Dienste, die Tags unterstützen

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Die Ressourcen und Richtlinien, die von den einzelnen Diensten verwendet werden, nutzen Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.

Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Verweise von Tags unterstützen. Wenn Sie ein Tag an eine Dienstressource anhängen können und der Policy Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Erzwingung von Richtlinien nutzen, um die Ressourcenhierarchie besser zu steuern. Jeder Richtlinien-Engine-Dienst listet im Abschnitt Policy Engine-Dienste die unterstützten Ressourcen auf.

Ressourcen, die nicht als explizit von Richtlinien-Engine-Diensten unterstützt aufgeführt sind, können nicht direkt für die bedingte Erzwingung von Richtlinien verwendet werden. Stattdessen sollte das übergeordnete Projekt, der Ordner oder die Organisationsressource mit Tags versehen werden, um eine bedingte Kontrolle zu ermöglichen.

Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihre Dienstressourcen anhängen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.

Policy Engine-Dienste

Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Wenn Sie auf Tags in diesen Richtlinien verweisen, können Sie ihre Funktionsweise mit unterstützten Ressourcen in Ihrer Google Cloud-Ressourcenhierarchie genau abstimmen.

Google Cloud-Dienst	Ressourcentypen
Identitäts- und Zugriffsverwaltung	Nur Richtlinien
Organisationsrichtliniendienst	Organisationsrichtlinien Cloud Storage-Buckets Organisationen Ordner Projekte
Virtual Private Cloud (VPC)	Netzwerk-Firewallrichtlinien VM-Instanzen Sichere Web-Proxy-Instanzen

In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Richtlinien-Engine-Diensten verwenden können.

Identity and Access Management

Sie können IAM-Rollen bedingt gewähren oder IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Ressourcen übernehmen Tag-Werte von ihrer übergeordneten Organisation, ihren Ordnern und ihrem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Organisationsrichtliniendienst

Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie Einschränkungen für Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können bedingt durch Tags erzwungen werden, die an die folgenden Ressourcen angehängt sind:

• Google Cloud-Organisations-, -Ordner- und -Projektressourcen
• Cloud Storage-Buckets

Organisationsrichtlinien können nicht bedingt durch Tags erzwungen werden, die an Ressourcen angehängt sind, die oben nicht explizit aufgeführt sind. Einschränkungen für Organisationsrichtlinien, die für IAM-Zulassungsrichtlinien gelten, wie die domaineingeschränkte Freigabe, können jedoch mit Tags für jede unterstützte Dienstressource bedingt erzwungen werden.

Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Virtual Private Cloud

Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.

An die folgenden VPC-Ressourcen können Tags zur Verwendung in IAM-Richtlinien angehängt werden:

• Netzwerke
• Subnetzwerke
• Routen
• VPC-Firewallregeln
• Netzwerk-Firewallrichtlinien
• Regionale Firewallrichtlinien

Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.

Unterstützte Dienstressourcen

Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:

Google Cloud-Dienst	Ressourcentypen
AlloyDB for PostgreSQL	Cluster Sicherungen
Artifact Registry	Repositories (Vorschau)
BigQuery	Datasets Tables
Bigtable	Instanzen
Cloud Data Fusion	Instanzen (Vorschau)
Cloud Billing	Sehen Sie sich die Tags auf Ressourcenebene im Cloud Billing BigQuery-Export an.
Cloud Domains	Anmeldungen
Cloud Key Management Service (Cloud KMS)	Schlüsselbunde
Cloud Load Balancing	Back-End-Buckets Back-End-Dienste Weiterleitungsregeln Systemdiagnosen Netzwerk-Endpunktgruppen Ziel-HTTP(S)-Proxys Zielinstanzen Zielpools Ziel-SSL-Proxys Ziel-TCP-Proxys SSL-Zertifikate URL-Zuordnungen
Cloud Run	Dienste Jobs (Vorschau)
Cloud Spanner	Instanzen
Cloud SQL	Instanzen
Cloud Storage	Buckets
Compute Engine	Bilder Instanzen Regionale nichtflüchtige Speicher Snapshots Zonale nichtflüchtige Speicher
Datastore	Datenbanken
Datastream	Konfigurationen für private Verbindungen Verbindungsprofile Streams
Filestore	Sicherungen Instanzen Snapshots
Firestore	Datenbanken
Google Kubernetes Engine (GKE)	Cluster
Managed Service for Microsoft Active Directory (Managed Microsoft AD)	Domains
Memorystore for Redis	Instanzen
Resource Manager	Organisationen Ordner Projekte
VPC	Netzwerke Subnetzwerke Routen VPC-Firewallregeln