Servicios que admiten etiquetas

Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Los recursos y las políticas que usa cada servicio aprovechan las etiquetas de diferentes maneras. Para obtener más información sobre las etiquetas, consulta la Descripción general de etiquetas.

Algunos servicios, como la administración de identidades y accesos (IAM), son motores de políticas que admiten referencias por etiquetas. Si puedes adjuntar una etiqueta a un recurso de servicio el servicio de motor de políticas admite ese recurso, puedes aprovechar la aplicación condicional de políticas para controlar mejor tu recurso en la nube. Cada servicio de Policy Engine enumera los recursos que admite Sección Servicios del motor de políticas.

Los recursos que no se indican como compatibles de forma explícita con los servicios del motor de políticas no se pueden segmentar directamente para la aplicación forzosa condicional de las políticas. En su lugar, se debe etiquetar el recurso superior del proyecto, la carpeta o la organización para proporcionar control condicional.

Revisa la sección correspondiente a continuación cuando adjuntes etiquetas a tu servicio de Google Cloud. Para obtener más información, consulta Crea y administra etiquetas.

Servicios de Policy Engine

Los siguientes servicios incluyen políticas que pueden incluir etiquetas. Referencia de etiquetas de estas políticas le permite ajustar en detalle la forma en que operan en recursos en tu jerarquía de recursos de Google Cloud.

Servicio de Google Cloud Tipos de recursos
Administración de identidades y accesos (IAM)
Servicio de políticas de la organización
Nube privada virtual (VPC)

En las siguientes secciones, se describe cómo puedes usar etiquetas con el motor de políticas de Google Cloud.

Administración de identidades y accesos

Puedes asignar roles de IAM de forma condicional o denegar condicionalmente los permisos de IAM según si un recurso tiene una etiqueta específica.

Los recursos heredan valores de etiquetas de su organización superior, carpetas y proyecto. Como resultado, puedes usar etiquetas para administrar el acceso a cualquier recurso de Google Cloud.

Para obtener más información sobre el uso de etiquetas con la IAM a fin de controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.

Servicio de políticas de la organización

Puedes usar las políticas de la organización con etiquetas para controlar se aplican restricciones de políticas en ciertos recursos. Las políticas de la organización se pueden aplicar de forma condicional con etiquetas que se adjuntan a los siguientes recursos:

  • Recursos de organización, carpeta y proyecto de Google Cloud
  • Buckets de Cloud Storage

Las políticas de la organización no se pueden aplicar de forma condicional con etiquetas adjuntas a recursos que no se mencionaron explícitamente anteriormente. Sin embargo, las restricciones de las políticas de la organización que operan en las políticas de IAM, como la restricción de uso compartido restringido al dominio, se pueden aplicar de forma condicional con etiquetas en cualquier recurso de servicio compatible.

Para obtener más información, consulta Configura una política de la organización con etiquetas.

Nube privada virtual

Puedes usar etiquetas para definir orígenes y destinos en las políticas de firewall de red políticas de firewall regionales. También puedes adjuntar etiquetas a instancias de VM de Compute Engine para representar diferentes funciones en una red. Para obtener más información, consulta Etiquetas de Resource Manager para firewalls.

Los siguientes recursos de VPC pueden tener etiquetas adjuntas para su uso en las políticas de IAM:

Para obtener más información, consulta Crea y administra etiquetas para los recursos de nube privada virtual.

Recursos de servicio compatibles

Puedes adjuntar etiquetas a los siguientes tipos de recursos de Google Cloud:

Servicio de Google Cloud Tipos de recursos
AlloyDB para PostgreSQL
Artifact Registry
BigQuery
Bigtable
Cloud Data Fusion
Facturación de Cloud
Cloud Deploy
Dominios en la nube
  • Registros
Identity and Access Management
Cloud Key Management Service (Cloud KMS)
Cloud Load Balancing
Cloud Run
Spanner
Cloud SQL
Cloud Storage
Compute Engine
Datastore
DataStream
Filestore
  • Copias de seguridad
  • Instancias
  • Instantáneas
Firestore
Google Kubernetes Engine (GKE)
Servicio administrado para Microsoft Active Directory (Microsoft AD administrado)
Memorystore para Redis
Resource Manager
VPC
Secret Manager