Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Los recursos y las políticas que usa cada servicio aprovechan las etiquetas de diferentes maneras. Para obtener más información sobre las etiquetas, consulta la Descripción general de etiquetas.
Algunos servicios, como Identity and Access Management (IAM), son motores de políticas que admiten referencias por etiquetas. Si puedes adjuntar una etiqueta a un recurso de servicio y el servicio de motor de políticas admite ese recurso, puedes aprovechar la aplicación condicional de políticas para controlar mejor la jerarquía de recursos. Cada servicio de motor de políticas enumera los recursos que admite en la sección Servicios de motor de políticas.
Los recursos que no figuran como admitidos explícitamente por los servicios del motor de políticas no pueden orientarse directamente para la aplicación condicional de políticas. En su lugar, el proyecto superior, la carpeta o el recurso de la organización deben etiquetarse para proporcionar control condicional.
Revisa la sección correspondiente a continuación cuando conectes etiquetas a los recursos de tu servicio. Para obtener más información, consulta Crea y administra etiquetas.
Servicios de Policy Engine
Los siguientes servicios incluyen políticas que pueden incluir etiquetas. Hacer referencia a las etiquetas en estas políticas te permite ajustar con precisión la forma en que operan en los recursos compatibles en tu jerarquía de recursos de Google Cloud.
Servicio de Google Cloud | Tipos de recursos |
---|---|
Administración de identidades y accesos (IAM) | |
Servicio de políticas de la organización | |
Nube privada virtual (VPC) |
En las siguientes secciones, se describe cómo puedes usar etiquetas con los servicios de Policy Engine.
Identity and Access Management
Puedes asignar funciones de IAM de forma condicional o rechazar los permisos de IAM de forma condicional en función de si un recurso tiene una etiqueta específica.
Los recursos heredan los valores de etiqueta de su organización, carpetas y proyecto superiores. Como resultado, puedes usar etiquetas para administrar el acceso a cualquier recurso de Google Cloud.
Para obtener más información sobre el uso de etiquetas con la IAM a fin de controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.
Servicio de políticas de la organización
Puedes usar políticas de la organización con etiquetas para controlar cómo se aplican las restricciones de las políticas de la organización en ciertos recursos. Las políticas de la organización se pueden aplicar de manera condicional mediante etiquetas adjuntas a los siguientes recursos:
- Recursos de organización, carpetas y proyectos de Google Cloud
- Buckets de Cloud Storage
Las políticas de la organización no se pueden aplicar de manera condicional mediante etiquetas adjuntas a recursos que no se mencionaron de forma explícita. Sin embargo, las restricciones de las políticas de la organización que operan en las políticas de permiso de IAM, como la restricción de uso compartido restringido del dominio, se pueden aplicar de forma condicional con etiquetas en cualquier recurso de servicio compatible.
Para obtener más información, consulta Configura una política de la organización con etiquetas.
Nube privada virtual
Puedes usar etiquetas para definir fuentes y destinos en políticas de firewall de red y políticas de firewall regionales. También puedes adjuntar etiquetas a las instancias de VM de Compute Engine para representar diferentes funciones en una red. Si deseas obtener más información, consulta Etiquetas de Resource Manager para firewalls.
Los siguientes recursos de VPC pueden tener etiquetas adjuntas para usar en las políticas de IAM:
- Redes
- Subredes
- Rutas
- Reglas de firewall de VPC
- Políticas de firewall de red
- Políticas de firewall regional
Si deseas obtener más información, consulta Crea y administra etiquetas para los recursos de la nube privada virtual.
Recursos de servicio compatibles
Puedes adjuntar etiquetas a los siguientes tipos de recursos de Google Cloud:
Servicio de Google Cloud | Tipos de recursos |
---|---|
AlloyDB para PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Facturación de Cloud | |
Dominios en la nube |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
DataStream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) | |
Memorystore para Redis | |
Resource Manager | |
VPC |