I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Le risorse e i criteri utilizzati da ciascun servizio sfruttano i tag in diversi modi. Per ulteriori informazioni sui tag, consulta Panoramica sui tag.
Alcuni servizi, come Identity and Access Management (IAM), sono motori di criteri che supportano i riferimenti per tag. Se puoi collegare un tag a una risorsa di servizio e il servizio Policy Engine supporta la risorsa, puoi utilizzare l'applicazione condizionale dei criteri per controllare meglio la gerarchia delle risorse. Ogni servizio di Policy Engine elenca le risorse che supporta nella sezione Servizi di Policy Engine.
Le risorse non elencate come esplicitamente supportate dai servizi del motore dei criteri non possono essere scelte direttamente come target per l'applicazione condizionale dei criteri. Invece, il progetto, la cartella o la risorsa organizzazione padre devono essere taggati per fornire il controllo condizionale.
Rivedi la sezione appropriata riportata di seguito quando colleghi i tag alle risorse di servizio. Per ulteriori informazioni, consulta Creazione e gestione dei tag.
Servizi di Policy Engine
I seguenti servizi includono criteri che possono includere tag. Fare riferimento ai tag in questi criteri consente di ottimizzare il modo in cui operano sulle risorse supportate nella gerarchia delle risorse Google Cloud.
Servizio Google Cloud | Tipi di risorse |
---|---|
Identity and Access Management (IAM) | |
Servizio Criteri dell'organizzazione | |
Virtual Private Cloud (VPC) |
Le seguenti sezioni descrivono come utilizzare i tag con i servizi di Policy Engine.
Identity and Access Management
Puoi concedere ruoli IAM in modo condizionale o negare condizionalmente le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.
Le risorse ereditano i valori dei tag dall'organizzazione, dalle cartelle e dal progetto principali. Di conseguenza, puoi usare i tag per gestire l'accesso a qualsiasi risorsa Google Cloud.
Per ulteriori informazioni sull'utilizzo dei tag con IAM per controllare l'accesso alle risorse Google Cloud, consulta Tag e controllo dell'accesso.
Servizio Criteri dell'organizzazione
Puoi utilizzare i criteri dell'organizzazione con tag per controllare il modo in cui i vincoli dei criteri dell'organizzazione vengono applicati a determinate risorse. I criteri dell'organizzazione possono essere applicati in modo condizionale tramite tag associati alle seguenti risorse:
- Risorse per l'organizzazione, le cartelle e i progetti Google Cloud
- Bucket Cloud Storage
I criteri dell'organizzazione non possono essere applicati in modo condizionale in base ai tag associati a risorse non elencate esplicitamente sopra. Tuttavia, i vincoli dei criteri dell'organizzazione che operano sui criteri di autorizzazione IAM, come il vincolo di condivisione limitata dei domini, possono essere applicati in modo condizionale con tag a qualsiasi risorsa di servizio supportata.
Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con i tag.
Virtual Private Cloud
Puoi utilizzare i tag per definire origini e destinazioni nei criteri firewall di rete e nei criteri firewall regionali. Puoi anche collegare tag alle istanze VM di Compute Engine per rappresentare funzioni diverse in una rete. Per maggiori informazioni, consulta Tag di Resource Manager per i firewall.
Alle seguenti risorse VPC è possibile collegare tag per l'utilizzo nei criteri IAM:
- Reti
- Subnet
- Route
- Regole firewall VPC
- Criteri del firewall di rete
- Criteri firewall a livello di regione
Per ulteriori informazioni, consulta Creare e gestire tag per le risorse Virtual Private Cloud.
Risorse di servizio supportate
Puoi collegare i tag ai seguenti tipi di risorse Google Cloud:
Servizio Google Cloud | Tipi di risorse |
---|---|
AlloyDB per PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Cloud Billing | |
Cloud Domains |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
Datastream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Servizio gestito per Microsoft Active Directory (Microsoft AD gestito) | |
Memorystore for Redis | |
Resource Manager | |
VPC |