Dienste, die Tags unterstützen

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien zulassen oder ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Die von den einzelnen Diensten verwendeten Ressourcen und Richtlinien nutzen Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.

Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Verweise nach Tags unterstützen. Wenn Sie ein Tag an eine Dienstressource anhängen können und der Policy Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Erzwingung von Richtlinien nutzen, um die Ressourcenhierarchie besser zu steuern. Für jeden Richtlinien-Engine-Dienst sind die unterstützten Ressourcen im Abschnitt Richtlinien-Engine-Dienste aufgeführt.

Ressourcen, die nicht als explizit von Policy Engine-Diensten unterstützt werden, können nicht direkt für die bedingte Erzwingung von Richtlinien ausgerichtet werden. Stattdessen sollte das übergeordnete Projekt, der Ordner oder die Organisationsressource getaggt werden, um eine bedingte Kontrolle zu ermöglichen.

Lesen Sie den entsprechenden Abschnitt unten, wenn Sie Tags an Ihre Dienstressourcen anhängen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.

Richtlinien-Engine-Dienste

Die folgenden Dienste enthalten Richtlinien, die Tags enthalten können. Durch Verweisen auf die Tags in diesen Richtlinien können Sie deren Funktionsweise auf unterstützte Ressourcen in Ihrer Google Cloud-Ressourcenhierarchie genau abstimmen.

Google Cloud-Dienst	Ressourcentypen
Identitäts- und Zugriffsverwaltung	Nur Richtlinie
Organisationsrichtliniendienst	Organisationsrichtlinien Cloud Storage-Buckets Organisationen Ordner Projekte
Virtual Private Cloud (VPC)	Netzwerk-Firewallrichtlinien VM-Instanzen Sichere Web-Proxy-Instanzen

In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Richtlinien-Engine-Diensten verwenden können.

Identity and Access Management

Sie können IAM-Rollen bedingt gewähren oder IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Ressourcen übernehmen Tag-Werte von der übergeordneten Organisation, den Ordnern und dem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud-Ressource verwalten.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud-Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Organisationsrichtliniendienst

Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen Ihrer Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können durch Tags, die an die folgenden Ressourcen angehängt sind, bedingt erzwungen werden:

• Google Cloud-Organisations-, Ordner- und Projektressourcen
• Cloud Storage-Buckets

Organisationsrichtlinien können nicht durch Tags, die an oben nicht ausdrücklich aufgeführte Ressourcen angehängt sind, bedingt erzwungen werden. Allerdings können Einschränkungen für Organisationsrichtlinien, die auf IAM-Zulassungsrichtlinien angewendet werden, z. B. die domaineingeschränkte Freigabe, mit Tags für jede unterstützte Dienstressource bedingt erzwungen werden.

Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Virtual Private Cloud

Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.

An folgende VPC-Ressourcen können Tags zur Verwendung in IAM-Richtlinien angehängt werden:

• Netzwerke
• Subnetzwerke
• Routen
• VPC-Firewallregeln
• Netzwerk-Firewallrichtlinien
• Regionale Firewallrichtlinien

Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.

Unterstützte Dienstressourcen

Sie können Tags an die folgenden Arten von Google Cloud-Ressourcen anhängen:

Google Cloud-Dienst	Ressourcentypen
AlloyDB for PostgreSQL	Cluster Sicherungen
Artifact Registry	Repositories (Vorschau)
BigQuery	Datasets Tables
Bigtable	Instanzen
Cloud Billing	Tags auf Ressourcenebene im BigQuery-Export zu Cloud Billing ansehen.
Cloud Domains	Anmeldungen
Cloud Key Management Service (Cloud KMS)	Schlüsselbunde
Cloud Load Balancing	Back-End-Buckets Back-End-Dienste Weiterleitungsregeln Systemdiagnosen Netzwerk-Endpunktgruppen Ziel-HTTP(S)-Proxys Zielinstanzen Zielpools Ziel-SSL-Proxys Ziel-TCP-Proxys SSL-Zertifikate URL-Zuordnungen
Cloud Run	Dienste Jobs (Vorschau)
Cloud Spanner	Instanzen
Cloud SQL	Instanzen
Cloud Storage	Buckets
Compute Engine	Bilder Instanzen Regionale nichtflüchtige Speicher Snapshots Zonale nichtflüchtige Speicher
Datastore	Datenbanken
Datastream	Konfigurationen für private Verbindungen Verbindungsprofile Streams
Filestore	Sicherungen Instanzen Snapshots
Firestore	Datenbanken
Google Kubernetes Engine (GKE)	Cluster
Managed Service for Microsoft Active Directory	Domains
Memorystore for Redis	Instanzen
Resource Manager	Organisationen Ordner Projekte
VPC	Netzwerke Subnetzwerke Routen VPC-Firewallregeln