Services compatibles avec les tags

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Les ressources et les règles utilisées par chaque service exploitent les tags de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Certains services, tels qu'IAM (Identity and Access Management), sont des moteurs de stratégie qui acceptent les références par tags. Si vous pouvez associer un tag à une ressource de service et que le service Policy Engine accepte cette ressource, vous pouvez alors exploiter l'application conditionnelle de stratégies pour mieux contrôler la hiérarchie de vos ressources. Chaque service Policy Engine liste les ressources compatibles dans la section Services Policy Engine.

Les ressources qui ne sont pas explicitement listées comme étant explicitement compatibles avec les services de moteur de règles ne peuvent pas être ciblées directement pour l'application conditionnelle de règles. À la place, le projet, le dossier ou la ressource d'organisation parents doivent être tagués pour fournir un contrôle conditionnel.

Consultez la section appropriée ci-dessous lorsque vous associez des tags à vos ressources de service. Pour en savoir plus, consultez Créer et gérer des tags.

Services Policy Engine

Les services suivants incluent des règles pouvant inclure des tags. Le référencement des tags dans ces stratégies vous permet d'ajuster avec précision leur fonctionnement sur les ressources prises en charge dans votre hiérarchie de ressources Google Cloud.

Service Google Cloud Types de ressources
Identity and Access Management (IAM)
Service de règles d'organisation
Cloud privé virtuel (VPC)

Les sections suivantes décrivent comment utiliser des tags avec les services de moteur de règles.

Gestion de l'authentification et des accès

Vous pouvez attribuer des rôles IAM de manière conditionnelle ou refuser de manière conditionnelle des autorisations IAM selon qu'une ressource possède un tag spécifique ou non.

Les ressources héritent des valeurs de tag de leur organisation, dossiers et projet parents. Par conséquent, vous pouvez utiliser des tags pour gérer l'accès à n'importe quelle ressource Google Cloud.

Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.

Service de règles d'administration

Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la façon dont les contraintes de vos règles d'administration sont appliquées à certaines ressources. Les règles d'administration peuvent être appliquées de manière conditionnelle par des tags associés aux ressources suivantes:

  • Ressources d'organisation, de dossier et de projet Google Cloud
  • Buckets Cloud Storage

Les règles d'administration ne peuvent pas être appliquées de manière conditionnelle par des tags associés à des ressources qui ne sont pas explicitement répertoriées ci-dessus. Toutefois, les contraintes de règles d'administration qui s'appliquent aux stratégies d'autorisation IAM, telles que la contrainte de partage restreint de domaine, peuvent être appliquées de manière conditionnelle avec des tags sur toute ressource de service compatible.

Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.

Cloud privé virtuel

Vous pouvez utiliser des tags pour définir des sources et des cibles dans des stratégies de pare-feu réseau et des stratégies de pare-feu régionales. Vous pouvez également associer des tags à des instances de VM Compute Engine pour représenter différentes fonctions dans un réseau. Pour en savoir plus, consultez la section Tags Resource Manager pour les pare-feu.

Les ressources VPC suivantes peuvent être associées à des tags pour une utilisation dans des stratégies IAM:

Pour en savoir plus, consultez la page Créer et gérer des tags pour les ressources de cloud privé virtuel.

Ressources de service compatibles

Vous pouvez associer des tags aux types de ressources Google Cloud suivants. Les ressources compatibles avec les tags en version preview ne peuvent être associées à des tags qu'à l'aide de Google Cloud CLI ou de l'API.

Service Google Cloud Types de ressources
Artifact Registry
BigQuery
Bigtable
Cloud Billing
Cloud Domains
  • Inscriptions
Cloud Key Management Service (Cloud KMS)
Cloud Load Balancing
Cloud Run
Spanner
Cloud SQL
Cloud Storage
Compute Engine
  • Images
  • Instances
  • Disques persistants régionaux
  • Instantanés
  • Disques persistants zonaux
Datastore
Datastream
Filestore
  • Sauvegardes
  • Instances
  • Instantanés
Firestore
Google Kubernetes Engine (GKE)
Service géré pour Microsoft Active Directory (service Microsoft AD géré)
Resource Manager
VPC