Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Die Ressourcen und Richtlinien, die von den einzelnen Diensten verwendet werden, nutzen Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.
Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Verweise von Tags unterstützen. Wenn Sie ein Tag an eine Dienstressource anhängen können und der Policy Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Erzwingung von Richtlinien nutzen, um die Ressourcenhierarchie besser zu steuern. Jeder Richtlinien-Engine-Dienst listet im Abschnitt Policy Engine-Dienste die unterstützten Ressourcen auf.
Ressourcen, die nicht als explizit von Richtlinien-Engine-Diensten unterstützt aufgeführt sind, können nicht direkt für die bedingte Erzwingung von Richtlinien verwendet werden. Stattdessen sollte das übergeordnete Projekt, der Ordner oder die Organisationsressource mit Tags versehen werden, um eine bedingte Kontrolle zu ermöglichen.
Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihre Dienstressourcen anhängen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.
Policy Engine-Dienste
Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Wenn Sie auf Tags in diesen Richtlinien verweisen, können Sie ihre Funktionsweise mit unterstützten Ressourcen in Ihrer Google Cloud-Ressourcenhierarchie genau abstimmen.
Google Cloud-Dienst | Ressourcentypen |
---|---|
Identitäts- und Zugriffsverwaltung | |
Organisationsrichtliniendienst | |
Virtual Private Cloud (VPC) |
In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Richtlinien-Engine-Diensten verwenden können.
Identity and Access Management
Sie können IAM-Rollen bedingt gewähren oder IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Ressourcen übernehmen Tag-Werte von ihrer übergeordneten Organisation, ihren Ordnern und ihrem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.
Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.
Organisationsrichtliniendienst
Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie Einschränkungen für Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können bedingt durch Tags erzwungen werden, die an die folgenden Ressourcen angehängt sind:
- Google Cloud-Organisations-, -Ordner- und -Projektressourcen
- Cloud Storage-Buckets
Organisationsrichtlinien können nicht bedingt durch Tags erzwungen werden, die an Ressourcen angehängt sind, die oben nicht explizit aufgeführt sind. Einschränkungen für Organisationsrichtlinien, die für IAM-Zulassungsrichtlinien gelten, wie die domaineingeschränkte Freigabe, können jedoch mit Tags für jede unterstützte Dienstressource bedingt erzwungen werden.
Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Virtual Private Cloud
Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.
An die folgenden VPC-Ressourcen können Tags zur Verwendung in IAM-Richtlinien angehängt werden:
- Netzwerke
- Subnetzwerke
- Routen
- VPC-Firewallregeln
- Netzwerk-Firewallrichtlinien
- Regionale Firewallrichtlinien
Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.
Unterstützte Dienstressourcen
Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:
Google Cloud-Dienst | Ressourcentypen |
---|---|
AlloyDB for PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Cloud Billing | |
Cloud Domains |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Cloud Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
Datastream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Managed Service for Microsoft Active Directory (Managed Microsoft AD) | |
Memorystore for Redis | |
Resource Manager | |
VPC |