Tags bieten eine Möglichkeit, Anmerkungen für Ressourcen zu erstellen. In einigen Fällen Richtlinien je nachdem, ob eine Ressource eine bestimmte Tag. Die Ressourcen und Richtlinien, die von jedem Dienst verwendet werden, nutzen Tags in unterschiedlichen . Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.
Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, unterstützen Referenzen nach Tags. Wenn Sie ein Tag an eine Dienstressource anhängen können unterstützt der Policy Engine-Dienst diese Ressource. die bedingte Erzwingung von Richtlinien zur besseren Kontrolle Ihrer Ressource Hierarchie. Jeder Policy Engine-Dienst listet die unterstützten Ressourcen im Policy Engine-Dienste.
Ressourcen, die nicht als explizit von Policy Engine-Diensten unterstützt aufgeführt sind, können nicht für die bedingte Erzwingung von Richtlinien. Stattdessen muss das übergeordnete Element Projekt-, Ordner- oder Organisationsressource sollten mit einem Tag versehen sein, damit bedingter Kontrolle.
Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihren Dienst anhängen. Ressourcen. Weitere Informationen finden Sie unter Tags erstellen und verwalten
Policy Engine-Dienste
Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Tags referenzieren in diesen Richtlinien, können Sie die Funktionsweise in Ihrer Google Cloud-Ressourcenhierarchie.
Google Cloud-Dienst | Ressourcentypen |
---|---|
Identitäts- und Zugriffsverwaltung | |
Organisationsrichtliniendienst | |
Virtual Private Cloud (VPC) |
In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit der Richtlinien-Engine verwenden können Dienstleistungen.
Identity and Access Management
Sie können IAM-Rollen bedingt zuweisen oder IAM-Berechtigungen bedingt ablehnen je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Ressourcen übernehmen die Tag-Werte vom übergeordneten Element Organisation, Ordner und Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.
Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.
Organisationsrichtliniendienst
Mithilfe von Organisationsrichtlinien mit Tags können Sie steuern, wie Ihre Organisation Richtlinieneinschränkungen gelten für bestimmte Ressourcen. Organisationsrichtlinien können durch Tags, die an die folgenden Ressourcen angehängt sind, bedingt erzwungen:
- Google Cloud-Organisations-, -Ordner- und -Projektressourcen
- Cloud Storage-Buckets
Organisationsrichtlinien können nicht bedingt durch Tags erzwungen werden, die an folgende Adressen angehängt sind: Ressourcen, die oben nicht ausdrücklich aufgeführt sind. Einschränkungen der Organisationsrichtlinien die mit IAM-Zulassungsrichtlinien arbeiten, z. B. Domaineingeschränkte Freigabe Einschränkung, kann mit Tags für jeden unterstützten Dienst bedingt erzwungen werden Ressource.
Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Virtual Private Cloud
Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionale Firewallrichtlinien. Sie können Tags auch an die Compute Engine-VM anhängen um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen Siehe Resource Manager-Tags für Firewalls.
An die folgenden VPC-Ressourcen können Tags für in IAM-Richtlinien verwenden:
- Netzwerke
- Subnetzwerke
- Routen
- VPC-Firewallregeln
- Netzwerk-Firewallrichtlinien
- Regionale Firewallrichtlinien
Weitere Informationen finden Sie unter Erstellen und verwalten Sie Tags für Virtual Private Cloud-Ressourcen.
Unterstützte Dienstressourcen
Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:
Google Cloud-Dienst | Ressourcentypen |
---|---|
AlloyDB for PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Cloud Billing | |
Cloud Domains |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
Datastream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Managed Service for Microsoft Active Directory (Managed Microsoft AD) | |
Memorystore for Redis | |
Resource Manager | |
VPC |