Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien zulassen oder ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Die von den einzelnen Diensten verwendeten Ressourcen und Richtlinien nutzen Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.
Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Verweise nach Tags unterstützen. Wenn Sie ein Tag an eine Dienstressource anhängen können und der Policy Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Erzwingung von Richtlinien nutzen, um die Ressourcenhierarchie besser zu steuern. Für jeden Richtlinien-Engine-Dienst sind die unterstützten Ressourcen im Abschnitt Richtlinien-Engine-Dienste aufgeführt.
Ressourcen, die nicht als explizit von Policy Engine-Diensten unterstützt werden, können nicht direkt für die bedingte Erzwingung von Richtlinien ausgerichtet werden. Stattdessen sollte das übergeordnete Projekt, der Ordner oder die Organisationsressource getaggt werden, um eine bedingte Kontrolle zu ermöglichen.
Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihre Dienstressourcen anhängen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.
Richtlinien-Engine-Dienste
Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Durch Verweisen auf die Tags in diesen Richtlinien können Sie deren Funktionsweise auf unterstützte Ressourcen in Ihrer Google Cloud-Ressourcenhierarchie genau abstimmen.
Google Cloud-Dienst | Ressourcentypen |
---|---|
Identitäts- und Zugriffsverwaltung | |
Organisationsrichtliniendienst | |
Virtual Private Cloud (VPC) |
In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Richtlinien-Engine-Diensten verwenden können.
Identity and Access Management
Sie können IAM-Rollen bedingt gewähren oder IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Ressourcen übernehmen Tag-Werte von der übergeordneten Organisation, den Ordnern und dem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.
Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.
Organisationsrichtliniendienst
Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen Ihrer Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können durch Tags, die an die folgenden Ressourcen angehängt sind, bedingt erzwungen werden:
- Google Cloud-Organisations-, Ordner- und Projektressourcen
- Cloud Storage-Buckets
Organisationsrichtlinien können nicht durch Tags, die an oben nicht ausdrücklich aufgeführte Ressourcen angehängt sind, bedingt erzwungen werden. Allerdings können Einschränkungen für Organisationsrichtlinien, die auf IAM-Zulassungsrichtlinien angewendet werden, z. B. die domaineingeschränkte Freigabe, mit Tags für jede unterstützte Dienstressource bedingt erzwungen werden.
Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Virtual Private Cloud
Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.
An folgende VPC-Ressourcen können Tags zur Verwendung in IAM-Richtlinien angehängt werden:
- Netzwerke
- Subnetzwerke
- Routen
- VPC-Firewallregeln
- Netzwerk-Firewallrichtlinien
- Regionale Firewallrichtlinien
Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.
Unterstützte Dienstressourcen
Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:
Google Cloud-Dienst | Ressourcentypen |
---|---|
AlloyDB for PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Billing | |
Cloud Domains |
|
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Cloud Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
Datastream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Managed Service for Microsoft Active Directory | |
Memorystore for Redis | |
Resource Manager | |
VPC |