Serviços compatíveis com tags

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Os recursos e as políticas usados por cada serviço aproveitam as tags em diferentes de várias formas. Para mais informações, consulte a Visão geral de tags.

Alguns serviços, como o Identity and Access Management (IAM), são mecanismos de oferecem suporte a referências por tags. Se for possível anexar uma tag a um recurso de serviço o serviço do mecanismo de política oferece suporte a esse recurso, a aplicação condicional de políticas para controlar melhor seus recursos hierarquia. Cada serviço de mecanismo de política lista os recursos compatíveis no Seção Serviços do mecanismo de política.

Recursos não listados como explicitamente compatíveis com os serviços do mecanismo de política não podem ser diretamente para a aplicação condicional de políticas. Em vez disso, o pai projeto, pasta ou recurso da organização devem ser marcados para fornecer o controle condicional.

Consulte a seção apropriada abaixo ao anexar tags ao serviço do Google Cloud. Para mais informações, consulte Como criar e gerenciar tags.

Serviços de mecanismo de política

Os seguintes serviços incluem políticas que podem incluir tags. Como fazer referência a tags dessas políticas permite que você ajuste com precisão a forma como elas operam em dispositivos da sua hierarquia de recursos do Google Cloud.

Serviço do Google Cloud	Tipos de recurso
Gerenciamento de identidade e acesso (IAM)	Somente políticas
Organization Policy Service	Políticas da organização Buckets do Cloud Storage Organizações Pastas Projetos
Nuvem privada virtual (VPC)	Políticas de firewall de rede Instâncias de VM Instâncias do Secure Web Proxy

As seções a seguir descrevem como usar tags com o mecanismo de política serviços.

Identity and Access Management

Você pode conceder papéis do IAM condicionalmente ou negar condicionalmente as permissões do IAM dependendo de um recurso ter ou não uma tag específica.

Os recursos herdam valores de tag da mãe. organização, pastas e projeto. Como resultado, é possível usar tags para gerenciar o acesso a qualquer recurso do Google Cloud.

Para mais informações sobre o uso de tags com o IAM para ajudar a controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.

Serviço de política da organização

Você pode usar as políticas da organização com tags para controlar como sua organização restrições de política são aplicadas a determinados recursos. As políticas da organização podem ser aplicada condicionalmente por tags anexadas aos seguintes recursos:

• Organização, pasta e recursos do projeto do Google Cloud
• Buckets do Cloud Storage

As políticas da organização não podem ser aplicadas condicionalmente por tags anexadas a recursos não listados acima. No entanto, as restrições das políticas da organização que operam com políticas de permissão do IAM, como compartilhamento restrito de domínio pode ser aplicada condicionalmente com tags em qualquer serviço compatível recurso.

Para mais informações, consulte Como configurar uma política da organização com tags.

Nuvem privada virtual

Você pode usar tags para definir origens e destinos nas políticas de firewall de rede e políticas de firewall regionais. Também é possível anexar tags a VMs do Compute Engine instâncias para representar diferentes funções em uma rede. Para mais informações, consulte Tags do Resource Manager para firewalls.

Os seguintes recursos de VPC podem ter tags anexadas a eles para para usar nas políticas do IAM:

• Redes
• Sub-redes
• Rotas
• Regras de firewall da VPC
• Políticas de firewall de rede
• Políticas de firewall regionais

Para mais informações, consulte Criar e gerenciar tags para recursos de nuvem privada virtual.

Recursos de serviço com suporte

É possível anexar tags aos seguintes tipos de recursos do Google Cloud:

Serviço do Google Cloud	Tipos de recurso
AlloyDB para PostgreSQL	Clusters Backups
Artifact Registry	Repositórios (Pré-lançamento)
BigQuery	Conjuntos de dados Tabelas
Bigtable	Instâncias
Cloud Data Fusion	Instâncias (pré-lançamento)
Cloud Billing	Veja as tags no nível do recurso na exportação do BigQuery para o Cloud Billing.
Cloud Domains	Registros
Cloud Key Management Service (Cloud KMS)	Key rings
Cloud Load Balancing	Buckets de back-end Serviços de back-end Regras de encaminhamento Verificações de integridade Grupos de endpoints de rede Proxies HTTP(S) de destino Instâncias de destino Pools de destino Proxies SSL de destino Proxies TCP de destino Certificados SSL Mapas de URL
Cloud Run	Serviços Jobs (pré-lançamento)
Spanner	Instâncias
Cloud SQL	Instâncias
Cloud Storage	Buckets
Compute Engine	Imagens Instâncias Discos permanentes regionais Snapshots Discos permanentes zonais
Datastore	Bancos de dados
Datastream	Configurações de conectividade particular Perfis de conexão Streams
Filestore	Backups Instâncias Snapshots
Firestore	Bancos de dados
Google Kubernetes Engine (GKE)	Clusters
Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado)	Domínios
Memorystore para Redis	Instâncias
Resource Manager	Organizações Pastas Projetos
VPC	Redes Sub-redes Rotas Regras de firewall da VPC