As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Os recursos e as políticas usados por cada serviço aproveitam as tags de maneiras diferentes. Para mais informações, consulte a Visão geral de tags.
Alguns serviços, como o Identity and Access Management (IAM), são mecanismos de política com suporte a referências por tags. Se você anexar uma tag a um recurso de serviço e o serviço do mecanismo de políticas oferecer suporte a esse recurso, será possível aproveitar a aplicação condicional de políticas para controlar melhor a hierarquia de recursos. Cada serviço do mecanismo de política lista os recursos compatíveis na seção Serviços do mecanismo de política.
Recursos não listados como explicitamente compatíveis com os serviços do mecanismo de política não podem ser direcionados diretamente para a aplicação condicional de políticas. Em vez disso, o projeto pai, a pasta ou o recurso da organização precisam ser marcados para fornecer controle condicional.
Consulte a seção apropriada abaixo ao anexar tags aos recursos de serviço. Para mais informações, consulte Como criar e gerenciar tags.
Serviços de mecanismo de política
Os seguintes serviços incluem políticas que podem incluir tags. Referenciar as tags nessas políticas permite ajustar o modo como elas operam em recursos compatíveis na hierarquia de recursos do Google Cloud.
Serviço do Google Cloud | Tipos de recurso |
---|---|
Gerenciamento de identidade e acesso (IAM) | |
Organization Policy Service | |
Nuvem privada virtual (VPC) |
As seções a seguir descrevem como usar tags com serviços do mecanismo de política.
Identity and Access Management
É possível conceder papéis do IAM condicionalmente ou negar condicionalmente as permissões do IAM com base no fato de um recurso ter ou não uma tag específica.
Os recursos herdam valores de tag da organização, das pastas e do projeto pai. Como resultado, é possível usar tags para gerenciar o acesso a qualquer recurso do Google Cloud.
Para mais informações sobre o uso de tags com o IAM para ajudar a controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.
Serviço de política da organização
É possível usar as políticas da organização com tags para controlar como as restrições da política da organização são aplicadas a determinados recursos. As políticas da organização podem ser aplicadas condicionalmente por tags anexadas aos seguintes recursos:
- Organização, pasta e recursos do projeto do Google Cloud
- Buckets do Cloud Storage
As políticas da organização não podem ser aplicadas condicionalmente por tags anexadas a recursos não listados acima. No entanto, as restrições da política da organização que operam em políticas de permissão do IAM, como a de compartilhamento restrito de domínio, podem ser aplicadas condicionalmente com tags em qualquer recurso de serviço compatível.
Para mais informações, consulte Como configurar uma política da organização com tags.
Nuvem privada virtual
Você pode usar tags para definir origens e destinos nas políticas de firewall de rede e de firewall regionais. Você também pode anexar tags a instâncias de VM do Compute Engine para representar diferentes funções em uma rede. Para mais informações, consulte Tags do Resource Manager para firewalls.
Os seguintes recursos de VPC podem ter tags anexadas para uso nas políticas do IAM:
- Redes
- Sub-redes
- Rotas
- Regras de firewall da VPC
- Políticas de firewall de rede
- Políticas de firewall regionais
Para mais informações, consulte Criar e gerenciar tags para recursos de nuvem privada virtual.
Recursos de serviço com suporte
É possível anexar tags aos seguintes tipos de recursos do Google Cloud:
Serviço do Google Cloud | Tipos de recurso |
---|---|
AlloyDB para PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Cloud Billing | |
Cloud Domains |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
Datastream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado) | |
Memorystore para Redis | |
Resource Manager | |
VPC |