Mit Tags können Sie Anmerkungen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Die Ressourcen und Richtlinien, die von jedem Dienst verwendet werden, nutzen Tags in unterschiedlichen . Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.
Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, unterstützen Referenzen nach Tags. Wenn Sie einer Dienstressource ein Tag zuweisen können und der Richtlinien-Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Erzwingung von Richtlinien nutzen, um Ihre Ressourcenhierarchie besser zu steuern. Jeder Policy Engine-Dienst listet die unterstützten Ressourcen im Policy Engine-Dienste.
Ressourcen, die nicht als explizit von Policy Engine-Diensten unterstützt aufgeführt sind, können nicht für die bedingte Erzwingung von Richtlinien. Stattdessen sollte die übergeordnete Projekt-, Ordner- oder Organisationsressource getaggt werden, um eine bedingte Steuerung zu ermöglichen.
Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihren Dienst anhängen. Ressourcen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.
Policy Engine-Dienste
Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Tags referenzieren in diesen Richtlinien, können Sie die Funktionsweise in Ihrer Google Cloud-Ressourcenhierarchie.
| Google Cloud-Dienst | Ressourcentypen |
|---|---|
| Identitäts- und Zugriffsverwaltung | |
| Organisationsrichtliniendienst | |
| Virtual Private Cloud (VPC) |
In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit der Richtlinien-Engine verwenden können Dienstleistungen.
Identity and Access Management
Sie können IAM-Rollen bedingt zuweisen oder IAM-Berechtigungen bedingt ablehnen je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Ressourcen übernehmen die Tag-Werte vom übergeordneten Element Organisation, Ordner und Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.
Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.
Organisationsrichtliniendienst
Mithilfe von Organisationsrichtlinien mit Tags können Sie steuern, wie Ihre Organisation Richtlinieneinschränkungen gelten für bestimmte Ressourcen. Organisationsrichtlinien können durch Tags, die an die folgenden Ressourcen angehängt sind, bedingt erzwungen:
- Google Cloud-Organisations-, -Ordner- und -Projektressourcen
- Cloud Storage-Buckets
Organisationsrichtlinien können nicht bedingt durch Tags erzwungen werden, die an Ressourcen, die oben nicht ausdrücklich aufgeführt sind. Einschränkungen der Organisationsrichtlinien die mit IAM-Zulassungsrichtlinien arbeiten, z. B. Domaineingeschränkte Freigabe Einschränkung, kann mit Tags für jeden unterstützten Dienst bedingt erzwungen werden Ressource.
Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Virtual Private Cloud
Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionale Firewallrichtlinien. Sie können Tags auch an die Compute Engine-VM anhängen um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen Siehe Resource Manager-Tags für Firewalls.
An die folgenden VPC-Ressourcen können Tags für in IAM-Richtlinien verwenden:
- Netzwerke
- Subnetzwerke
- Routen
- VPC-Firewallregeln
- Netzwerk-Firewallrichtlinien
- Regionale Firewallrichtlinien
Weitere Informationen finden Sie unter Erstellen und verwalten Sie Tags für Virtual Private Cloud-Ressourcen.
Unterstützte Dienstressourcen
Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen: