Dienste, die Tags unterstützen

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Die von den einzelnen Diensten verwendeten Ressourcen und Richtlinien nutzen Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.

Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Referenzen nach Tags unterstützen. Wenn Sie einer Dienstressource ein Tag zuweisen können und der Richtlinien-Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Durchsetzung von Richtlinien nutzen, um Ihre Ressourcenhierarchie besser zu steuern. Jeder Richtlinien-Engine-Dienst listet die unterstützten Ressourcen im Abschnitt Richtlinien-Engine-Dienste auf.

Ressourcen, die nicht explizit von Richtlinien-Engine-Diensten unterstützt werden, können nicht direkt für die bedingte Erzwingung von Richtlinien verwendet werden. Stattdessen sollte die übergeordnete Projekt-, Ordner- oder Organisationsressource getaggt werden, um eine bedingte Steuerung zu ermöglichen.

Sehen Sie sich den entsprechenden Abschnitt unten an, wenn Sie Ihren Serviceressourcen Tags zuweisen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.

Richtlinien-Engine-Dienste

Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Wenn Sie in diesen Richtlinien auf Tags verweisen, können Sie genau festlegen, wie sie für unterstützte Ressourcen in Ihrer Google Cloud Ressourcenhierarchie funktionieren.

Google Cloud -Dienst	Ressourcentypen
Identitäts- und Zugriffsverwaltung	Zulassungs- und Ablehnungsrichtlinien
Organisationsrichtliniendienst	Organisationsrichtlinien Ressourcen, die Tags unterstützen
Virtual Private Cloud (VPC)	Netzwerk-Firewallrichtlinien VM-Instanzen Secure Web Proxy-Instanzen

In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Policy Engine-Diensten verwenden können.

Identity and Access Management

Sie können IAM-Rollen bedingt gewähren oder IAM-Berechtigungen ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Ressourcen übernehmen Tag-Werte von ihrer übergeordneten Organisation, ihren Ordnern und ihrem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud -Ressource verwalten.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud -Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Organisationsrichtliniendienst

Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen für Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können bedingt erzwungen werden, indem auf Tags verwiesen wird, die an unterstützte Ressourcen angehängt sind.

Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Virtual Private Cloud

Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.

Den folgenden VPC-Ressourcen können Tags angehängt werden, die in IAM-Richtlinien verwendet werden können:

• Netzwerke
• Subnetzwerke
• Routen
• VPC-Firewallregeln
• Netzwerk-Firewallrichtlinien
• Regionale Firewallrichtlinien

Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.

Unterstützte Serviceressourcen

Sie können Tags an die folgenden Arten von Google Cloud Ressourcen anhängen:

Google Cloud -Dienst	Ressourcentypen
AlloyDB for PostgreSQL	Cluster Sicherungen
API Gateway	APIs Gateways
API Hub	APIs API-Bereitstellungen
Artifact Registry	Repositories (Vorschau)
BigQuery	Datasets Tables Aufrufe
Bigtable	Instanzen
Google Cloud Armor	Network Edge Security Services Sicherheitsrichtlinien
Zertifikatmanager	Zertifikate Zertifikatszuordnungen Vertrauenskonfigurationen Konfigurationen der Zertifikatsausstellung DNS-Autorisierungen
Certificate Authority Service	CA-Pools Zertifikatsvorlagen
Cloud Billing	Tags auf Ressourcenebene im BigQuery-Export von Cloud Billing ansehen
Cloud Data Fusion	Instanzen (Vorschau)
Cloud Deploy	Bereitstellungspipelines (Vorschau) Ziele (Vorschau)
Cloud Domains	Anmeldungen
Cloud Key Management Service (Cloud KMS)	Schlüsselanhänger
Cloud Load Balancing	Back-End-Buckets Back-End-Dienste Weiterleitungsregeln Systemdiagnosen Netzwerk-Endpunktgruppen SSL-Richtlinien SSL-Zertifikate gRPC-Zielproxys HTTP(S)-Zielproxys Zielinstanzen Zielpools SSL-Zielproxys TCP-Zielproxys URL-Zuordnungen Zonale Instanzgruppen
Cloud Logging	Log-Buckets
Cloud Router	Router
Cloud Interconnect	Interconnects Interconnect-Anhänge
Cloud VPN	Externe VPN-Gateways VPN-Gateways VPN-Tunnel Ziel-VPN-Gateways
Cloud Run	Dienste Jobs (Vorschau)
Cloud SQL	Instanzen
Cloud Storage	Buckets
Transcoder API	Job JobTemplate
Compute Engine	Bilder Instanzen Regionale nichtflüchtige Speicher Snapshots Zonale nichtflüchtige Speicher
Datastore	Datenbanken
Datastream	Konfigurationen für private Verbindungen Verbindungsprofile Streams
Filestore	Sicherungen Instanzen Snapshots
Firestore	Datenbanken
Google Distributed Cloud	BareMetalCluster BareMetalAdminCluster VMWareCluster VMWareAdminCluster
Google Kubernetes Engine (GKE)	Cluster
Identity and Access Management	Dienstkonten
Managed Service for Microsoft Active Directory (Managed Microsoft AD)	Domains
Memorystore for Redis	Instanzen
reCAPTCHA Enterprise	Schlüssel
Resource Manager	Organisationen Ordner Projekte
Secret Manager	Secrets
Spanner	Instanzen
Google Cloud VMware Engine	Private Cloud Private Verbindung Netzwerke Netzwerk-Peering Netzwerkrichtlinie
VPC	Netzwerke Subnetzwerke Routen VPC-Firewallregeln
Workflows	Workflows