タグを使用すると、リソースのアノテーションを作成できます。場合によっては、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。各サービスで使用されるリソースとポリシーは、さまざまな方法でタグを利用します。タグの詳細については、タグの概要をご覧ください。
Identity and Access Management(IAM)などの一部のサービスは、タグによる参照をサポートするポリシー エンジンです。サービス リソースにタグを添付でき、ポリシー エンジン サービスがこのリソースをサポートしている場合、ポリシーの条件付き適用を利用すると、リソース階層をより適切に制御できます。各ポリシー エンジン サービスでは、サポートされるリソースがポリシー エンジン サービス セクションに表示されます。
ポリシー エンジン サービスによって明示的にサポートされていると表示されていないリソースは、ポリシーの条件付き適用に直接対象にすることはできません。代わりに、親のプロジェクト、フォルダ、組織リソースにタグを付けて、条件付き制御を行う必要があります。
サービス リソースにタグを添付する場合は、該当するセクションをご覧ください。詳細については、タグの作成と管理をご覧ください。
ポリシー エンジン サービス
次のサービスには、タグを含めることができるポリシーが含まれます。これらのポリシーでタグを参照すると、Google Cloud リソース階層において、サポートされているリソースに対する動作を細かく調整できます。
| Google Cloud サービス | リソースタイプ |
|---|---|
| Identity and Access Management(IAM) | |
| 組織ポリシー サービス | |
| Virtual Private Cloud(VPC) |
以降のセクションでは、ポリシー エンジン サービスでタグを使用する方法について説明します。
Identity and Access Management
リソースに特定のタグが設定されているかどうかに応じて、IAM のロールを条件付きで付与または IAM の権限を条件付きで拒否できます。
リソースは、親の組織、フォルダ、プロジェクトからタグ値を継承します。その結果、タグを使用して任意の Google Cloud リソースへのアクセスを管理できます。
IAM でタグを使用して Google Cloud リソースへのアクセス権を制御する方法についての詳細は、タグとアクセス制御をご覧ください。
組織ポリシー サービス
タグと一緒に組織のポリシーを使用すると、特定のリソースに対して組織のポリシーの制約を適用する方法を制御できます。次のリソースに接続されたタグによって、組織のポリシーを条件付きで適用できます。
- Google Cloud の組織、フォルダ、プロジェクトのリソース
- Cloud Storage バケット
上記で明示的にリストされていないリソースに付加されたタグでは、組織のポリシーを条件付きで適用することはできません。ただし、ドメインで制限された共有制約のような IAM 許可ポリシーで動作する組織のポリシーの制約は、サポートされるサービス リソースに対してタグで条件付きで適用できます。
詳細については、タグ付きの組織のポリシーの設定をご覧ください。
Virtual Private Cloud
タグを使用して、ネットワーク ファイアウォール ポリシーとリージョン ファイアウォール ポリシーで、ソースとターゲットを定義できます。Compute Engine VM インスタンスにタグを付けて、ネットワーク内のさまざまな機能を表すこともできます。詳細については、ファイアウォールの Resource Manager タグをご覧ください。
次の VPC リソースには、IAM ポリシーで使用するタグを添付できます。
詳細については、Virtual Private Cloud リソースのタグを作成して管理するをご覧ください。
サポートされるサービス リソース
次のタイプの Google Cloud リソースにタグを添付できます。