Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Los recursos y las políticas que usa cada servicio aprovechan las etiquetas de diferentes maneras. Para obtener más información sobre las etiquetas, consulta la Descripción general de etiquetas.
Algunos servicios, como la administración de identidades y accesos (IAM), son motores de políticas que admiten referencias por etiquetas. Si puedes adjuntar una etiqueta a un recurso de servicio el servicio de motor de políticas admite ese recurso, puedes aprovechar la aplicación condicional de políticas para controlar mejor tu recurso en la nube. Cada servicio de Policy Engine enumera los recursos que admite Sección Servicios del motor de políticas.
Los recursos que no se indican como compatibles de forma explícita con los servicios del motor de políticas no se pueden segmentar directamente para la aplicación forzosa condicional de las políticas. En su lugar, se debe etiquetar el recurso superior del proyecto, la carpeta o la organización para proporcionar control condicional.
Revisa la sección correspondiente a continuación cuando adjuntes etiquetas a tu servicio de Google Cloud. Para obtener más información, consulta Crea y administra etiquetas.
Servicios de Policy Engine
Los siguientes servicios incluyen políticas que pueden incluir etiquetas. Referencia de etiquetas de estas políticas le permite ajustar en detalle la forma en que operan en recursos en tu jerarquía de recursos de Google Cloud.
Servicio de Google Cloud | Tipos de recursos |
---|---|
Administración de identidades y accesos (IAM) | |
Servicio de políticas de la organización | |
Nube privada virtual (VPC) |
En las siguientes secciones, se describe cómo puedes usar etiquetas con el motor de políticas de Google Cloud.
Administración de identidades y accesos
Puedes asignar roles de IAM de forma condicional o denegar condicionalmente los permisos de IAM según si un recurso tiene una etiqueta específica.
Los recursos heredan valores de etiquetas de su organización superior, carpetas y proyecto. Como resultado, puedes usar etiquetas para administrar el acceso a cualquier recurso de Google Cloud.
Para obtener más información sobre el uso de etiquetas con la IAM a fin de controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.
Servicio de políticas de la organización
Puedes usar las políticas de la organización con etiquetas para controlar se aplican restricciones de políticas en ciertos recursos. Las políticas de la organización se pueden aplicar de forma condicional con etiquetas que se adjuntan a los siguientes recursos:
- Recursos de organización, carpeta y proyecto de Google Cloud
- Buckets de Cloud Storage
Las políticas de la organización no se pueden aplicar de forma condicional con etiquetas adjuntas a recursos que no se mencionaron explícitamente anteriormente. Sin embargo, las restricciones de las políticas de la organización que operan en las políticas de IAM, como la restricción de uso compartido restringido al dominio, se pueden aplicar de forma condicional con etiquetas en cualquier recurso de servicio compatible.
Para obtener más información, consulta Configura una política de la organización con etiquetas.
Nube privada virtual
Puedes usar etiquetas para definir orígenes y destinos en las políticas de firewall de red políticas de firewall regionales. También puedes adjuntar etiquetas a instancias de VM de Compute Engine para representar diferentes funciones en una red. Para obtener más información, consulta Etiquetas de Resource Manager para firewalls.
Los siguientes recursos de VPC pueden tener etiquetas adjuntas para su uso en las políticas de IAM:
- Redes
- Subredes
- Rutas
- Reglas de firewall de VPC
- Políticas de firewall de red
- Políticas de firewall regionales
Para obtener más información, consulta Crea y administra etiquetas para los recursos de nube privada virtual.
Recursos de servicio compatibles
Puedes adjuntar etiquetas a los siguientes tipos de recursos de Google Cloud:
Servicio de Google Cloud | Tipos de recursos |
---|---|
AlloyDB para PostgreSQL | |
Artifact Registry | |
BigQuery | |
Bigtable | |
Cloud Data Fusion | |
Facturación de Cloud | |
Cloud Deploy | |
Dominios en la nube |
|
Identity and Access Management | |
Cloud Key Management Service (Cloud KMS) | |
Cloud Load Balancing | |
Cloud Run | |
Spanner | |
Cloud SQL | |
Cloud Storage | |
Compute Engine | |
Datastore | |
DataStream | |
Filestore |
|
Firestore | |
Google Kubernetes Engine (GKE) | |
Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) | |
Memorystore para Redis | |
Resource Manager | |
VPC | |
Secret Manager |