Dienste, die Tags unterstützen

Tags bieten eine Möglichkeit, Anmerkungen für Ressourcen zu erstellen. In einigen Fällen Richtlinien je nachdem, ob eine Ressource eine bestimmte Tag. Die Ressourcen und Richtlinien, die von jedem Dienst verwendet werden, nutzen Tags in unterschiedlichen . Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.

Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, unterstützen Referenzen nach Tags. Wenn Sie ein Tag an eine Dienstressource anhängen können unterstützt der Policy Engine-Dienst diese Ressource. die bedingte Erzwingung von Richtlinien zur besseren Kontrolle Ihrer Ressource Hierarchie. Jeder Policy Engine-Dienst listet die unterstützten Ressourcen im Policy Engine-Dienste.

Ressourcen, die nicht als explizit von Policy Engine-Diensten unterstützt aufgeführt sind, können nicht für die bedingte Erzwingung von Richtlinien. Stattdessen muss das übergeordnete Element Projekt-, Ordner- oder Organisationsressource sollten mit einem Tag versehen sein, damit bedingter Kontrolle.

Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihren Dienst anhängen. Ressourcen. Weitere Informationen finden Sie unter Tags erstellen und verwalten

Policy Engine-Dienste

Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Tags referenzieren in diesen Richtlinien, können Sie die Funktionsweise in Ihrer Google Cloud-Ressourcenhierarchie.

Google Cloud-Dienst	Ressourcentypen
Identitäts- und Zugriffsverwaltung	Nur Richtlinien
Organisationsrichtliniendienst	Organisationsrichtlinien Cloud Storage-Buckets Organisationen Ordner Projekte
Virtual Private Cloud (VPC)	Netzwerk-Firewallrichtlinien VM-Instanzen Sichere Web-Proxy-Instanzen

In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit der Richtlinien-Engine verwenden können .

Identity and Access Management

Sie können IAM-Rollen bedingt zuweisen oder IAM-Berechtigungen bedingt ablehnen je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Ressourcen übernehmen die Tag-Werte vom übergeordneten Element Organisation, Ordner und Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Organisationsrichtliniendienst

Mithilfe von Organisationsrichtlinien mit Tags können Sie steuern, wie Ihre Organisation Richtlinieneinschränkungen gelten für bestimmte Ressourcen. Organisationsrichtlinien können durch Tags, die an die folgenden Ressourcen angehängt sind, bedingt erzwungen:

• Google Cloud-Organisations-, -Ordner- und -Projektressourcen
• Cloud Storage-Buckets

Organisationsrichtlinien können nicht bedingt durch Tags erzwungen werden, die an folgende Adressen angehängt sind: Ressourcen, die oben nicht ausdrücklich aufgeführt sind. Einschränkungen der Organisationsrichtlinien die mit IAM-Zulassungsrichtlinien arbeiten, z. B. Domaineingeschränkte Freigabe Einschränkung, kann mit Tags für jeden unterstützten Dienst bedingt erzwungen werden Ressource.

Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Virtual Private Cloud

Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionale Firewallrichtlinien. Sie können Tags auch an die Compute Engine-VM anhängen um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen Siehe Resource Manager-Tags für Firewalls.

An die folgenden VPC-Ressourcen können Tags für in IAM-Richtlinien verwenden:

• Netzwerke
• Subnetzwerke
• Routen
• VPC-Firewallregeln
• Netzwerk-Firewallrichtlinien
• Regionale Firewallrichtlinien

Weitere Informationen finden Sie unter Erstellen und verwalten Sie Tags für Virtual Private Cloud-Ressourcen.

Unterstützte Dienstressourcen

Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:

Google Cloud-Dienst	Ressourcentypen
AlloyDB for PostgreSQL	Cluster Sicherungen
Artifact Registry	Repositories (Vorschau)
BigQuery	Datasets Tables
Bigtable	Instanzen
Cloud Data Fusion	Instanzen (Vorschau)
Cloud Billing	Sehen Sie sich die Tags auf Ressourcenebene im Cloud Billing BigQuery-Export an.
Cloud Domains	Anmeldungen
Cloud Key Management Service (Cloud KMS)	Schlüsselbunde
Cloud Load Balancing	Back-End-Buckets Back-End-Dienste Weiterleitungsregeln Systemdiagnosen Netzwerk-Endpunktgruppen Ziel-HTTP(S)-Proxys Zielinstanzen Zielpools Ziel-SSL-Proxys Ziel-TCP-Proxys SSL-Zertifikate URL-Zuordnungen
Cloud Run	Dienste Jobs (Vorschau)
Spanner	Instanzen
Cloud SQL	Instanzen
Cloud Storage	Buckets
Compute Engine	Bilder Instanzen Regionale nichtflüchtige Speicher Snapshots Zonale nichtflüchtige Speicher
Datastore	Datenbanken
Datastream	Konfigurationen für private Verbindungen Verbindungsprofile Streams
Filestore	Sicherungen Instanzen Snapshots
Firestore	Datenbanken
Google Kubernetes Engine (GKE)	Cluster
Managed Service for Microsoft Active Directory (Managed Microsoft AD)	Domains
Memorystore for Redis	Instanzen
Resource Manager	Organisationen Ordner Projekte
VPC	Netzwerke Subnetzwerke Routen VPC-Firewallregeln