Servicios que admiten etiquetas

Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permiten o rechazan de forma condicional políticas en función de si un recurso tiene una etiqueta específica. Los recursos y las políticas que usa cada servicio aprovechan las etiquetas de diferentes maneras. Para obtener más información sobre las etiquetas, consulta la Descripción general de etiquetas.

Algunos servicios, como Identity and Access Management (IAM), son motores de políticas que admiten referencias por etiquetas. Si puedes adjuntar una etiqueta a un recurso de servicio y el servicio del motor de políticas admite ese recurso, puedes aprovechar la aplicación condicional de políticas para controlar mejor la jerarquía de recursos. Cada servicio de motor de políticas enumera los recursos que admite en la sección Servicios de motor de políticas.

Los recursos que no se muestran como compatibles de manera explícita con los servicios del motor de políticas no se pueden orientar directamente para la aplicación condicional de políticas. En su lugar, se debe etiquetar el proyecto, la carpeta o el recurso de la organización superior para proporcionar control condicional.

Revisa la sección correspondiente a continuación cuando adjuntes etiquetas a tus recursos de servicio. Para obtener más información, consulta Crea y administra etiquetas.

Servicios de Policy Engine

Los siguientes servicios incluyen políticas que pueden incluir etiquetas. Hacer referencia a las etiquetas en estas políticas te permite ajustar con precisión la forma en que operan en los recursos compatibles en tu jerarquía de recursos de Google Cloud.

Servicio de Google Cloud	Tipos de recursos
Administración de identidades y accesos (IAM)	Solo política
Servicio de políticas de la organización	Políticas de la organización Buckets de Cloud Storage Organizaciones Carpetas Proyectos
Nube privada virtual (VPC)	Políticas de firewall de red Instancias de VM Instancias de proxy web seguras

En las siguientes secciones, se describe cómo puedes usar etiquetas con los servicios de motor de políticas.

Identity and Access Management

Puedes otorgar funciones de IAM de forma condicional o Rechazar de forma condicional los permisos de IAM en función de si un recurso tiene una etiqueta específica.

Los recursos heredan valores de etiqueta de su organización, carpetas y proyecto superiores. Como resultado, puedes usar etiquetas para administrar el acceso a cualquier recurso de Google Cloud.

Para obtener más información sobre el uso de etiquetas con la IAM a fin de controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.

Servicio de políticas de la organización

Puedes usar las políticas de la organización con etiquetas para controlar cómo se aplican las restricciones de las políticas de la organización en ciertos recursos. Las políticas de la organización se pueden aplicar de forma condicional mediante las etiquetas adjuntas a los siguientes recursos:

• Recursos de organización, carpeta y proyecto de Google Cloud
• Buckets de Cloud Storage

Las políticas de la organización no se pueden aplicar de manera condicional mediante etiquetas adjuntas a recursos que no se mencionaron de forma explícita. Sin embargo, las restricciones de la política de la organización que operan en las políticas de permiso de IAM, como la restricción de uso compartido restringido del dominio, se pueden aplicar de forma condicional con etiquetas en cualquier recurso de servicio compatible.

Para obtener más información, consulta Configura una política de la organización con etiquetas.

Nube privada virtual

Puedes usar etiquetas para definir orígenes y objetivos en las políticas de firewall de red y en las políticas de firewall regionales. También puedes adjuntar etiquetas a las instancias de VM de Compute Engine para representar diferentes funciones en una red. Si deseas obtener más información, consulta Etiquetas de Resource Manager para firewalls.

Los siguientes recursos de VPC pueden tener etiquetas adjuntas para su uso en las políticas de IAM:

• Redes
• Subredes
• Rutas
• Reglas de firewall de VPC
• Políticas de firewall de red
• Políticas de firewall regionales

Si quieres obtener más información, consulta Crea y administra etiquetas para recursos de la nube privada virtual.

Recursos de servicio compatibles

Puedes adjuntar etiquetas a los siguientes tipos de recursos de Google Cloud. Los recursos compatibles con etiquetas en Vista previa solo pueden tener etiquetas adjuntas mediante Google Cloud CLI o la API.

Servicio de Google Cloud	Tipos de recursos
Artifact Registry	Repositorios (vista previa)
BigQuery	Conjuntos de datos
Cloud Bigtable	Instancias
Facturación de Cloud	BigQuery informa solo sobre instancias de Compute Engine
Dominios en la nube	Registros
Cloud Key Management Service (Cloud KMS)	Llaveros de claves
Cloud Load Balancing	Depósitos de backend Servicios de backend Reglas de reenvío Verificaciones de estado Grupos de extremos de red Proxies HTTP(S) de destino Instancias de destino Grupos de destino Proxies SSL de destino Proxies TCP de destino Certificado SSL Mapas de URL
Cloud Run	Servicios Trabajos (vista previa)
Cloud Spanner	Instancias
Cloud SQL	Instancias
Cloud Storage	Depósitos
Compute Engine	Imágenes Instances Discos persistentes regionales Instantáneas Discos persistentes zonales
Datastore	Bases de datos
DataStream	Parámetros de configuración de conectividad privada Perfiles de conexión Transmisiones
Filestore	Copias de seguridad Instances Instantáneas
Firestore	Bases de datos
Google Kubernetes Engine (GKE)	Clústeres
Servicio administrado para Microsoft Active Directory (Microsoft AD administrado)	Dominios
Resource Manager	Organizaciones Carpetas Proyectos
VPC	Redes Subredes Rutas Reglas de firewall de VPC