCRIPTION
Où :
TAGKEY_NAME
est l'ID permanent ou le nom d'espace de noms de la clé à mettre à jour. Par exemple :tagKeys/123456789012
.NEW_DESCRIPTION
est une chaîne de 256 caractères maximum utilisée comme nouvelle description.
Vous devriez obtenir un résultat semblable à celui-ci :
name: tagKeys/123456789012 short_name: environment namespaced_name: 123456789012/environment description: "new description" parent: organizations/123456789012
API
Pour modifier la description d'une clé de tag, appelez la méthode tagKeys.patch :
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d
Corps JSON de la requête :
{ "description": DESCRIPTION, }
Où :
TAGKEY_NAME
est l'ID permanent de la clé de tag. Par exemple,tagKeys/123456789012
.DESCRIPTION
est une description de la clé qui ne doit pas dépasser 256 caractères.
Vous pouvez également modifier la description des valeurs de tags.
Console
Pour mettre à jour la description d'une valeur de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient la valeur de votre tag.
Cliquez sur
Actions à côté de la clé de tag de la valeur que vous souhaitez mettre à jour, puis sur Afficher les détails.Cliquez sur
Actions à côté de la valeur de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.Cliquez sur
Modifier à côté de Description en haut de l'écran.Mettez à jour la description de la valeur de tag.
Cliquez sur Enregistrer.
gcloud
Pour modifier la description d'une valeur de tag, exécutez la commande gcloud resource-manager tags values update
:
gcloud resource-manager tags values update TAGVALUE_NAME \ --description="NEW_DESCRIPTION"
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag à mettre à jour. Par exemple,tagValues/4567890123
.NEW_DESCRIPTION
est une chaîne de 256 caractères maximum utilisée comme nouvelle description.
Vous devriez obtenir un résultat semblable à celui-ci :
short_name: production namespaced_name: 123456789012/environment/production parent: tagKeys/123456789012 description: "new description"
API
Pour modifier la description d'une clé de tag, exécutez la commande tagValues.patch :
PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d
Corps JSON de la requête :
{ "description": DESCRIPTION, }
Où :
TAGVALUE_NAME
est l'ID permanent de la valeur du tag. Par exemple,tagValues/4567890123
.DESCRIPTION
est une description de la clé qui ne doit pas dépasser 256 caractères.
Répertorier les clés de tag
Vous pouvez répertorier toutes les clés de tags associées à une organisation ou une ressource de projet particulière (Aperçu) à l'aide de la console Google Cloud, de gcloud CLI ou d'un appel à l'API.
Console
Pour afficher tous les tags, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet contenant vos tags.
Toutes les balises que vous avez créées pour cette organisation ou ce projet apparaissent dans la liste.
gcloud
Pour renvoyer la liste de toutes les clés de tag créées sous une organisation ou une ressource de projet, utilisez la commande gcloud resource-manager tags keys list
:
gcloud resource-manager tags keys list --parent=RESOURCE_ID
RESOURCE_ID
est l'ID de la ressource d'organisation ou de projet pour laquelle vous souhaitez rechercher les clés de tag associées.
- Un ID d'organisation ou de projet doit être fourni au format
organizations/ORGANIZATION_ID
ouprojects/PROJECT_NAME
. Exemple:organizations/123456789012
etprojects/test-project123
. Pour savoir comment obtenir l'ID de votre organisation, consultez Créer et gérer des organisations. Pour savoir comment obtenir cet ID, consultez Créer et gérer des projets. Vous devriez obtenir un résultat semblable à celui-ci :
NAME SHORT_NAME DESCRIPTION tagKeys/123456789012 environment description of tag key
API
Pour obtenir la liste de toutes les clés de tag pour une ressource donnée, utilisez la méthode tagKeys.list, avec la ressource parente spécifiée dans la requête :
GET https://cloudresourcemanager.googleapis.com/v3/tagKeys { "parent": "RESOURCE_ID" }
RESOURCE_ID
est l'ID de la ressource d'organisation ou de projet pour laquelle vous souhaitez rechercher les clés de tag associées ; par exemple : organizations/123456789012
et projects/test-project123
.
Répertorier les valeurs de tag
Vous pouvez répertorier toutes les valeurs de tag associées à une clé de tag spécifique à l'aide de la console Google Cloud, de gcloud CLI ou d'un appel à l'API.
Console
Pour afficher toutes les valeurs de tag associées à une clé de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient votre clé de tag.
Cliquez sur
Actions à côté de la clé de tag contenant les valeurs de tag que vous souhaitez rechercher, puis sur Afficher les détails.Toutes les valeurs de tag que vous avez créées sous cette clé de tag s'affichent dans la liste.
gcloud
Pour obtenir la liste de toutes les valeurs de tag associées à une clé, exécutez la commande gcloud resource-manager tags values list
:
gcloud resource-manager tags values list --parent=TAGKEY_NAME
TAGKEY_NAME
est l'ID permanent ou le nom d'espace de noms de la clé de tag pour laquelle vous souhaitez rechercher les valeurs associées (par exemple, tagKeys/123456789012
ou 1234567/environment
).
Vous devriez obtenir un résultat semblable à celui-ci :
NAME SHORT_NAME tagValues/123456789012 production
API
Pour obtenir la liste de toutes les valeurs de tag associées à une clé, utilisez la méthode tagValues.list avec la clé de tag parent spécifiée dans la requête :
GET https://cloudresourcemanager.googleapis.com/v3/tagValues { "parent": "TAGKEY_NAME" }
TAGKEY_NAME
est le nom de l'ID permanent de la clé de tag (par exemple, tagKeys/123456789012
).
Gérer l'accès aux tags
Vous pouvez accorder aux utilisateurs un accès spécifique pour gérer les tags et associer leurs valeurs aux ressources à l'aide de la console Google Cloud. Consultez la section Autorisations requises pour obtenir la liste des rôles liés aux tags et des autorisations qu'ils contiennent.
Clés de tag
Pour gérer l'accès des utilisateurs à une clé de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient la clé de tag pour laquelle vous souhaitez gérer l'accès.
Cochez la case à côté du tag dont vous souhaitez gérer l'accès.
Cliquez sur
Gérer l'accès.Pour ajouter un rôle à un compte principal, cliquez sur
Ajouter un compte principal.Dans la zone de texte Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal auquel vous souhaitez attribuer un nouveau rôle.
Sélectionnez un rôle dans le menu déroulant Sélectionner un rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur
Ajouter un autre rôle.Si vous souhaitez envoyer une notification, cochez la case en regard de Envoyer un e-mail de notification.
Cliquez sur Enregistrer.
Pour modifier le rôle d'un compte principal, cliquez sur
Modifier à côté du compte principal que vous souhaitez modifier.Vous pouvez modifier les rôles attribués aux comptes principaux pour ce tag en cliquant sur le menu déroulant Rôle et en choisissant un nouveau rôle.
Si vous souhaitez ajouter d'autres rôles, cliquez sur
Ajouter un autre rôle.Pour supprimer un rôle dont bénéficie ce compte principal sur ce tag, cliquez sur
Supprimer le rôle à côté du rôle que vous souhaitez supprimer.Cliquez sur Enregistrer.
Pour supprimer un rôle de compte principal, cliquez sur
Supprimer le rôle à côté du rôle que vous souhaitez supprimer.- Cliquez sur Supprimer.
Valeurs des tags
Pour gérer l'accès des utilisateurs à une valeur de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient la clé de tag pour laquelle vous souhaitez gérer l'accès.
Cliquez sur
Actions à côté de la clé de tag de la valeur dont vous souhaitez gérer l'accès, puis sur Afficher les détails.Cliquez sur
Gérer l'accès.Pour ajouter un rôle à un compte principal, cliquez sur
Ajouter un compte principal.Dans la zone de texte Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal auquel vous souhaitez attribuer un nouveau rôle.
Sélectionnez un rôle dans le menu déroulant Sélectionner un rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur
Ajouter un autre rôle.Si vous souhaitez envoyer une notification, cochez la case en regard de Envoyer un e-mail de notification.
Cliquez sur Enregistrer.
Pour modifier le rôle d'un compte principal, cliquez sur
Modifier à côté du compte principal que vous souhaitez modifier.Vous pouvez modifier les rôles attribués aux comptes principaux pour ce tag en cliquant sur le menu déroulant Rôle et en choisissant un nouveau rôle.
Si vous souhaitez ajouter d'autres rôles, cliquez sur
Ajouter un autre rôle.Pour supprimer un rôle dont bénéficie ce compte principal sur ce tag, cliquez sur
Supprimer le rôle à côté du rôle que vous souhaitez supprimer.Cliquez sur Enregistrer.
Pour supprimer un rôle de compte principal, cliquez sur
Supprimer le rôle à côté du rôle que vous souhaitez supprimer.- Cliquez sur Supprimer.
Associer des tags aux ressources
Une fois qu'un tag est créé et qu'un accès approprié est fourni pour le tag et la ressource, le tag peut être associé à une ressource Google Cloud sous la forme d'une paire clé/valeur. Une seule valeur peut être associée à une ressource pour une clé donnée. Par exemple, si la valeur environment: development
est associée, environment: production
ou environment: test
ne peuvent pas être associées.
Chaque ressource peut être associée à un maximum de 50 paires clé/valeur.
Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Google Cloud.
Console
Pour associer un tag à une organisation, un dossier ou une ressource de projet, procédez comme suit:
Ouvrez la page Gérer les ressources dans la console Google Cloud.
Cliquez sur l'organisation, le dossier ou le projet auquel vous souhaitez associer un tag.
Cliquez sur
Balises.Dans le panneau Tags, cliquez sur Sélectionner un champ d'application.
Sélectionnez l'entreprise qui contient vos balises, puis cliquez sur Ouvrir.
Dans le panneau Tags, sélectionnez Ajouter un tag.
Dans le champ Clé, sélectionnez dans la liste la clé correspondant au tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
Dans le champ Valeur, sélectionnez dans la liste la valeur du tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
Si vous souhaitez associer d'autres tags, cliquez sur
Ajouter un tag, puis sélectionnez la clé et la valeur pour chacun d'eux.Cliquez sur Enregistrer.
Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour associer la balise.
Une notification vous confirme que vos balises sont à jour. Les nouveaux tags apparaissent sous la colonne Tags de la page Gérer les ressources.
gcloud
Pour associer un tag à une ressource, vous devez créer une ressource de liaison de tag à l'aide de la commande gcloud resource-manager tags bindings create
:
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID --location=LOCATION
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag à associer ; par exemple :tagValues/4567890123
ou12345678/environment/production
.RESOURCE_ID
est l'ID complet de la ressource, y compris le nom de domaine de l'API pour identifier le type de ressource (//cloudresourcemanager.googleapis.com/
). Par exemple, pour associer un tag àprojects/7890123456
, l'ID complet est ://cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
est l'emplacement de votre ressource. Si vous associez un tag à une ressource globale, par exemple un dossier ou un projet, vous devez omettre cette option. Si vous associez un tag à une ressource régionale telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Par exemple,us-central1
.
API
Pour associer un tag à une ressource, vous devez d'abord créer une représentation JSON d'une liaison de tag incluant l'ID permanent ou le nom d'espace de noms de la valeur du tag et l'ID permanent de la ressource. Pour en savoir plus sur le format d'une liaison de balises, consultez la documentation de référence de TagBinding.
Si vous associez le tag à une ressource globale telle qu'une organisation, utilisez la méthode tagBindings.create avec le nom d'hôte global du point de terminaison :
POST https://cloudresourcemanager.googleapis.com/v3/tagBindings
Si vous associez le tag à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.create
avec le point de terminaison régional où se trouve votre ressource.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings
Corps JSON de la requête :
{ "parent": RESOURCE_ID, "tagValue": TAGVALUE_NAME, }
OU
{ "parent": RESOURCE_ID, "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME, }
Où :
RESOURCE_ID
est l'ID complet de la ressource, y compris le nom de domaine de l'API pour identifier le type de ressource (//cloudresourcemanager.googleapis.com/
). Par exemple, pour associer un tag àprojects/7890123456
, l'ID complet est ://cloudresourcemanager.googleapis.com/projects/7890123456
.TAGVALUE_NAME
est l'ID permanent de la valeur de tag associée. Par exemple,tagValues/4567890123
.TAGVALUE_NAMESPACED_NAME
est le nom d'espace de noms de la valeur de tag associée et au format suivant :parentNamespace/tagKeyShortName/tagValueShortName
.
Répertorier tous les tags associés à une ressource
Vous pouvez obtenir la liste de tous les tags associés à une ressource, pour les tags hérités ou directement.
Console
Pour afficher tous les tags associés à une ressource ou hérités par celle-ci, procédez comme suit:
Ouvrez la page Gérer les ressources dans la console Google Cloud.
Recherchez votre organisation, votre dossier ou votre projet dans la liste des ressources.
Les tags associés à la ressource apparaissent dans la colonne Tags. Les tags hérités sont marqués comme
Hérités.
gcloud
Pour obtenir la liste des liaisons de tags directement associées à une ressource, utilisez la commande gcloud resource-manager tags bindings list
. Si vous ajoutez l'option --effective
, vous obtiendrez également une liste de tags hérités par cette ressource.
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
Où :
RESOURCE_ID
est l'ID complet de la ressource. Par exemple,//cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
est l'emplacement de votre ressource. Si vous répertoriez les tags associés à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous associez un tag à une ressource régionale telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Par exemple,us-central1
.
Vous devriez obtenir un résultat semblable à celui-ci :
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Si vous ajoutez l'option --effective
à la commande tags bindings list
, vous renvoyez également une liste de tous les tags hérités par cette ressource. Vous devriez obtenir une réponse semblable à celle-ci:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
Si toutes les balises évaluées sur une ressource sont directement associées, le champ inherited
est "false" et est omis.
API
Pour obtenir la liste des liaisons de tags directement associées à une ressource globale telle qu'une organisation, utilisez la méthode tagBindings.list, en spécifiant la ressource parente dans la requête:
GET https://cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Si vous souhaitez répertorier les liaisons de tags associées à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.list
avec le point de terminaison régional où se trouve votre ressource.
GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "RESOURCE_ID" }
Où :
RESOURCE_ID
est l'ID complet de la ressource. Par exemple,//cloudresourcemanager.googleapis.com/projects/7890123456
.LOCATION
est le point de terminaison régional de votre ressource. Par exemple,us-central1
.
Si la requête aboutit, le corps de la réponse doit inclure une liste d'objets TagBinding
. Exemple :
name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456 tagValue: tagValues/567890123456 resource: //cloudresourcemanager.googleapis.com/projects/7890123456
Dissocier un tag d'une ressource
Vous pouvez dissocier un tag d'une ressource en supprimant la ressource de liaison de tag.
Console
Pour dissocier un tag d'une organisation, d'un dossier ou d'une ressource de projet, procédez comme suit:
Ouvrez la page Gérer les ressources dans la console Google Cloud.
Cliquez sur l'organisation, le dossier ou le projet dont vous souhaitez dissocier un tag.
Cliquez sur
Balises.Dans le panneau Tags, à côté du tag que vous souhaitez dissocier, cliquez sur
Supprimer l'élément.Cliquez sur Enregistrer.
Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour dissocier le tag.
Une notification vous confirme que vos balises sont à jour. La liste mise à jour des tags apparaît dans la colonne Tags de la page Gérer les ressources.
gcloud
Pour supprimer une liaison de tag, exécutez la commande gcloud resource-manager tags bindings delete
:
gcloud resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag associée. Par exemple,tagValues/567890123456
.RESOURCE_ID
est l'ID complet de la ressource. Exemple ://cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION
est l'emplacement de votre ressource. Si vous supprimez une liaison de tag associée à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous supprimez une liaison de tag associée à une ressource régionale, telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Exemple:us-central1
.
API
Pour supprimer une liaison de tag associée à une ressource globale, telle qu'une organisation, utilisez la méthode tagBindings.delete :
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Si vous souhaitez supprimer une liaison de tag associée à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.delete
avec le point de terminaison régional où se trouve votre ressource.
DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}
Où :
TAGBINDINGS_NAME
est l'ID permanent de la liaison de tag. Par exemple,tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
LOCATION
est le point de terminaison régional de votre ressource. Par exemple,us-central1
.
Protéger les valeurs de tags à l'aide des balises
Une obligation de conservation des tags est une ressource que vous pouvez créer pour éviter la suppression d'une valeur de tag. Si une valeur de tag est associée à une obligation de conservation des tags, les utilisateurs ne peuvent pas la supprimer, sauf si celle-ci est d'abord supprimée.
Créer des obligations de conservation pour les tags
Vous pouvez créer manuellement une attente à l'aide de gcloud CLI ou de l'API.
gcloud
Pour créer une attente de balise, utilisez la commande gcloud CLI gcloud resource-manager tags holds create
:
gcloud resource-manager tags holds create TAGVALUE_NAME \ --holder=HOLDER_NAME \ --location=LOCATION
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag pour laquelle cette obligation de conservation des tags doit être créée. Exemple:tagValues/567890123456
.HOLDER_NAME
est le nom de la ressource à laquelle la valeur de tag est associée. Il doit comporter moins de 200 caractères.LOCATION
est l'emplacement de votre ressource. Si vous créez une préservation de tags pour une ressource globale, telle qu'un projet Google Cloud, vous devez omettre cette option. Si vous créez une préservation de tags pour une ressource régionale ou zonale, vous devez spécifier l'emplacement (par exemple,us-central1
).
API
Pour créer une obligation de conservation de balise pour une valeur de tag, vous devez d'abord créer une représentation JSON de l'obligation de conservation associée à une balise. Cette référence JSON doit inclure une référence à la ressource à laquelle la valeur de tag est associée. Pour en savoir plus sur le format de l'obligation de conservation des balises, consultez la documentation de référence sur TagHolds
.
Si vous créez une obligation de conservation des tags pour une valeur de tag associée à une ressource globale telle qu'une organisation, utilisez la méthode tagHolds.create
avec le nom d'hôte du point de terminaison global:
POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds
Si vous créez une préservation de tags pour une valeur de tag associée à une ressource régionale, telle qu'une instance Compute Engine, utilisez la méthode tagHolds.create
avec le point de terminaison régional où se trouve votre ressource.
POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds
Corps JSON de la requête :
{ "holder":HOLDER_NAME, "origin":ORIGIN_NAME }
Où :
TAGVALUE_NAME
est l'ID permanent de la valeur de tag associée. Par exemple,tagValues/4567890123
.HOLDER_NAME
est le nom de la ressource à laquelle la valeur de tag est associée. Il doit comporter moins de 200 caractères.ORIGIN_NAME
est une chaîne facultative représentant l'origine de cette requête. Ce champ doit inclure des informations compréhensibles par l'humain pour distinguer les origines les unes des autres. Il doit comporter moins de 200 caractères.
Fiches contenant des balises de fiche
Vous pouvez répertorier toutes les obligations de conservation de balises sous une valeur de tag spécifique à l'aide de gcloud CLI ou de l'API.
gcloud
Pour répertorier les obligations de conservation de balises qui se trouvent sous une valeur de tag, utilisez la commande gcloud CLI gcloud resource-manager tags holds list
:
gcloud resource-manager tags holds list TAGVALUE_NAME \ --location=LOCATION
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag ; par exemple:tagValues/567890123456
.LOCATION
est l'emplacement de votre ressource. Si vous recherchez des obligations de conservation créées à l'échelle mondiale pour les balises, vous devez omettre cette option. Si vous recherchez des obligations de conservation sous une ressource régionale ou zonale, vous devez spécifier l'emplacement. Par exemple:us-central1
.
API
Pour obtenir la liste des obligations de conservation de balises placées sous une valeur de tag, utilisez la méthode tagHolds
GET, en spécifiant la valeur du tag parent dans l'URL:
GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds
Où :
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag ; par exemple:tagValues/567890123456
.
Suppression des obligations de conservation de la balise
Vous pouvez supprimer les obligations de conservation créées pour une valeur de tag spécifique à l'aide de gcloud CLI ou de l'API.
Certaines ressources ajoutent des obligations de conservation à une valeur de tag associée à cette ressource. Si vous associez un tag à une telle ressource, celle-ci crée une obligation de conservation des tags qui empêche les utilisateurs de supprimer la valeur du tag associé.
Vous pouvez supprimer une obligation de conservation des balises à l'aide de gcloud CLI ou de l'API.
gcloud
Pour supprimer une obligation de conservation des balises, utilisez la commande gcloud CLI gcloud resource-manager tags holds delete
:
gcloud resource-manager tags holds delete TAGHOLD_NAME \ --location=LOCATION
Où :
TAGHOLD_NAME
est le nom d'espace de noms de l'obligation de conservation des tags, que vous pouvez trouver à l'aide de la commandelist
. Par exemple,tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.LOCATION
est l'emplacement de votre ressource. Si vous supprimez une obligation de conservation de tags située sous une valeur de tag associée à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous supprimez une obligation de conservation de balise créée à partir d'un processus régional ou zonal, vous devez spécifier l'emplacement (par exemple,us-central1
).
API
Pour supprimer une valeur de tag, utilisez la méthode tagHolds.delete:
DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}
Où :
TAGVALUE_NAME
est l'ID permanent de la valeur de tag à laquelle le blocage de tag à supprimer est associé. Exemple :tagValues/567890123456
.TAGHOLD_NAME
est le nom d'espace de noms de la règle de conservation que vous souhaitez supprimer. Vous pouvez le trouver à l'aide de la commandelist
. Par exemple,tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37
.
Supprimer des tags
Pour supprimer un tag, vous devez supprimer chacun de ses composants. Tout d'abord, vous devez supprimer toutes les liaisons de tags qui associent ce tag aux ressources de votre hiérarchie. Pour obtenir des instructions sur la suppression des liaisons de tag, consultez la section Dissocier un tag d'une ressource.
Si le tag est utilisé par une autre ressource ou qu'un utilisateur a créé manuellement une obligation de conservation de tag, vous devrez peut-être supprimer les blocages de tag ainsi que les liaisons de tags avant de pouvoir supprimer les valeurs de tag. Pour en savoir plus, consultez la section Supprimer des obligations de conservation pour les balises.
Une fois qu'il n'y a plus de liaisons de tags pour les valeurs de tag que vous souhaitez supprimer, vous pouvez supprimer les valeurs.
Console
Pour supprimer une valeur de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient la valeur de votre tag.
Cliquez sur
Actions à côté de la clé de tag contenant la valeur de tag que vous souhaitez supprimer, puis sur Afficher les détails.Dans la liste des valeurs de tag associées à cette clé de tag, cliquez sur la valeur de tag que vous souhaitez supprimer.
Cochez la case à côté de la valeur de tag que vous souhaitez supprimer, puis cliquez sur
Supprimer les valeurs.Cliquez sur Confirmer.
gcloud
Pour supprimer une valeur de tag, exécutez la commande gcloud resource-manager tag values delete
:
gcloud resource-manager tags values delete TAGVALUE_NAME
TAGVALUE_NAME
est l'ID permanent ou le nom d'espace de noms de la valeur de tag que vous souhaitez supprimer. Par exemple : tagValues/567890123456
.
API
Pour supprimer une valeur de tag, utilisez la méthode tagValues.delete :
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}
TAGVALUE_NAME
est l'ID permanent de la valeur de tag que vous souhaitez supprimer. Par exemple: tagValues/567890123456
.
Une fois toutes les valeurs de tag associées à une clé supprimées, vous pouvez supprimer la clé.
Console
Pour supprimer une clé de tag, procédez comme suit :
Ouvrez la page Tags dans la console Google Cloud.
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet (Aperçu) qui contient votre clé de tag.
Cochez la case à côté de la clé de tag que vous souhaitez supprimer.
Cliquez sur
Supprimer les tags.Cliquez sur Confirmer.
gcloud
Pour supprimer une clé de tag, exécutez la commande gcloud resource-manager tags keys delete
:
gcloud resource-manager tags keys delete TAGKEYS_NAME
TAGKEYS_NAME
est l'ID permanent ou le nom d'espace de noms de la clé de tag que vous souhaitez supprimer. Par exemple : tagKeys/123456789012
.
API
Pour supprimer une clé de tag, utilisez la méthode tagKeys.delete :
DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}
TAGKEYS_NAME
est l'ID permanent de la clé de tag que vous souhaitez supprimer. Par exemple: tagKeys/123456789012
.
Règles et tags
Vous pouvez utiliser des tags avec des règles compatibles pour appliquer ces règles de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle.
Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique.
Conditions et tags Identity and Access Management
Vous pouvez utiliser des tags et des conditions de gestion de l'authentification et des accès pour attribuer de manière conditionnelle des rôles aux utilisateurs de votre hiérarchie. Ce processus rend les ressources inaccessibles aux utilisateurs jusqu'à ce qu'un tag associé à une stratégie conditionnelle soit associé. Par exemple, vous pouvez exiger que vos développeurs attribuent un centre de coûts à une ressource avant de pouvoir l'utiliser.
Créez un tag que vous pourrez utiliser pour associer des ressources à un élément permettant d'identifier si les règles de gouvernance appropriées leur ont été appliquées. Par exemple, vous pouvez créer un tag avec la clé
costCenter
et les valeurs0001
,0002
, etc. afin d'associer les ressources aux différents centres de coûts de votre entreprise.Créez un rôle personnalisé au niveau de l'organisation qui permet aux utilisateurs d'ajouter des tags aux ressources sur lesquelles ils sont associés. Ces autorisations sont alors accordées aux comptes principaux spécifiés n'importe où dans votre organisation.
Par exemple, un rôle personnalisé qui permet aux utilisateurs d'ajouter des tags à des projets inclut les autorisations suivantes :
resourcemanager.projects.get
resourcemanager.hierarchyNodes.create
resourcemanager.hierarchyNodes.delete
resourcemanager.hierarchyNodes.list
Lorsque vous créez des projets pour vos développeurs, attribuez-leur ce rôle personnalisé sur le projet.
Attribuez à vos développeurs tous les autres rôles incluant les autorisations nécessaires pour effectuer les actions souhaitées dans ce projet. Lorsque vous attribuez des rôles aux utilisateurs sur le projet, ceux-ci doivent toujours être accordés de manière conditionnelle pour exiger l'association du tag
costCenter
.resource.hasTagKey('123456789012/costCenter')
Désormais, chaque fois qu'un projet est créé, vos développeurs doivent lui associer le tag costCenter
avant de pouvoir effectuer les actions autorisées par la stratégie IAM dans le projet.
Services compatibles
Pour obtenir la liste des services compatibles avec les balises, consultez la section Services compatibles avec les balises.
Résoudre les problèmes connus
Échec de l'expression de condition
Si vous exécutez l'une des commandes add-iam-policy-binding
à l'aide de Google Cloud CLI et que la stratégie IAM de cette ressource contient des liaisons de rôles conditionnelles pour ce rôle, l'outil gcloud CLI vous invite à choisir l'une des expressions de condition disponibles dans la stratégie. Si vous choisissez une expression de condition contenant une virgule, la commande échoue. Pour contourner ce problème, utilisez l'option --condition
afin de spécifier une expression de condition sur la ligne de commande.