Creazione e gestione dei tag

Questa guida descrive come creare e gestire i tag. Un tag è una coppia chiave-valore che può essere collegato a una risorsa Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa supportata abbia un tag specifico.

Prima di iniziare

Per ulteriori informazioni sui tag e sul loro funzionamento, consulta la sezione Panoramica dei tag.

Autorizzazioni obbligatorie

Le autorizzazioni necessarie dipendono dall'azione da eseguire.

Per ottenere queste autorizzazioni, chiedi all'amministratore di concedere il ruolo suggerito all'indirizzo il livello appropriato gerarchia delle risorse.

Visualizza tag

Per visualizzare le definizioni dei tag e i tag associati alle risorse, devi disporre Visualizzatore tag (roles/resourcemanager.tagViewer) o un altro ruolo che include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings per il tipo di risorsa appropriato. Per esempio, compute.instances.listTagBindings per visualizzare i tag collegate alle istanze Compute Engine.
  • listEffectiveTags
    • per il tipo di risorsa appropriato. Ad esempio, compute.instances.listEffectiveTags per la visualizzazione tutti i tag associati o ereditati dalle istanze Compute Engine.

Per visualizzare i tag a livello di organizzazione devi disporre del ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) sulla risorsa organizzazione.

Amministra i tag

Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre dei seguenti Ruolo di Amministratore tag (roles/resourcemanager.tagAdmin) o un altro ruolo che include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Per amministrare i tag a livello di organizzazione è necessario Ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) in risorsa dell'organizzazione.

Gestisci i tag sulle risorse

Per aggiungere e rimuovere i tag collegati alle risorse, devi disporre del ruolo Utente tag (roles/resourcemanager.tagUser) o di un altro ruolo con autorizzazioni equivalenti sia per il valore tag sia per le risorse a cui colleghi il valore tag. Il ruolo Utente tag include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • Autorizzazioni richieste per la risorsa a cui stai collegando il valore tag
    • Autorizzazione createTagBinding specifica della risorsa, ad esempio compute.instances.createTagBinding per Compute Engine di Compute Engine.
    • Autorizzazione deleteTagBinding specifica della risorsa, ad esempio compute.instances.deleteTagBinding per Compute Engine di Compute Engine.
  • Autorizzazioni richieste per il valore del tag:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorizzazioni che consentono di visualizzare progetti e definizioni di tag:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Creazione e definizione di un nuovo tag

I tag sono costituiti da una coppia chiave-valore e sono collegati a una risorsa nella della gerarchia di Google Cloud. Per creare un nuovo tag, devi prima creare una chiave del tag che descriva il tag che stai creando. Ad esempio, potresti voler specificare ambienti di produzione, di test e di sviluppo per le risorse nella tua risorsa la gerarchia creando una chiave con il nome environment.

Quindi, puoi creare i diversi valori che può avere la chiave. Se hai creato una chiave tag denominata environment, potresti specificare che esistono ambienti potenziali e crea un valore per ciascuno: production, development, e test.

Puoi creare un massimo di 1000 chiavi create in una determinata organizzazione. progetto ed è possibile creare un totale di 1000 valori per ogni chiave.

Infine, puoi collegare questi valori alle risorse della gerarchia, che porta con sé l'associazione di coppia chiave-valore. Ad esempio, potresti collegare test a più cartelle dell'ambiente di test nel tuo organizzazione e ognuna conterrebbe la coppia chiave-valore environment: test.

Creazione di un tag

Per iniziare, devi creare una chiave del tag.

L'elemento shortName della chiave tag può avere una lunghezza massima di 256 caratteri. La il set di caratteri consentito per shortName include Unicode codificato in UTF-8 caratteri ad eccezione delle virgolette singole ('), doppie virgolette ("), barre rovesciate (\) e barre (/).

Una volta creato, l'oggetto shortName non può essere modificato e deve essere univoci all'interno dello stesso spazio dei nomi.

Console

Per creare una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona la dell'organizzazione o del progetto in cui vuoi creare una chiave tag.

  3. Fai clic su Crea.

  4. Nella casella Chiave tag, inserisci il nome visualizzato della chiave tag. Questo diventa parte del nome con spazio dei nomi del tuo tag.

  5. Nella casella Descrizione chiave tag, inserisci una descrizione della chiave tag.

  6. Per aggiungere valori di tag a questa chiave, fai clic su Aggiungi valore per ogni valore tag che vuoi creare.

  7. Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome con spazio dei nomi del tuo tag.

  8. Nella casella Descrizione valore tag, inserisci una descrizione del tag valore.

  9. Quando hai finito di aggiungere i valori dei tag, fai clic su Crea chiave tag.

gcloud

Per creare una chiave tag, utilizza gcloud resource-manager tags keys create :

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Dove:

  • SHORT_NAME è il nome visualizzato della chiave tag. ad esempio: environment.

  • RESOURCE_ID è l'ID dell'organizzazione principale o una risorsa di progetto per questa chiave tag; Ad esempio: organizations/123456789012, projects/test-project123 o projects/234567890123. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti.

Dovresti ricevere una risposta simile alla seguente:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Per creare una chiave tag, crea una rappresentazione JSON della chiave. Per ulteriori informazioni sul formato di una chiave tag, consulta Riferimento TagKey.

Poi utilizza tagKeys.create :

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Corpo JSON della richiesta:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Dove:

  • SHORT_NAME è il nome visualizzato della chiave tag. ad esempio: environment.

  • RESOURCE_ID è l'ID dell'organizzazione principale o una risorsa di progetto per questa chiave tag; Ad esempio: organizations/123456789012, projects/test-project123 o projects/234567890123. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti.

  • DESCRIPTION è una descrizione della chiave, ma nessuna più di 256 caratteri.

Dopo aver creato la chiave, troverai il display univoco leggibile da una persona nome denominato namespacedName con uno spazio dei nomi all'interno del relativo e un ID permanente univoco a livello globale denominato name.

Visualizzazione di una chiave tag

Puoi trovare informazioni su una determinata chiave tag utilizzando l'ID permanente oppure con spazio dei nomi visualizzato al momento della creazione.

Console

Per visualizzare un tag creato:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona la dell'organizzazione o del progetto che contiene il tag.

  3. Nell'elenco vengono visualizzati tutti i tag nell'organizzazione o nel progetto selezionato. Fai clic sul tag di cui vuoi visualizzare la chiave tag.

gcloud

Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il metodo Comando gcloud resource-manager tags keys describe:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME è l'ID permanente o lo spazio dei nomi nome della chiave tag per la quale vuoi visualizzare le informazioni; Ad esempio: tagKeys/123456789012 o project-id/environment.

Dovresti ricevere una risposta simile alla seguente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il metodo Metodo tagKeys.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME è l'ID permanente della chiave tag per la quale vuoi visualizzare le informazioni, ad esempio:tagKeys/123456789012.

a visualizzare le informazioni relative a una determinata chiave tag utilizzando lo spazio dei nomi usa il parametro Metodo tagKeys.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME è il nome del tag con spazio dei nomi chiave ed è nel formato parentNamespace/tagKeyShortName.

Aggiunta di valori tag

Dopo aver creato una chiave tag, puoi aggiungere i valori accettati per la chiave.

Il valore shortName del valore del tag deve soddisfare i seguenti requisiti:

  • Un elemento shortName può avere una lunghezza massima di 256 caratteri.

  • Un shortName deve iniziare con un carattere alfanumerico.

  • Un elemento shortName può contenere caratteri Unicode con codifica UTF-8, ad eccezione dei singoli caratteri virgolette ('), virgolette doppie ("), barre rovesciate (\) e barre (/).

  • Un shortName non può essere modificato dopo essere stato creato e deve essere univoco all'interno dello stesso spazio dei nomi.

Console

Per creare un valore di tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Nel Selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare un valore del tag.

  3. Nell'elenco dei tag, fai clic sul tag a cui vuoi aggiungere un nuovo valore.

  4. Fai clic su Aggiungi valore.

  5. Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo viene incluso nel nome con spazio dei nomi del tag.

  6. Nella casella Descrizione valore tag, inserisci una descrizione del tag valore.

  7. Fai clic su Salva.

gcloud

Per creare un valore di tag, utilizza il comando gcloud resource-manager tags values create. Devi specificare la chiave in base alla quale viene creato questo valore:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Dove:

  • TAGVALUE_SHORTNAME è il nome breve del nuovo valore tag; ad esempio: production.

  • TAGKEY_NAME è l'ID permanente o lo spazio dei nomi nome della chiave tag principale; ad esempio: tagKeys/4567890123.

Dovresti ricevere una risposta simile alla seguente:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Per creare un valore tag, crea una rappresentazione JSON del valore. Per ulteriori informazioni sul formato di un valore del tag, consulta il riferimento TagValue.

Poi utilizza tagValues.create :

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Corpo JSON della richiesta:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Dove:

  • TAGKEY_NAME è l'ID permanente del tag principale key; ad esempio:tagKeys/4567890123.

  • SHORT_NAME è il nome visualizzato per il valore del tag. ad esempio: environment.

  • DESCRIPTION corrisponde a una descrizione del valore, ma non più di 256 caratteri. Dopo aver creato il valore, troverai il display univoco leggibile da una persona nome denominato namespacedName con uno spazio dei nomi all'interno del relativo e un ID permanente univoco a livello globale denominato name.

Recupero dei valori dei tag

Puoi trovare informazioni su un particolare valore di tag utilizzando l'ID permanente o con spazio dei nomi visualizzato al momento della creazione.

Console

Per visualizzare un tag creato:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona la dell'organizzazione o del progetto che contiene il tag.

  3. Tutti i tag creati in questa organizzazione o progetto sono visualizzati in dall'elenco. Fai clic sul tag per il quale vuoi visualizzare i valori.

gcloud

Per visualizzare le informazioni relative a un determinato valore tag, utilizza lo Comando gcloud resource-manager tags values describe:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME è l'ID permanente o nome con spazio dei nomi del valore tag; Ad esempio: tagValues/4567890123 o 123456789012/environment/production.

Dovresti ricevere una risposta simile alla seguente:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Per visualizzare le informazioni relative a un determinato valore del tag, utilizza il metodo tagValues.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME è l'ID permanente del tag value; ad esempio: tagValues/4567890123.

Visualizzare le informazioni relative a un determinato valore tag utilizzando lo spazio dei nomi usa il parametro Metodo tagValues.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME è il nome con spazio dei nomi del valore del tag ed è nel formato parentNamespace/tagKeyShortName/tagValueShortName.

Quando fai riferimento ai tag utilizzando Google Cloud CLI, puoi utilizzare nome con spazio dei nomi o l'ID permanente per le chiavi e i valori dei tag. Chiamate all'API tranne getNamespaced deve utilizzare solo l'ID permanente. Per ulteriori informazioni sui tipi di identificatori utilizzati da un tag, consulta Definizioni e identificatori dei tag.

Aggiornamento dei tag esistenti

Puoi modificare un tag esistente aggiornando la chiave o i valori associati. Puoi aggiornare la descrizione di un tag, ma non il nome breve.

Console

Per aggiornare la descrizione di una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Nel Selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave del tag.

  3. Fai clic su Azioni accanto alla chiave del tag da aggiornare, quindi fai clic su Visualizza dettagli.

  4. Fai clic su Modifica in Descrizione nella parte superiore dello schermo.

  5. Aggiorna la descrizione della chiave tag.

  6. Fai clic su Salva.

gcloud

Per modificare la descrizione di una chiave tag, utilizza il metodo Comando gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Dove:

  • TAGKEY_NAME è l'ID permanente o lo spazio dei nomi nome della chiave da aggiornare; ad esempio: tagKeys/123456789012.

  • NEW_DESCRIPTION è una stringa composta da un massimo di 256 caratteri da utilizzare come nuova descrizione.

Dovresti ricevere una risposta simile alla seguente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Per modificare la descrizione di una chiave tag, utilizza il metodo Metodo tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Corpo JSON della richiesta:

{
    "description": DESCRIPTION,
}

Dove:

  • TAGKEY_NAME è l'ID permanente della chiave tag; ad esempio: tagKeys/123456789012.

  • DESCRIPTION è una descrizione della chiave, ma nessuna più di 256 caratteri.

Puoi anche modificare la descrizione dei valori dei tag.

Console

Per aggiornare la descrizione di un valore di tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. che contiene il valore del tag.

  3. Fai clic su Azioni accanto a alla chiave tag per il valore che vuoi aggiornare, poi fai clic su Visualizza dettagli.

  4. Fai clic su Azioni accanto a il valore del tag che vuoi aggiornare e poi fai clic su Visualizza dettagli.

  5. Fai clic su Modifica in Descrizione nella parte superiore dello schermo.

  6. Aggiorna la descrizione del valore del tag.

  7. Fai clic su Salva.

gcloud

Per modificare la descrizione di un valore di tag, utilizza il metodo Comando gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Dove:

  • TAGVALUE_NAME è l'ID permanente o lo spazio dei nomi il nome del valore del tag da aggiornare; Ad esempio: tagValues/4567890123.

  • NEW_DESCRIPTION è una stringa composta da un massimo di 256 caratteri da utilizzare come nuova descrizione.

Dovresti ricevere una risposta simile alla seguente:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Per modificare la descrizione di una chiave tag, utilizza il metodo tagValues.patch :

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Corpo JSON della richiesta:

{
    "description": DESCRIPTION,
}

Dove:

  • TAGVALUE_NAME è il nome ID permanente del tag value; ad esempio: tagValues/4567890123.

  • DESCRIPTION è una descrizione della chiave, ma nessuna più di 256 caratteri.

Elenco delle chiavi dei tag

Puoi elencare tutte le chiavi dei tag associate a una determinata risorsa dell'organizzazione o del progetto utilizzando la console Google Cloud, gcloud CLI o con una chiamata all'API.

Console

Per visualizzare tutti i tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. o progetto che contiene i tuoi tag.

  3. Nell'elenco vengono visualizzati tutti i tag che hai creato in questa organizzazione o in questo progetto.

gcloud

Per restituire un elenco di tutte le chiavi tag create in un'organizzazione o in una risorsa di progetto, utilizza il comando gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID è l'ID della risorsa dell'organizzazione o del progetto per cui vuoi trovare le chiavi tag collegate.

  • È necessario fornire un ID organizzazione o progetto nel formato organizations/ORGANIZATION_ID o projects/PROJECT_NAME; ad esempio organizations/123456789012 e projects/test-project123. Per scoprire come ottenere l'ID organizzazione: vedi Creazione e gestione delle organizzazioni. Per scoprire come ottenere l'ID progetto, consulta Creazione e gestione dei progetti. Dovresti ricevere una risposta simile alla seguente:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Per restituire un elenco di tutte le chiavi dei tag per una determinata risorsa, utilizza il metodo tagKeys.list, con la risorsa principale specificata nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID è l'ID dell'organizzazione o risorsa di progetto per la quale vuoi trovare chiavi tag collegate; Ad esempio: organizations/123456789012 e projects/test-project123.

Elenca valori tag

Puoi elencare tutti i valori di tag associati a una determinata chiave tag utilizzando il metodo Console Google Cloud, gcloud CLI o con una chiamata all'API.

Console

Per visualizzare tutti i valori dei tag associati a una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona la dell'organizzazione o del progetto contenente la chiave tag.

  3. Fai clic su Azioni accanto a la chiave tag contenente i valori tag che vuoi trovare, poi fai clic su Visualizza dettagli.

  4. Tutti i valori tag creati in questa chiave tag vengono visualizzati nell'elenco.

gcloud

Per restituire un elenco di tutti i valori dei tag associati a una chiave, utilizza il comando gcloud resource-manager tags values list:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME è l'ID permanente o lo spazio dei nomi nome della chiave tag a cui vuoi trovare i valori associati; Ad esempio: tagKeys/123456789012 o 1234567/environment.

Dovresti ricevere una risposta simile alla seguente:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Per restituire un elenco di tutti i valori di tag associati a una chiave, utilizza la classe tagValues.list, con la chiave tag principale specificata nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME è il nome dell'ID permanente della chiave tag, ad esempio tagKeys/123456789012.

Gestione dell'accesso ai tag

Puoi concedere agli utenti un accesso specifico per gestire i tag e collegare i valori dei tag utilizzando la console Google Cloud. Consulta: Autorizzazioni obbligatorie per un elenco dei ruoli correlati a tag e le autorizzazioni che contengono.

Chiavi tag

Per gestire l'accesso per gli utenti a una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. o un progetto contenente la chiave tag per cui vuoi gestire l'accesso.

  3. Fai clic sulla casella di controllo accanto al tag per cui vuoi gestire l'accesso.

  4. Fai clic su Gestisci accesso.

  5. Per aggiungere un ruolo a un'entità, fai clic su Aggiungi entità.

    1. Nella casella di testo Nuove entità, inserisci l'indirizzo email all'entità per cui vuoi concedere un nuovo ruolo.

    2. Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungi più di un ruolo, fai clic Aggiungi un altro ruolo.

    3. Fai clic su Salva.

  6. Per modificare il ruolo di un'entità, fai clic su Modifica accanto all'entità che vuoi modificare.

    1. Puoi modificare qualsiasi ruolo assegnato alle entità in questo facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.

    2. Per aggiungere altri ruoli, fai clic su Aggiungi un altro ruolo.

    3. Per eliminare un ruolo da questa entità in questo tag, fai clic su Elimina ruolo accanto a che desideri eliminare.

    4. Fai clic su Salva.

  7. Per eliminare il ruolo di un principale, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    1. Fai clic su Rimuovi.

Valori tag

Per gestire l'accesso per gli utenti su un valore tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. o un progetto contenente la chiave tag per cui vuoi gestire l'accesso.

  3. Fai clic su Azioni accanto a la chiave tag per il valore per il quale vuoi gestire l'accesso, poi fai clic su Visualizza dettagli.

  4. Fai clic su Gestisci accesso.

  5. Per aggiungere un ruolo a un'entità, fai clic su Aggiungi entità.

    1. Nella casella di testo Nuove entità, inserisci l'indirizzo email all'entità per cui vuoi concedere un nuovo ruolo.

    2. Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungi più di un ruolo, fai clic Aggiungi un altro ruolo.

    3. Fai clic su Salva.

  6. Per modificare il ruolo di un'entità, fai clic su Modifica accanto all'entità che vuoi modificare.

    1. Puoi modificare qualsiasi ruolo assegnato alle entità in questo facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.

    2. Per aggiungere altri ruoli, fai clic su Aggiungi un altro ruolo.

    3. Per eliminare un ruolo da questa entità in questo tag, fai clic su Elimina ruolo accanto a che desideri eliminare.

    4. Fai clic su Salva.

  7. Per eliminare il ruolo di un principale, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    1. Fai clic su Rimuovi.

Collegamento di tag alle risorse

Dopo che un tag è stato creato e appropriato l'accesso sia concesso sia al tag sia alla risorsa, può essere associato a una risorsa Google Cloud come coppia chiave-valore. Esattamente uno può essere associato a una risorsa per una determinata chiave. Ad esempio, se environment: development è collegato, poi environment: production o Impossibile collegare environment: test. A ogni risorsa può essere collegato un massimo di 50 coppie chiave/valore.

I tag vengono collegati alle risorse creando una risorsa di associazione di tag che collega il valore alla risorsa Google Cloud. Il seguente flusso di lavoro descrive come collegare un tag a una risorsa organizzazione, cartella o progetto. Per maggiori dettagli su come collegare i tag a un altro tipo di risorsa, consulta la documentazione risorsa in Servizi che supportano i tag.

Console

Per collegare un tag a un'organizzazione, una cartella o una risorsa di progetto, esegui la seguenti:

  1. Apri la pagina Gestisci risorse nella console Google Cloud.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'organizzazione, sulla cartella o sul progetto a cui vuoi allegare il file. un tag.

  3. Fai clic su Tag.

  4. Nel riquadro Tag, fai clic su Seleziona ambito.

  5. Seleziona l'organizzazione o il progetto che contiene i tag. fai clic su Apri.

  6. Nel riquadro Tag, seleziona Aggiungi tag.

  7. Nel campo Chiave, seleziona la chiave del tag da collegare dall'elenco. Puoi filtrare l'elenco digitando parole chiave.

  8. Nel campo Valore, seleziona il valore del tag che vuoi collegare dall'elenco. Puoi filtrare l'elenco digitando parole chiave.

  9. Se vuoi aggiungere altri tag, fai clic su Aggiungi tag, quindi seleziona chiave e valore per ognuna.

  10. Fai clic su Salva.

  11. Nella finestra di dialogo Conferma, fai clic su Conferma per allegare il tag.

  12. Una notifica conferma l'aggiornamento dei tag. I nuovi tag vengono visualizzati in nella colonna Tag della pagina Gestisci risorse.

gcloud

Per collegare un tag a una risorsa, devi creare una risorsa di associazione di tag. utilizzando il comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o nome con spazio dei nomi del valore del tag da collegare; Ad esempio: tagValues/4567890123 o 12345678/environment/production.

  • RESOURCE_ID è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/). Per esempio, per collegare un tag a projects/7890123456, l'ID completo sarebbe: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION è la località della risorsa. Se collegano un tag a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se stai collegando un tag a una regione come un'istanza Compute Engine, devi specificare località; ad esempio: us-central1.

API

Per collegare un tag a una risorsa, devi prima creare una rappresentazione JSON di un'associazione di tag che include l'ID permanente o il nome con spazio dei nomi del e l'ID permanente della risorsa. Per ulteriori informazioni del formato di un'associazione di tag, consulta Riferimento TagBinding.

Se colleghi il tag a una risorsa globale, ad esempio un'organizzazione, utilizza la tagBindings.create con il nome host globale dell'endpoint:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Se colleghi il tag a una risorsa di regione, ad esempio Per l'istanza Compute Engine, utilizza il metodo tagBindings.create l'endpoint regionale in cui si trova la risorsa.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Corpo JSON della richiesta:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

OPPURE

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Dove:

  • RESOURCE_ID è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/). Per esempio, per collegare un tag a projects/7890123456, l'ID completo sarebbe: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME è l'ID permanente del valore del tag allegato. ad esempio: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME è il nome con spazio dei nomi di il valore del tag associato in questo formato: parentNamespace/tagKeyShortName/tagValueShortName.

Elenco di tutti i tag associati a una risorsa

Puoi ottenere un elenco di tutti i tag associati a una risorsa, per i tag ereditati o direttamente collegati.

Console

Per vedere tutti i tag associati a o ereditati da una risorsa, esegui la seguenti:

  1. Apri la pagina Gestisci risorse nella console Google Cloud.

    Apri la pagina Gestisci risorse

  2. Individua l'organizzazione, la cartella o il progetto nell'elenco delle risorse.

  3. I tag associati alla risorsa vengono visualizzati nella colonna Tag. Tag ereditati saranno contrassegnati come Ereditato:

gcloud

Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa, utilizza il metodo Comando gcloud resource-manager tags bindings list. Se aggiungi il parametro --effective, restituirà anche un elenco di tag ereditati da questo risorsa.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Dove:

  • RESOURCE_ID è l'ID completo della risorsa; della esempio: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION è la località della risorsa. Se elenca i tag collegati a una risorsa globale, come una cartella un progetto, devi omettere questo flag. Se colleghi un tag a una risorsa regionale, ad esempio un'istanza Compute Engine, devi specificare la posizione, ad esempio: us-central1.

Dovresti ricevere una risposta simile alla seguente:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Se aggiungi il flag --effective al comando tags bindings list, restituirà anche un elenco di tutti i tag ereditati da questa risorsa. Dovresti ricevi una risposta simile alla seguente:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Se tutti i tag valutati su una risorsa sono collegati direttamente, inherited è false e viene omesso.

API

Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa globale come un'organizzazione, utilizza tagBindings.list specificando la risorsa padre nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Se vuoi elencare le associazioni di tag collegate a una risorsa di regione, ad esempio le istanze di Compute Engine, usa il metodo tagBindings.list con l'endpoint regionale in cui si trova la risorsa.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Dove:

  • RESOURCE_ID è l'ID completo della risorsa; della esempio: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION è l'endpoint a livello di regione per resource; ad esempio: us-central1.

In caso di esito positivo, il corpo della risposta deve includere un elenco di TagBinding di oggetti strutturati. Ad esempio:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Scollegamento di un tag da una risorsa

Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione dei tag.

Console

Per scollegare un tag da un'organizzazione, una cartella o una risorsa di progetto, esegui la seguenti:

  1. Apri la pagina Gestisci risorse nella console Google Cloud.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'organizzazione, sulla cartella o sul progetto da cui vuoi staccare un tag.

  3. Fai clic su Tag.

  4. Nel riquadro Tag, accanto al tag da scollegare, fai clic su Elimina articolo.

  5. Fai clic su Salva.

  6. Nella finestra di dialogo Conferma, fai clic su Conferma per scollegare il tag.

  7. Una notifica conferma l'aggiornamento dei tag. L'elenco aggiornato dei tag viene visualizzato nella colonna Tag della pagina Gestisci risorse.

gcloud

Per eliminare un'associazione di tag, utilizza la proprietà Comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o lo spazio dei nomi nome del valore tag associato; Ad esempio: tagValues/567890123456.

  • RESOURCE_ID è l'ID completo della risorsa. Per esempio: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION è la località della risorsa. Se elimina un'associazione di tag collegata a una risorsa globale, come cartella o progetto, devi omettere questo flag. Se stai eliminando un'associazione di tag associata a una risorsa di regione, come in un'istanza Compute Engine, devi specificare la località. della esempio: us-central1.

API

Per eliminare un'associazione di tag collegata a una risorsa globale come utilizza tagBindings.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Se vuoi eliminare un'associazione di tag collegata a una risorsa di regione, ad esempio un'istanza Compute Engine, utilizza tagBindings.delete con l'endpoint regionale in cui si trova la risorsa.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Dove:

  • TAGBINDINGS_NAME è l'ID permanente del TagBinding; Ad esempio: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION è l'endpoint a livello di regione per resource; ad esempio: us-central1.

Protezione dei valori dei tag con archiviazioni a fini legali

Un blocco tag è una risorsa che puoi creare per proteggere un valore tag eliminati. Se un valore tag ha un blocco tag, non può essere eliminato dagli utenti a meno che il parametro il blocco dei tag viene prima eliminato.

Creazione di archiviazioni a fini legali per i tag

Puoi creare manualmente un blocco tag utilizzando gcloud CLI o l'API.

gcloud

Per creare un blocco di tag, utilizza la gcloud resource-manager tags holds create Comando gcloud CLI:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o lo spazio dei nomi nome del valore del tag per il quale deve essere creata la conservazione di questo tag; della esempio: tagValues/567890123456.

  • HOLDER_NAME è il nome della risorsa in cui al valore del tag associato. Deve contenere meno di 200 caratteri.

  • LOCATION è la località della risorsa. Se crei un blocco tag per una risorsa globale, ad esempio progetto Google Cloud, devi omettere questo flag. Se creando un blocco tag per una risorsa a livello di regione o zona, devi specificare la posizione; ad esempio: us-central1.

API

Per creare una sospensione dei tag per un valore del tag, devi prima creare una rappresentazione JSON della sospensione dei tag. Questo riferimento JSON deve includere un riferimento alla risorsa a cui è associato il valore del tag. Per ulteriori informazioni sul formato di un blocco tag, consulta Riferimento TagHolds.

Se crei un blocco tag per un valore tag associato a una risorsa globale come un'organizzazione, utilizza tagHolds.create con il nome host globale dell'endpoint:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Se crei un blocco tag per un valore tag associato a una regione come un'istanza Compute Engine, utilizza tagHolds.create con l'endpoint regionale in cui si trova la risorsa individuarlo.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

Corpo JSON della richiesta:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Dove:

  • TAGVALUE_NAME è l'ID permanente del valore del tag allegato. ad esempio: tagValues/4567890123.

  • HOLDER_NAME è il nome della risorsa in cui al valore del tag associato. Deve contenere meno di 200 caratteri.

  • ORIGIN_NAME è una stringa facoltativa che rappresenta l'origine di questa richiesta. Questo campo deve includere un testo comprensibile informazioni per distinguere le origini l'una dall'altra. Deve essere inferiore a 200 caratteri.

Conservazioni dei tag di schede

Puoi elencare tutte le conservazioni tag sotto un determinato valore tag utilizzando la proprietà gcloud CLI o l'API.

gcloud

Per elencare le mancate inclusioni dei tag al di sotto di un valore del tag, utilizza il comando gcloud CLI gcloud resource-manager tags holds list:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o lo spazio dei nomi nome del valore del tag; ad esempio: tagValues/567890123456.

  • LOCATION è la località della risorsa. Se stai cercando blocchi di tag creati a livello globale, devi omettere questo flag. Se cerchi blocchi tag in una risorsa a livello di regione o zona, deve specificare la località; ad esempio: us-central1.

API

Per ottenere un elenco di elementi con tag in un valore del tag, utilizza il metodo GET tagHolds, specificando il valore del tag principale nell'URL:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Dove:

  • TAGVALUE_NAME è l'ID permanente o lo spazio dei nomi nome del valore del tag; ad esempio: tagValues/567890123456.

Rimozione delle conservazioni dei tag in corso

Puoi rimuovere le sospensioni dei tag create per un determinato valore tag utilizzando il metodo gcloud CLI o l'API.

Alcune risorse aggiungono blocchi dei tag a un valore tag associato a quella risorsa. Se colleghi un tag a una risorsa di questo tipo, la risorsa crea un blocco tag gli utenti non potranno eliminare il valore del tag associato.

Puoi eliminare un blocco tag utilizzando gcloud CLI o l'API.

gcloud

Per eliminare una sospensione dei tag, utilizza il comando gcloud CLI gcloud resource-manager tags holds delete:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Dove:

  • TAGHOLD_NAME è il nome del tag con spazio dei nomi di blocco, che puoi trovare utilizzando il comando list. Ad esempio: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION è la località della risorsa. Se il blocco tag incluso in un valore tag associato a un blocco come una cartella o un progetto, devi omettere questo flag. Se eliminerai un blocco tag creato da un processo a livello di regione o zona devi specificare la località; ad esempio: us-central1.

API

Per eliminare il valore di un tag, utilizza il metodo tagHolds.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Dove:

  • TAGVALUE_NAME è l'ID permanente del tag il valore a cui la conservazione tag che vuoi eliminare sia associato; Ad esempio: tagValues/567890123456.

  • TAGHOLD_NAME è il nome del tag con spazio dei nomi che vuoi eliminare, che puoi trovare utilizzando Comando list. Ad esempio: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Eliminazione dei tag

Per eliminare un tag, devi eliminare ogni componente che lo definisce. Innanzitutto, devi eliminare tutte le associazioni di tag che lo collegano alle risorse in nella gerarchia. Per istruzioni sull'eliminazione delle associazioni di tag, consulta Scollegamento di un tag da una risorsa.

Se il tag è utilizzato da un'altra risorsa o se un utente ha creato manualmente un tag potrebbe essere necessario rimuovere le sospensioni dei tag ed eliminare le associazioni di tag prima puoi eliminare i valori dei tag. Per informazioni sulla rimozione delle sospensioni dei tag, consulta la sezione Rimuovere le sospensioni dei tag.

Quando non ci sono altre associazioni di tag per i valori dei tag da eliminare, possono eliminare i valori.

Console

Per eliminare un valore di tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. che contiene il valore del tag.

  3. Fai clic su Azioni accanto a la chiave tag contenente il valore tag che vuoi eliminare, poi fai clic su Visualizza dettagli.

  4. Nell'elenco dei valori del tag associati a questa chiave tag, fai clic sul tag che desideri eliminare.

  5. Fai clic sulla casella di controllo accanto al valore del tag da eliminare, poi fai clic su Elimina valori.

  6. Fai clic su Conferma.

gcloud

Per eliminare un valore di tag, utilizza gcloud resource-manager tag values delete :

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME è l'ID permanente o nome con spazio dei nomi del valore del tag che vuoi eliminare; Ad esempio: tagValues/567890123456.

API

Per eliminare il valore di un tag, utilizza il metodo tagValues.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME è l'ID permanente del tag il valore da eliminare; ad esempio: tagValues/567890123456.

Dopo aver eliminato tutti i valori del tag associati a una chiave, puoi: per eliminare la chiave.

Console

Per eliminare una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud.

    Apri la pagina Tag

  2. Dal selettore dell'ambito nella parte superiore della pagina, seleziona l'organizzazione. o un progetto contenente la chiave tag.

  3. Fai clic sulla casella di controllo accanto alla chiave del tag da eliminare.

  4. Fai clic su Elimina tag.

  5. Fai clic su Conferma.

gcloud

Per eliminare una chiave tag, utilizza gcloud resource-manager tags keys delete :

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME è l'ID permanente o nome con spazio dei nomi della chiave tag che vuoi eliminare; Ad esempio: tagKeys/123456789012.

API

Per eliminare una chiave tag, utilizza il metodo tagKeys.delete :

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME è l'ID permanente del tag chiave che desideri eliminare; ad esempio: tagKeys/123456789012.

Criteri e tag

Puoi utilizzare i tag con criteri che li supportano per applicarli in modo condizionale criteri. Puoi fare in modo che la presenza o l'assenza di un valore di tag diventi la condizione tale norma.

Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) a seconda che una risorsa abbia un tag specifico.

Condizioni e tag di Identity and Access Management

Puoi utilizzare i tag e le condizioni di Identity and Access Management per concedere ruoli agli utenti della gerarchia in modo condizionale. Questo processo rende risorse inaccessibili agli utenti finché non viene associato un tag è collegato un criterio condizionale. Ad esempio, potresti voler richiedere che i tuoi gli sviluppatori assegnano un centro di costo a una risorsa prima di poterla utilizzare.

  1. Crea un tag da utilizzare per associare le risorse a un elemento che identificare se alle risorse sia stata applicata una governance adeguata. Per Ad esempio, puoi creare un tag con la chiave costCenter e i valori 0001, 0002 e così via, per associare le risorse ai vari e i centri di costo aziendali.

  2. Crea un ruolo personalizzato a livello di organizzazione che consenta agli utenti di aggiungere tag alle risorse per le quali sono richiesti. In questo modo, queste autorizzazioni vengono assegnate ai principali specificati in qualsiasi punto dell'organizzazione.

    Ad esempio, un ruolo personalizzato che consente agli utenti di aggiungere tag includono le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Quando crei progetti per i tuoi sviluppatori, assegna loro questo ruolo personalizzato del progetto.

  4. Assegna agli sviluppatori qualsiasi altro ruolo che includa concedere loro le autorizzazioni per eseguire le azioni desiderate all'interno di questo progetto. Quando concedi i ruoli agli utenti del progetto, questi devono essere sempre concessi in modo condizionale per richiedere l'allegato del tag costCenter.

    resource.hasTagKey('123456789012/costCenter')

Ogni volta che viene creato un progetto, gli sviluppatori devono collegare costCenter prima che possa eseguire le azioni concesse il criterio IAM.

Criteri e tag dell'organizzazione

Puoi utilizzare i tag e l'applicazione condizionale dei criteri dell'organizzazione per fornire un controllo centralizzato delle risorse nella gerarchia. Per ulteriori informazioni, vedi Impostazione di un criterio dell'organizzazione con i tag.

Servizi supportati

Per un elenco dei servizi che supportano i tag, vedi Servizi che supportano i tag.

Risolvere i problemi noti

L'espressione della condizione non riesce

Se esegui uno dei comandi add-iam-policy-binding utilizzando Google Cloud CLI, e il criterio IAM su quella risorsa contiene un ruolo condizionale per quel ruolo, lo strumento gcloud CLI ti chiede di scegliere delle espressioni della condizione esistenti nel criterio. Se scegli un che contiene una virgola, l'operazione non riesce. Come aggirare per questo problema, utilizza il flag --condition per specificare un'espressione di condizione nella dall'interfaccia a riga di comando.