Cette page a été traduite par l'API Cloud Translation.

Créer et gérer des tags

Ce guide explique comment créer et gérer des tags. Un tag est une paire clé-valeur pouvant être associés à une ressource Google Cloud. Vous pouvez utiliser des tags pour d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource compatible possède un un tag spécifique.

Avant de commencer

Pour en savoir plus sur les tags et leur fonctionnement, consultez la page Présentation des tags.

Autorisations requises

Les autorisations dont vous avez besoin dépendent de l'action que vous devez effectuer.

Pour obtenir ces autorisations, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources.

Afficher les tags

Pour afficher les définitions de tag et les tags associés aux ressources, vous devez disposer du rôle Lecteur de tags (roles/resourcemanager.tagViewer) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings pour le type de ressource approprié. Par exemple, compute.instances.listTagBindings pour afficher les tags associés aux instances Compute Engine.
listEffectiveTags

compute.instances.listEffectiveTags

Pour afficher les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Administrer les tags

Pour créer, mettre à jour et supprimer des définitions de tag, vous devez disposer du rôle Administrateur de tags (roles/resourcemanager.tagAdmin) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy

Pour administrer les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Gérer les tags sur les ressources

Pour ajouter et supprimer des tags associés à des ressources, vous devez disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser) ou d'un autre rôle doté d'autorisations équivalentes sur la valeur de tag et sur la ressource à laquelle vous associez la valeur de tag. Le rôle Utilisateur de tags inclut les autorisations suivantes :

Autorisations requises

Autorisations requises pour la ressource à laquelle vous associez la valeur de tag

Autorisation createTagBinding spécifique à la ressource, telle que compute.instances.createTagBinding pour les instances Compute Engine
Autorisation deleteTagBinding spécifique à la ressource, telle que compute.instances.deleteTagBinding pour les instances Compute Engine

Autorisations requises pour la valeur du tag :

resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete

Autorisations vous permettant d'afficher les projets et les définitions de tags :

resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get

Créer et définir un tag

Les tags sont composés d'une paire clé-valeur et sont associés à une ressource dans votre hiérarchie Google Cloud. Pour créer un tag, vous devez d'abord créer une clé de tag décrivant le tag que vous créez. Par exemple, vous pouvez spécifier environnements de production, de test et de développement pour les ressources de votre ressource en créant une clé nommée environment.

Vous pouvez ensuite créer les différentes valeurs possibles pour la clé. Si vous avez créé une clé de tag nommée environment, vous pouvez spécifier qu'il existe trois environnements potentiels et créer une valeur pour chacun d'eux : production, development, et test.

Vous pouvez créer jusqu'à 1 000 clés dans une organisation ou un projet donnés, et il peut y avoir 1 000 valeurs au total pour chaque clé.

Enfin, vous pouvez associer ces valeurs aux ressources de votre hiérarchie, auquel cas elles conservent leur association de paire clé-valeur. Par exemple, vous pouvez associer test à plusieurs dossiers de l'environnement de test au sein de votre organisation, et chacun d'entre eux portera la paire clé-valeur environment: test.

Créer un tag

Pour commencer, vous devez créer une clé de tag.

L'élément shortName de la clé de tag ne doit pas comporter plus de 256 caractères. La le jeu de caractères autorisé pour shortName inclut des caractères Unicode encodés en UTF-8 caractères à l'exception des guillemets simples ('), doubles ("), barres obliques inverses (\) et barres obliques (/).

Une fois le shortName créé, il ne peut plus être modifié. Il doit être est unique dans le même espace de noms.

Console

Pour créer une clé de tag, procédez comme suit:

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet sous lesquels vous souhaitez créer une clé de balise.
Cliquez sur Créer.
Dans le champ Clé de tag, saisissez le nom à afficher de votre clé de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans la zone Description de la clé de tag, saisissez une description de votre clé de tag.
Si vous souhaitez ajouter des valeurs de tag à cette clé, cliquez sur Ajouter une valeur pour chaque valeur de tag que vous souhaitez créer.
Dans la zone Valeur de tag, saisissez le nom à afficher de votre valeur de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans la zone Description de la valeur de tag, saisissez une description de votre valeur de tag.
Lorsque vous avez terminé, cliquez sur Créer une clé de balise.

gcloud

Pour créer une clé de tag, utilisez l'gcloud resource-manager tags keys create commande:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Où :

SHORT_NAME est le nom à afficher pour votre clé de tag, par exemple : environment.
RESOURCE_ID est l'ID de l'organisation ou de la ressource de projet parente de cette clé de balise. Par exemple : organizations/123456789012, projects/test-project123 ou projects/234567890123. Pour savoir comment obtenir votre ID d'organisation, consultez la page Créer et gérer des organisations. Pour savoir comment obtenir l'ID de votre projet, consultez Créer et gérer des projets

Vous devriez obtenir un résultat semblable à celui-ci :

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Terraform

Utilisez la ressource google_tags_tag_key.

Avant de créer des clés de tag à l'aide de Terraform, activez la classe API Cloud Resource Manager :

L'exemple suivant crée des clés de tag nommées env et department:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department"
}

Pour appliquer votre configuration Terraform dans un projet Google Cloud, suivez les procédures des sections suivantes.

Préparer Cloud Shell

Lancez Cloud Shell.
Définissez le projet Google Cloud par défaut dans lequel vous souhaitez appliquer vos configurations Terraform.

Vous n'avez besoin d'exécuter cette commande qu'une seule fois par projet et vous pouvez l'exécuter dans n'importe quel répertoire.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Les variables d'environnement sont remplacées si vous définissez des valeurs explicites dans le fichier de configuration Terraform.

Préparer le répertoire

Chaque fichier de configuration Terraform doit avoir son propre répertoire (également appelé module racine).

Dans Cloud Shell, créez un répertoire et un nouveau fichier dans ce répertoire. Le nom du fichier doit comporter l'extension .tf, par exemple main.tf. Dans ce tutoriel, le fichier est appelé main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Si vous suivez un tutoriel, vous pouvez copier l'exemple de code dans chaque section ou étape.

Copiez l'exemple de code dans le fichier main.tf que vous venez de créer.

Vous pouvez également copier le code depuis GitHub. Cela est recommandé lorsque l'extrait Terraform fait partie d'une solution de bout en bout.
Examinez et modifiez les exemples de paramètres à appliquer à votre environnement.
Enregistrez les modifications.
Initialisez Terraform. Cette opération n'est à effectuer qu'une seule fois par répertoire.
```
terraform init
```
Vous pouvez également utiliser la dernière version du fournisseur Google en incluant l'option -upgrade :
```
terraform init -upgrade
```

Appliquer les modifications

Examinez la configuration et vérifiez que les ressources que Terraform va créer ou mettre à jour correspondent à vos attentes :
```
terraform plan
```
Corrigez les modifications de la configuration si nécessaire.
Appliquez la configuration Terraform en exécutant la commande suivante et en saisissant yes lorsque vous y êtes invité :
```
terraform apply
```
Attendez que Terraform affiche le message "Apply completed!" (Application terminée).
Ouvrez votre projet Google Cloud pour afficher les résultats. Dans la console Google Cloud, accédez à vos ressources dans l'interface utilisateur pour vous assurer que Terraform les a créées ou mises à jour.

API

Pour créer une clé de tag, créez une représentation JSON de la clé. Pour en savoir plus sur le format d'une clé de tag, consultez la documentation de référence sur TagKey.

Exécutez ensuite la méthode tagKeys.create :

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Corps JSON de la requête :

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Où :

SHORT_NAME est le nom à afficher pour votre clé de tag, par exemple : environment.
RESOURCE_ID est l'ID de l'organisation ou de la ressource de projet parente de cette clé de balise. Par exemple : organizations/123456789012, projects/test-project123 ou projects/234567890123. Pour savoir comment obtenir votre ID d'organisation, consultez la page Créer et gérer des organisations. Pour savoir comment obtenir votre ID de projet, consultez la section Créer et gérer des projets.
DESCRIPTION est une description de la clé qui ne doit pas dépasser 256 caractères.

Une fois la clé créée, vous trouverez l'affichage intelligible unique. nommé namespacedName, dont l'espace de noms est inclus dans son parent et d'un ID permanent unique au niveau mondial appelé name.

Afficher une clé de tag

Vous pouvez trouver des informations sur une clé de tag spécifique en utilisant l'ID permanent ou le nom d'espace de noms qui s'affiche lors de sa création.

Console

Pour afficher un tag créé, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application situé en haut de la page, sélectionnez l'organisation ou le projet qui contient votre balise.
Tous les tags de l'organisation ou du projet sélectionnés apparaissent dans la liste. Cliquez sur le tag dont vous souhaitez afficher la clé de tag.

gcloud

Pour afficher les informations concernant une clé de tag spécifique, exécutez la commande gcloud resource-manager tags keys describe :

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME correspond à l'ID permanent ou au nom d'espace de noms de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple, tagKeys/123456789012 ou project-id/environment.

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Pour afficher les informations concernant une clé de tag spécifique, utilisez la méthode tagKeys.get :

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME correspond à l'ID permanent de la clé de tag pour laquelle vous souhaitez afficher des informations. Par exemple, tagKeys/123456789012.

Afficher les informations relatives à une clé de tag donnée en utilisant son espace de noms utilisez la commande Méthode tagKeys.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME est le nom d'espace de noms de la clé de balise et respecte le format parentNamespace/tagKeyShortName.

Ajouter des valeurs de tag

Une fois que vous avez créé une clé de tag, vous pouvez ajouter des valeurs acceptées pour cette clé.

La valeur shortName de votre balise doit répondre aux exigences suivantes :

Un shortName ne peut pas comporter plus de 256 caractères.
Un élément shortName doit commencer par un caractère alphanumérique.
Un élément shortName peut contenir des caractères Unicode encodés en UTF-8, à l'exception de caractères uniques guillemets ('), guillemets doubles ("), barres obliques inverses (\) et des barres obliques (/).
Une fois créé, un shortName ne peut plus être modifié et doit être unique au sein de l'espace de noms.

Console

Pour créer une valeur de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez organisation ou projet sous lequel vous souhaitez créer une valeur de tag.
Dans la liste des tags, cliquez sur le tag auquel vous souhaitez ajouter une valeur.
Cliquez sur Ajouter une valeur.
Dans la zone Valeur de tag, saisissez le nom à afficher de votre valeur de tag. Ce nom sera intégré au nom de votre tag dans l'espace de noms.
Dans la zone Description de la valeur de tag, saisissez une description de votre valeur de tag.
Cliquez sur Enregistrer.

gcloud

Pour créer une valeur de tag, utilisez la commande gcloud resource-manager tags values create. Vous devez spécifier la clé sous laquelle cette valeur sera créée :

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Où :

TAGVALUE_SHORTNAME est le nom court de la nouvelle valeur de tag. Par exemple, production.
TAGKEY_NAME correspond à l'ID permanent ou au nom d'espace de noms de la clé de tag parent. Par exemple, tagKeys/4567890123.

Vous devriez obtenir un résultat semblable à celui-ci :

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

Terraform

Utilisez la ressource google_tags_tag_value.

Avant de créer des valeurs de tag à l'aide de Terraform, activez la classe API Cloud Resource Manager :

L'exemple suivant crée des valeurs de balise nommées prod et sales :

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env1"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department1"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

Pour appliquer votre configuration Terraform dans un projet Google Cloud, suivez les procédures des sections suivantes.

Préparer Cloud Shell

Lancez Cloud Shell.
Définissez le projet Google Cloud par défaut dans lequel vous souhaitez appliquer vos configurations Terraform.

Vous n'avez besoin d'exécuter cette commande qu'une seule fois par projet et vous pouvez l'exécuter dans n'importe quel répertoire.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Les variables d'environnement sont remplacées si vous définissez des valeurs explicites dans le fichier de configuration Terraform.

Préparer le répertoire

Chaque fichier de configuration Terraform doit avoir son propre répertoire (également appelé module racine).

Dans Cloud Shell, créez un répertoire et un nouveau fichier dans ce répertoire. Le nom du fichier doit comporter l'extension .tf, par exemple main.tf. Dans ce tutoriel, le fichier est appelé main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Si vous suivez un tutoriel, vous pouvez copier l'exemple de code dans chaque section ou étape.

Copiez l'exemple de code dans le fichier main.tf que vous venez de créer.

Vous pouvez également copier le code depuis GitHub. Cela est recommandé lorsque l'extrait Terraform fait partie d'une solution de bout en bout.
Examinez et modifiez les exemples de paramètres à appliquer à votre environnement.
Enregistrez les modifications.
Initialisez Terraform. Cette opération n'est à effectuer qu'une seule fois par répertoire.
```
terraform init
```
Vous pouvez également utiliser la dernière version du fournisseur Google en incluant l'option -upgrade :
```
terraform init -upgrade
```

Appliquer les modifications

Examinez la configuration et vérifiez que les ressources que Terraform va créer ou mettre à jour correspondent à vos attentes :
```
terraform plan
```
Corrigez les modifications de la configuration si nécessaire.
Appliquez la configuration Terraform en exécutant la commande suivante et en saisissant yes lorsque vous y êtes invité :
```
terraform apply
```
Attendez que Terraform affiche le message "Apply completed!" (Application terminée).
Ouvrez votre projet Google Cloud pour afficher les résultats. Dans la console Google Cloud, accédez à vos ressources dans l'interface utilisateur pour vous assurer que Terraform les a créées ou mises à jour.

API

Pour créer une valeur de tag, créez une représentation JSON de la valeur. Pour en savoir plus sur le format d'une valeur de tag, consultez la documentation de référence sur TagValue.

Ensuite, utilisez la méthode tagValues.create :

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Corps JSON de la requête :

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Où :

TAGKEY_NAME est l'ID permanent de la clé de tag parent. Par exemple, tagKeys/4567890123.
SHORT_NAME est le nom à afficher pour votre valeur de tag. Par exemple, environment.
DESCRIPTION est une description de la valeur qui ne doit pas dépasser 256 caractères. Une fois la valeur créée, vous trouverez l'affichage intelligible unique. nommé namespacedName, dont l'espace de noms est inclus dans son parent et d'un ID permanent unique au niveau mondial appelé name.

Récupérer les valeurs de tag

Vous pouvez trouver des informations sur une valeur de tag spécifique en utilisant son ID permanent ou le nom d'espace de noms qui s'affiche lors de sa création.

Console

Pour afficher un tag créé, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application situé en haut de la page, sélectionnez l'organisation ou le projet qui contient votre balise.
Tous les tags que vous avez créés dans cette organisation ou ce projet apparaissent dans la liste. Cliquez sur le tag dont vous souhaitez afficher les valeurs.

gcloud

Pour afficher les informations concernant une valeur de tag donnée, utilisez la commande gcloud resource-manager tags values describe :

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag. Par exemple, tagValues/4567890123 ou 123456789012/environment/production.

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Pour afficher les informations concernant une valeur de tag spécifique, utilisez la méthode tagValues.get :

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME est l'ID permanent de la valeur de tag. Par exemple, tagValues/4567890123.

Pour afficher les informations concernant une valeur de tag donnée à l'aide de son nom d'espace de noms, utilisez la méthode tagValues.getNamespaced :

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME est le nom d'espace de noms de la valeur de tag et respecte le format parentNamespace/tagKeyShortName/tagValueShortName.

Lorsque vous référencez des balises à l'aide de la Google Cloud CLI, vous pouvez utiliser soit d'espace de noms ou l'ID permanent des clés et valeurs de tag. Appels à l'API sauf que getNamespaced ne doit utiliser que l'ID permanent. Pour en savoir plus sur les types d'identifiants utilisés par un tag, consultez la section Définitions et identifiants de tags.

Mettre à jour des tags existants

Vous pouvez modifier un tag existant en mettant à jour la ou les clés qui lui sont associées. Vous pouvez mettre à jour la description d'un tag, mais pas le nom court.

Console

Pour mettre à jour la description d'une clé de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet contenant votre clé de balise.
Cliquez sur Actions à côté de la clé de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.
Cliquez sur Modifier à côté de Description en haut de l'écran.
Mettez à jour la description de la clé de tag.
Cliquez sur Enregistrer.

gcloud

Pour modifier la description d'une clé de tag, exécutez la commande gcloud resource-manager tags keys update :

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Où :

TAGKEY_NAME est l'ID permanent ou le nom d'espace de noms de la clé à mettre à jour. Par exemple : tagKeys/123456789012.
NEW_DESCRIPTION est une chaîne de 256 caractères maximum utilisée comme nouvelle description.

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Pour modifier la description d'une clé de tag, appelez la méthode tagKeys.patch :

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Corps JSON de la requête :

{
    "description": DESCRIPTION,
}

Où :

TAGKEY_NAME est l'ID permanent de la clé de tag. Par exemple, tagKeys/123456789012.
DESCRIPTION est une description de la clé qui ne doit pas dépasser 256 caractères.

Vous pouvez également modifier la description des valeurs de tags.

Console

Pour mettre à jour la description d'une valeur de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans l'outil de sélection de champ d'application en haut de la page, sélectionnez l'organisation ou le projet contenant la valeur de votre balise.
Cliquez sur Actions à côté de la clé de tag de la valeur que vous souhaitez mettre à jour, puis sur Afficher les détails.
Cliquez sur Actions à côté de la valeur de tag que vous souhaitez mettre à jour, puis sur Afficher les détails.
Cliquez sur Modifier à côté de Description en haut de l'écran.
Mettez à jour la description de la valeur de tag.
Cliquez sur Enregistrer.

gcloud

Pour modifier la description d'une valeur de tag, exécutez la commande gcloud resource-manager tags values update :

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Où :

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag à mettre à jour. Par exemple, tagValues/4567890123.
NEW_DESCRIPTION est une chaîne de 256 caractères maximum utilisée comme nouvelle description.

Vous devriez obtenir un résultat semblable à celui-ci :

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Pour modifier la description d'une clé de tag, exécutez la commande tagValues.patch :

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Corps JSON de la requête :

{
    "description": DESCRIPTION,
}

Où :

TAGVALUE_NAME est l'ID permanent de la valeur du tag. Par exemple, tagValues/4567890123.
DESCRIPTION est une description de la clé qui ne doit pas dépasser 256 caractères.

Répertorier les clés de tag

Vous pouvez répertorier toutes les clés de tag associées à une organisation ou à un projet spécifique. à l'aide de la console Google Cloud, de gcloud CLI ou à l'API.

Console

Pour afficher tous les tags, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation. ou un projet contenant vos tags.
Tous les tags que vous avez créés pour cette organisation ou ce projet apparaissent dans la liste.

gcloud

Pour obtenir la liste de toutes les clés de tag créées sous une organisation ou une ressource de projet, utilisez la commande gcloud resource-manager tags keys list :

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID est l'identifiant de l'organisation ressource du projet à laquelle vous souhaitez trouver les clés de tag associées.

Vous devez fournir un ID d'organisation ou de projet au format organizations/ORGANIZATION_ID ou projects/PROJECT_NAME; par exemple: organizations/123456789012 et projects/test-project123 Pour savoir comment obtenir votre ID d'organisation, voir Créer et gérer des organisations Pour savoir comment obtenir l'ID de votre projet, consultez Créer et gérer des projets Vous devriez obtenir un résultat semblable à celui-ci :

NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Pour obtenir la liste de toutes les clés de tag pour une ressource donnée, utilisez la méthode tagKeys.list, avec la ressource parente spécifiée dans la requête :

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID est l'identifiant de l'organisation la ressource du projet pour laquelle vous souhaitez trouver les clés de tag associées ; Par exemple: organizations/123456789012 et projects/test-project123.

Répertorier les valeurs de tag

Vous pouvez répertorier toutes les valeurs de tag associées à une clé de tag spécifique à l'aide de la console Google Cloud, de la gcloud CLI ou d'un appel API.

Console

Pour afficher toutes les valeurs de tag associées à une clé de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans l'outil de sélection du champ d'application en haut de la page, sélectionnez l'organisation ou le projet contenant votre clé de balise.
Cliquez sur Actions à côté de la clé de tag contenant les valeurs de tag que vous souhaitez rechercher, puis sur Afficher les détails.
Toutes les valeurs de tag que vous avez créées sous cette clé de tag s'affichent dans la liste.

gcloud

Pour obtenir la liste de toutes les valeurs de tag associées à une clé, exécutez la commande gcloud resource-manager tags values list :

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME correspond à l'ID permanent ou au nom d'espace de noms de la clé de tag dont vous souhaitez rechercher les valeurs associées. Par exemple, tagKeys/123456789012 ou 1234567/environment.

Vous devriez obtenir un résultat semblable à celui-ci :

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Pour obtenir la liste de toutes les valeurs de tag associées à une clé, utilisez la méthode tagValues.list avec la clé de tag parent spécifiée dans la requête :

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME est l'ID permanent de la clé de tag. Par exemple, tagKeys/123456789012.

Gérer l'accès aux tags

Vous pouvez accorder aux utilisateurs un accès spécifique pour gérer les tags et associer les valeurs de tag à des ressources en utilisant la console Google Cloud. Consultez la section Autorisations requises pour obtenir la liste des rôles liés aux tags et des autorisations qu'ils contiennent.

Clés de tag

Pour gérer l'accès des utilisateurs à une clé de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation. ou un projet contenant la clé de tag dont vous souhaitez gérer l'accès.
Cochez la case à côté du tag dont vous souhaitez gérer l'accès.
Cliquez sur Gérer l'accès.
Pour ajouter un rôle à un compte principal, cliquez sur Ajouter un compte principal.
1. Dans la zone de texte Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal auquel vous souhaitez attribuer un nouveau rôle.
2. Sélectionnez un rôle dans le menu déroulant Sélectionner un rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur Ajouter un autre rôle.
3. Cliquez sur Enregistrer.
Pour modifier le rôle d'un compte principal, cliquez sur Modifier à côté du compte principal que vous souhaitez modifier.
1. Vous pouvez modifier les rôles attribués aux comptes principaux pour ce tag en cliquant sur le menu déroulant Rôle et en choisissant un nouveau rôle.
2. Si vous souhaitez ajouter d'autres rôles, cliquez sur Ajouter un autre rôle.
3. Pour supprimer un rôle dont bénéficie ce compte principal sur ce tag, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.
4. Cliquez sur Enregistrer.
Pour supprimer un rôle de compte principal, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.
1. Cliquez sur Supprimer.

Valeurs des tags

Pour gérer l'accès des utilisateurs à une valeur de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation. ou un projet contenant la clé de tag dont vous souhaitez gérer l'accès.
Cliquez sur Actions à côté de la clé de tag de la valeur dont vous souhaitez gérer l'accès, puis sur Afficher les détails.
Cliquez sur Gérer l'accès.
Pour ajouter un rôle à un compte principal, cliquez sur Ajouter un compte principal.
1. Dans la zone de texte Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal auquel vous souhaitez attribuer un nouveau rôle.
2. Sélectionnez un rôle dans le menu déroulant Sélectionner un rôle. Si vous souhaitez ajouter plusieurs rôles, cliquez sur Ajouter un autre rôle.
3. Cliquez sur Enregistrer.
Pour modifier le rôle d'un compte principal, cliquez sur Modifier à côté du compte principal que vous souhaitez modifier.
1. Vous pouvez modifier les rôles attribués aux comptes principaux pour ce tag en cliquant sur le menu déroulant Rôle et en choisissant un nouveau rôle.
2. Si vous souhaitez ajouter d'autres rôles, cliquez sur Ajouter un autre rôle.
3. Pour supprimer un rôle dont bénéficie ce compte principal sur ce tag, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.
4. Cliquez sur Enregistrer.
Pour supprimer un rôle de compte principal, cliquez sur Supprimer le rôle à côté du rôle que vous souhaitez supprimer.
1. Cliquez sur Supprimer.

Associer des tags aux ressources

Une fois qu'un tag est créé et qu'un accès approprié est fourni pour le tag et la ressource, le tag peut être associé à une ressource Google Cloud sous la forme d'une paire clé/valeur. Une seule valeur peut être associée à une ressource pour une clé donnée. Par exemple, si la valeur environment: development est associée, environment: production ou environment: test ne peuvent pas être associées. Chaque ressource peut être associée à un maximum de 50 paires clé/valeur.

Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Google Cloud. Le workflow suivant explique comment associer un tag à une ressource d'organisation, de dossier ou de projet. Pour en savoir plus sur comment associer des tags à un autre type de ressource, consultez la documentation correspondante ressource dans Services compatibles avec les tags

Console

Pour associer un tag à une ressource d'organisation, de dossier ou de projet, procédez comme suit :

Ouvrez la page Gérer les ressources de la console Google Cloud.
Accéder à la page "Gérer les ressources"
Cliquez sur l'organisation, le dossier ou le projet auquel vous souhaitez associer un tag.
Cliquez sur Tags.
Dans le panneau Balises, cliquez sur Sélectionner un champ d'application.
Sélectionnez l'organisation ou le projet contenant vos balises, puis cliquez sur Ouvrir.
Dans le panneau Tags, sélectionnez Ajouter un tag.
Dans le champ Clé, sélectionnez la clé du tag que vous souhaitez associer dans la liste. Vous pouvez filtrer la liste en saisissant des mots clés.
Dans le champ Valeur, sélectionnez la valeur du tag que vous souhaitez associer. dans la liste. Vous pouvez filtrer la liste en saisissant des mots clés.
Si vous souhaitez associer d'autres tags, cliquez sur Ajouter une balise, puis sélectionnez l'icône clé et une valeur pour chacune.
Cliquez sur Enregistrer.
Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour associer le tag.
Une notification confirme la mise à jour de vos tags. Les nouveaux tags s'affichent dans la colonne Tags de la page Gérer les ressources.

gcloud

Pour associer un tag à une ressource, vous devez créer une ressource de liaison de tag à l'aide de la commande gcloud resource-manager tags bindings create :

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Où :

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag à associer. Par exemple, tagValues/4567890123 ou 12345678/environment/production.
RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//cloudresourcemanager.googleapis.com/). Par exemple, pour associer un tag à projects/7890123456, l'ID complet serait : //cloudresourcemanager.googleapis.com/projects/7890123456.
LOCATION est l'emplacement de votre ressource. Si vous associez un tag à une ressource globale, par exemple un dossier ou un projet, vous devez omettre cette option. Si vous associez un tag à une ressource régionale telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Par exemple, us-central1.

API

Pour associer un tag à une ressource, vous devez d'abord créer une représentation JSON d'une liaison de tag incluant l'ID permanent ou le nom de l'espace de noms de la valeur de tag et l'ID permanent de la ressource. Pour en savoir plus sur le format d'une liaison de tag, consultez la documentation de référence sur la liaison de tag.

Si vous associez le tag à une ressource globale telle qu'une organisation, utilisez la méthode tagBindings.create avec le nom d'hôte global du point de terminaison :

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Si vous associez le tag à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.create avec le point de terminaison régional où se trouve votre ressource.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Corps JSON de la requête :

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Où :

RESOURCE_ID est l'ID complet de la ressource. y compris le nom de domaine de l'API pour identifier le type de ressource (//cloudresourcemanager.googleapis.com/). Pour Par exemple, pour associer un tag à projects/7890123456, l'ID complet est le suivant: //cloudresourcemanager.googleapis.com/projects/7890123456
TAGVALUE_NAME est l'ID permanent de la valeur de tag associée. Par exemple, tagValues/4567890123.
TAGVALUE_NAMESPACED_NAME est le nom d'espace de noms de la valeur de tag associée et respecte le format suivant : parentNamespace/tagKeyShortName/tagValueShortName.

Répertorier tous les tags associés à une ressource

Vous pouvez obtenir la liste de tous les tags associés à une ressource, pour les tags hérités ou directement associés.

Console

Pour afficher tous les tags associés à une ressource ou dont elle a hérité, procédez comme suit :

Ouvrez la page Gérer les ressources dans la console Google Cloud.
Accéder à la page "Gérer les ressources"
Recherchez votre organisation, votre dossier ou votre projet dans la liste des ressources.
Les tags associés à la ressource apparaissent dans la colonne Tags. Balises hérités sont marqués comme Hérité.

gcloud

Pour obtenir la liste des liaisons de tags directement associées à une ressource, exécutez la commande gcloud resource-manager tags bindings list. Si vous ajoutez l'option --effective, vous renverrez également une liste de tags hérités par cette ressource.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Où :

RESOURCE_ID est l'ID complet de la ressource. Par exemple, //cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION est l'emplacement de votre ressource. Si vous répertoriez les tags associés à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous associez un tag à une ressource régionale telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Par exemple, us-central1.

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Si vous ajoutez l'option --effective à la commande tags bindings list, vous obtiendrez également la liste de tous les tags hérités par cette ressource. Vous devez obtenez un résultat semblable à celui-ci:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si tous les tags évalués sur une ressource sont directement associés, le champ inherited est "false" et est omis.

API

Pour obtenir la liste des liaisons de tags directement associées à une ressource globale, comme d'une organisation, utilisez tagBindings.list , en spécifiant la ressource parente dans la requête:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Si vous souhaitez répertorier les liaisons de tags associées à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.list avec le point de terminaison régional où se trouve votre ressource.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Où :

RESOURCE_ID est l'ID complet de la ressource. Par exemple, //cloudresourcemanager.googleapis.com/projects/7890123456.
LOCATION est le point de terminaison régional de votre ressource. Par exemple, us-central1.

Si la requête aboutit, le corps de la réponse doit inclure une liste d'objets TagBinding. Exemple :

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Dissocier un tag d'une ressource

Vous pouvez dissocier un tag d'une ressource en supprimant la ressource de liaison de tag.

Console

Pour dissocier un tag d'une ressource d'organisation, de dossier ou de projet, procédez comme suit : suivantes:

Ouvrez la page Gérer les ressources de la console Google Cloud.
Accéder à la page "Gérer les ressources"
Cliquez sur l'organisation, le dossier ou le projet dont vous souhaitez dissocier un tag.
Cliquez sur Tags.
Dans le panneau Tags, à côté du tag que vous souhaitez dissocier, cliquez sur Supprimer l'élément.
Cliquez sur Enregistrer.
Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour dissocier le tag.
Une notification confirme que vos balises ont été mises à jour. La liste mise à jour des tags s'affiche dans la colonne Tags de la page Gérer les ressources.

gcloud

Pour supprimer une liaison de tag, exécutez la commande gcloud resource-manager tags bindings delete :

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Où :

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
RESOURCE_ID est l'ID complet de la ressource. Exemple : //cloudresourcemanager.googleapis.com/projects/7890123456
LOCATION est l'emplacement de votre ressource. Si vous supprimez une liaison de tag associée à une ressource globale, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous supprimez une liaison de tag associée à une ressource régionale, telle qu'une instance Compute Engine, vous devez spécifier l'emplacement. Exemple: us-central1.

API

Pour supprimer une liaison de tag associée à une ressource globale, telle qu'une organisation, utilisez la méthode tagBindings.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Si vous souhaitez supprimer une liaison de tag associée à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagBindings.delete avec le point de terminaison régional où se trouve votre ressource.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Où :

TAGBINDINGS_NAME est l'ID permanent de la liaison de tag. Par exemple, tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
LOCATION est le point de terminaison régional de votre ressource. Par exemple, us-central1.

Protéger les valeurs de balise avec des obligations de conservation

Une obligation de conservation de tags est une ressource que vous pouvez créer pour empêcher supprimés. Si une valeur de tag est soumise à une obligation de conservation, les utilisateurs ne peuvent pas la supprimer, sauf si l'obligation de conservation est d'abord supprimée.

Créer des retenues de tags

Vous pouvez créer manuellement une retenue de tag à l'aide de la CLI gcloud ou de l'API.

gcloud

Pour créer une obligation de conservation de tags, utilisez la méthode gcloud resource-manager tags holds create Commande gcloud CLI:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Où :

TAGVALUE_NAME est l'ID permanent ou l'espace de noms. Nom de la valeur de tag pour laquelle cette règle de conservation de tag doit être créée ; pour Exemple: tagValues/567890123456.
HOLDER_NAME est le nom de la ressource à laquelle la valeur de la balise est associée. Doit comporter moins de 200 caractères.
LOCATION est l'emplacement de votre ressource. Si vous créez une retenue de tag pour une ressource globale, telle qu'un projet Google Cloud, vous devez omettre cette option. Si vous utilisez création d'une obligation de conservation de tags pour une ressource régionale ou zonale, que vous devez spécifier l'emplacement ; Exemple: us-central1.

API

Pour créer une retenue de tag pour une valeur de tag, vous devez d'abord créer une représentation JSON d'une retenue de tag. Cette référence JSON doit inclure une référence à la ressource à laquelle la valeur de tag est associée. Pour en savoir plus sur le format d'une retenue de tag, consultez la documentation de référence sur TagHolds.

Si vous créez une retenue de tag pour une valeur de tag associée à une ressource globale telle qu'une organisation, utilisez la méthode tagHolds.create avec le nom d'hôte global du point de terminaison :

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Si vous créez une retenue de tag pour une valeur de tag associée à une ressource régionale telle qu'une instance Compute Engine, utilisez la méthode tagHolds.create avec le point de terminaison régional où se trouve votre ressource.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

Corps JSON de la requête :

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Où :

TAGVALUE_NAME est l'ID permanent de la valeur de tag associée. Par exemple, tagValues/4567890123.
HOLDER_NAME est le nom de la ressource à laquelle la valeur de la balise est associée. Doit comporter moins de 200 caractères.
ORIGIN_NAME est une chaîne facultative représentant le l'origine de cette requête. Ce champ doit inclure des informations compréhensibles par l'humain pour distinguer les origines les unes des autres. La valeur doit être inférieure à 200 caractères.

Répertorier les suspensions de tags de fiche

Vous pouvez répertorier toutes les obligations de conservation associées à une valeur de tag spécifique à l'aide de la propriété gcloud CLI ou l'API.

gcloud

Pour lister les retenues de tags inférieures à une valeur de tag, exécutez la commande gcloud CLI gcloud resource-manager tags holds list :

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Où :

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag. Par exemple, tagValues/567890123456.
LOCATION est l'emplacement de votre ressource. Si vous vous recherchez les obligations de conservation de balises créées de manière globale, vous devez omettre cette option. Si vous recherchez des retenues de tags sous une ressource régionale ou zonale, vous devez spécifier l'emplacement, par exemple : us-central1.

API

Pour obtenir la liste des retenues de tags sous une valeur de tag, utilisez la méthode GET tagHolds, en spécifiant la valeur de la balise parente dans l'URL :

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Où :

TAGVALUE_NAME est l'ID permanent ou le nom d'espace de noms de la valeur de tag. Par exemple, tagValues/567890123456.

Supprimer les obligations de conservation de tags

Vous pouvez supprimer les retenues de tags créées sur une valeur de tag spécifique à l'aide de gcloud CLI ou de l'API.

Certaines ressources ajoutent des obligations de conservation à une valeur de tag associée à cette ressource. Si vous associez un tag à une ressource de ce type, celle-ci crée une obligation de conservation de tags empêche les utilisateurs de supprimer la valeur de balise associée.

Vous pouvez supprimer une obligation de conservation de tags à l'aide de gcloud CLI ou de l'API.

gcloud

Pour supprimer une obligation de conservation de tags, utilisez la gcloud resource-manager tags holds delete Commande gcloud CLI:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Où :

TAGHOLD_NAME est le nom de l'espace de noms de la retenue de balise, que vous pouvez trouver à l'aide de la commande list. Par exemple, tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.
LOCATION est l'emplacement de votre ressource. Si vous suppriment une obligation de conservation de balises associée à une valeur de tag associée ressource, telle qu'un dossier ou un projet, vous devez omettre cette option. Si vous supprimez une obligation de conservation de tags créée à partir d'un processus régional ou zonal, vous devez spécifier l'emplacement, Exemple: us-central1.

API

Pour supprimer une valeur de balise, utilisez la méthode tagHolds.delete méthode:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Où :

TAGVALUE_NAME est l'ID permanent de la valeur de tag à laquelle la retenue de tag que vous souhaitez supprimer est associée. Par exemple, tagValues/567890123456.
TAGHOLD_NAME correspond au nom de l'espace de noms de la retenue de balise que vous souhaitez supprimer. Vous pouvez le trouver à l'aide de la commande list. Par exemple, tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Supprimer des tags

Pour supprimer un tag, vous devez supprimer chacun de ses composants. Tout d'abord, vous devez supprimer toutes les liaisons de tags qui associent ce tag aux ressources de votre hiérarchie. Pour obtenir des instructions sur la suppression des liaisons de tag, consultez la section Dissocier un tag d'une ressource.

Si le tag est utilisé par une autre ressource ou qu'un utilisateur a créé manuellement une retenue de tag, vous devrez peut-être supprimer les retenues de tag et les liaisons de tag avant de pouvoir supprimer les valeurs de tag. Pour en savoir plus sur la suppression des retenues de tags, consultez la section Supprimer les retenues de tags.

Une fois qu'il n'y a plus de liaisons de tags pour les valeurs de tag que vous souhaitez supprimer, vous pouvez supprimer les valeurs.

Console

Pour supprimer une valeur de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation. ou un projet contenant la valeur de votre tag.
Cliquez sur Actions à côté de la clé de tag contenant la valeur de tag que vous souhaitez supprimer, puis sur Afficher les détails.
Dans la liste des valeurs de tag associées à cette clé de tag, cliquez sur la valeur de tag que vous souhaitez supprimer.
Cochez la case à côté de la valeur de tag que vous souhaitez supprimer, puis cliquez sur Supprimer les valeurs.
Cliquez sur Confirmer.

gcloud

Pour supprimer une valeur de tag, exécutez la commande gcloud resource-manager tag values delete :

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME est l'ID permanent ou nom de l'espace de noms de la valeur de balise que vous souhaitez supprimer ; Par exemple: tagValues/567890123456

API

Pour supprimer une valeur de tag, utilisez la méthode tagValues.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME est l'ID permanent de la balise. la valeur que vous souhaitez supprimer ; Exemple: tagValues/567890123456.

Une fois toutes les valeurs de tag associées à une clé supprimées, vous pouvez supprimer la clé.

Console

Pour supprimer une clé de tag, procédez comme suit :

Ouvrez la page Tags dans la console Google Cloud.
Ouvrir la page Tags
Dans le sélecteur de champ d'application en haut de la page, sélectionnez l'organisation ou le projet contenant votre clé de balise.
Cochez la case à côté de la clé de tag que vous souhaitez supprimer.
Cliquez sur Supprimer les tags.
Cliquez sur Confirmer.

gcloud

Pour supprimer une clé de tag, exécutez la commande gcloud resource-manager tags keys delete :

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME correspond à l'ID permanent ou au nom d'espace de noms de la clé de tag que vous souhaitez supprimer. Par exemple, tagKeys/123456789012.

API

Pour supprimer une clé de tag, utilisez la méthode tagKeys.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME est l'ID permanent de la balise. que vous souhaitez supprimer ; Exemple: tagKeys/123456789012.

Règles et tags

Vous pouvez utiliser des tags avec des règles compatibles pour appliquer ces règles de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle.

Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique.

Conditions et tags Identity and Access Management

Vous pouvez utiliser des tags et des conditions Identity and Access Management pour attribuer des rôles de manière conditionnelle aux utilisateurs de votre hiérarchie. Ce processus rend ressources inaccessibles aux utilisateurs jusqu'à ce qu'un tag associé à un une stratégie conditionnelle est jointe. Par exemple, vous pouvez exiger que vos développeurs attribuent un centre de coûts à une ressource avant de pouvoir l'utiliser.

Créez un tag que vous pourrez utiliser pour associer des ressources à un élément permettant d'identifier si les règles de gouvernance appropriées leur ont été appliquées. Par exemple, vous pouvez créer un tag avec la clé costCenter et les valeurs 0001, 0002, etc. afin d'associer les ressources aux différents centres de coûts de votre entreprise.
Créer un élément au niveau de l'organisation rôle personnalisé qui permet aux utilisateurs d'ajouter des tags aux ressources pour lesquelles vous avez besoin de tags. Cela vous donne ces autorisations aux comptes principaux spécifiés, où que ce soit dans votre organisation.

Par exemple, un rôle personnalisé qui permet aux utilisateurs d'ajouter des tags à des projets inclut les autorisations suivantes :
- resourcemanager.projects.get
- resourcemanager.hierarchyNodes.create
- resourcemanager.hierarchyNodes.delete
- resourcemanager.hierarchyNodes.list
Lorsque vous créez des projets pour vos développeurs, attribuez-leur ce rôle personnalisé sur le projet.
Attribuez à vos développeurs tous les autres rôles incluant les autorisations nécessaires pour effectuer les actions souhaitées dans ce projet. Lorsque vous attribuez des rôles aux utilisateurs sur le projet, ceux-ci doivent toujours être accordés de manière conditionnelle pour exiger l'association du tag costCenter.
```
resource.hasTagKey('123456789012/costCenter')
```
Important :Assurez-vous que les rôles que vous attribuez à vos développeurs ne sont pas n'inclut aucune autorisation setIamPolicy, car celles-ci permettent à vos développeurs modifier la stratégie IAM du projet, où il pourrait supprimer des restrictions conditionnelles que vous avez peut-être mises en place.

Désormais, chaque fois qu'un projet est créé, vos développeurs doivent lui associer le tag costCenter avant de pouvoir effectuer les actions autorisées par la stratégie IAM dans le projet.

Règles d'administration et tags

Vous pouvez utiliser des tags et l'application conditionnelle des règles d'administration pour fournir un contrôle centralisé des ressources de votre hiérarchie. Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.

Services compatibles

Pour obtenir la liste des services compatibles avec les tags, consultez Services compatibles avec les tags

Résoudre les problèmes connus

Échec de l'expression de condition

Si vous exécutez l'une des commandes add-iam-policy-binding à l'aide de Google Cloud CLI, et que la stratégie IAM de cette ressource contient un rôle conditionnel pour ce rôle, l'outil gcloud CLI vous invite à en choisir une des expressions de condition qui existent dans la stratégie. Si vous choisissez une expression de condition contenant une virgule, la commande échoue. Pour contourner ce problème ce problème, utilisez l'option --condition pour spécifier une expression de condition sur la de la ligne de commande.