Services compatibles avec les tags

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Les ressources et les stratégies utilisées par chaque service utilisent des tags dans différentes de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Certains services, comme Identity and Access Management (IAM), sont des moteurs de stratégie prennent en charge les références par balises. Si vous pouvez associer un tag à une ressource de service le service Policy Engine prend en charge cette ressource, vous pouvez ensuite l'application conditionnelle de règles pour mieux contrôler la hiérarchie. Chaque service de moteur de règles répertorie les ressources compatibles Services du moteur de règles.

Les ressources non répertoriées comme explicitement compatibles avec les services Policy Engine ne peuvent pas être ciblées directement pour l'application conditionnelle des règles. Au lieu de cela, le parent la ressource de projet, de dossier ou d'organisation doit être taguée pour fournir un contrôle conditionnel.

Consultez la section appropriée ci-dessous pour associer des tags à votre service. ressources. Pour en savoir plus, consultez Créer et gérer des tags

Services de moteur de règles

Les services suivants incluent des règles pouvant inclure des tags. Référencer des tags de ces stratégies vous permettent d'affiner leur fonctionnement sur les dans la hiérarchie des ressources Google Cloud.

Service Google Cloud	Types de ressources
Identity and Access Management (IAM)	Règle uniquement
Service de règles d'organisation	Règles d'administration Buckets Cloud Storage Organisations Dossiers Projets
Cloud privé virtuel (VPC)	Stratégies de pare-feu réseau Instances de VM Instances de proxy Web sécurisé

Les sections suivantes décrivent comment utiliser les tags avec le moteur de règles services.

Identity and Access Management

Vous pouvez attribuer des rôles IAM de manière conditionnelle refuser les autorisations IAM de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non.

Les ressources héritent des valeurs de tag de leurs parents l'organisation, les dossiers et le projet. Par conséquent, vous pouvez utiliser des tags pour gérer l'accès à n'importe quelle ressource Google Cloud.

Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.

Service de règles d'administration

Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la façon dont votre organisation des contraintes de stratégie sont appliquées à certaines ressources. Les règles d'administration peuvent être appliqué de manière conditionnelle par des tags associés aux ressources suivantes:

• Ressources d'organisation, de dossier et de projet Google Cloud
• Buckets Cloud Storage

Les règles d'administration ne peuvent pas être appliquées de manière conditionnelle par des tags associés à les ressources non explicitement répertoriées ci-dessus. Toutefois, les contraintes liées aux règles d'administration qui agissent sur les stratégies d'autorisation IAM, partage restreint de domaine peut être appliquée de manière conditionnelle avec des tags sur n'importe quel service compatible ressource.

Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.

Cloud privé virtuel

Vous pouvez utiliser des tags pour définir les sources et les cibles dans les stratégies de pare-feu réseau, des stratégies de pare-feu régionales. Vous pouvez également associer des tags à la VM Compute Engine pour représenter différentes fonctions dans un réseau. Pour plus d'informations, consultez la section Tags Resource Manager pour les pare-feu.

Les ressources VPC suivantes peuvent être associées à des tags pour à utiliser dans les stratégies IAM:

• Réseaux
• Sous-réseaux
• Routes
• Règles de pare-feu VPC
• Stratégies de pare-feu réseau
• Stratégies de pare-feu régionales

Pour en savoir plus, consultez Créer et gérer des tags pour les ressources de cloud privé virtuel

Ressources de service compatibles

Vous pouvez associer des tags aux types de ressources Google Cloud suivants:

Service Google Cloud	Types de ressources
AlloyDB pour PostgreSQL	Clusters Sauvegardes
Artifact Registry	Dépôts (version preview)
BigQuery	Ensembles de données Tables
Bigtable	Instances
Cloud Data Fusion	Instances (preview)
Cloud Billing	Affichez les tags au niveau des ressources dans l'exportation BigQuery Cloud Billing.
Cloud Domains	Enregistrements
Cloud Key Management Service (Cloud KMS)	Trousseaux de clés
Cloud Load Balancing	Buckets backend Services de backend Règles de transfert Vérifications d'état Groupes de points de terminaison du réseau Proxys HTTP(S) cibles Instances cibles Pools cibles Proxys SSL cibles Proxys TCP cibles Certificats SSL Mappages d'URL
Cloud Run	Services Jobs (Preview)
Spanner	Instances
Cloud SQL	Instances
Cloud Storage	Buckets
Compute Engine	Images Instances Disques persistants régionaux Instantanés Disques persistants zonaux
Datastore	Bases de données
Datastream	Configurations de connectivité privée Profils de connexion Flux
Filestore	Sauvegardes Instances Instantanés
Firestore	Bases de données
Google Kubernetes Engine (GKE)	Clusters
Service géré pour Microsoft Active Directory (service Microsoft AD géré)	Domaines
Memorystore pour Redis	Instances
Resource Manager	Organisations Dossiers Projets
VPC	Réseaux Sous-réseaux Routes Règles de pare-feu VPC