Services compatibles avec les tags

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Les ressources et les règles utilisées par chaque service exploitent les tags de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Certains services, tels qu'IAM (Identity and Access Management), sont des moteurs de stratégie qui acceptent les références par tags. Si vous pouvez associer un tag à une ressource de service et que le service Policy Engine accepte cette ressource, vous pouvez alors exploiter l'application conditionnelle de stratégies pour mieux contrôler la hiérarchie de vos ressources. Chaque service Policy Engine liste les ressources compatibles dans la section Services Policy Engine.

Les ressources qui ne sont pas explicitement listées comme étant explicitement compatibles avec les services de moteur de règles ne peuvent pas être ciblées directement pour l'application conditionnelle de règles. À la place, le projet, le dossier ou la ressource d'organisation parents doivent être tagués pour fournir un contrôle conditionnel.

Consultez la section appropriée ci-dessous lorsque vous associez des tags à vos ressources de service. Pour en savoir plus, consultez Créer et gérer des tags.

Services Policy Engine

Les services suivants incluent des règles pouvant inclure des tags. Le référencement des tags dans ces stratégies vous permet d'ajuster avec précision leur fonctionnement sur les ressources prises en charge dans votre hiérarchie de ressources Google Cloud.

Service Google Cloud	Types de ressources
Identity and Access Management (IAM)	Règlement uniquement
Service de règles d'organisation	Règles d'administration Buckets Cloud Storage Organisations Dossiers Projets
Cloud privé virtuel (VPC)	Stratégies de pare-feu réseau Instances de VM Instances proxy Web sécurisé

Les sections suivantes décrivent comment utiliser des tags avec les services de moteur de règles.

Gestion de l'authentification et des accès

Vous pouvez attribuer des rôles IAM de manière conditionnelle ou refuser de manière conditionnelle des autorisations IAM selon qu'une ressource possède un tag spécifique ou non.

Les ressources héritent des valeurs de tag de leur organisation, dossiers et projet parents. Par conséquent, vous pouvez utiliser des tags pour gérer l'accès à n'importe quelle ressource Google Cloud.

Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.

Service de règles d'administration

Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la façon dont les contraintes de vos règles d'administration sont appliquées à certaines ressources. Les règles d'administration peuvent être appliquées de manière conditionnelle par des tags associés aux ressources suivantes:

• Ressources d'organisation, de dossier et de projet Google Cloud
• Buckets Cloud Storage

Les règles d'administration ne peuvent pas être appliquées de manière conditionnelle par des tags associés à des ressources qui ne sont pas explicitement répertoriées ci-dessus. Toutefois, les contraintes de règles d'administration qui s'appliquent aux stratégies d'autorisation IAM, telles que la contrainte de partage restreint de domaine, peuvent être appliquées de manière conditionnelle avec des tags sur toute ressource de service compatible.

Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.

Cloud privé virtuel

Vous pouvez utiliser des tags pour définir des sources et des cibles dans des stratégies de pare-feu réseau et des stratégies de pare-feu régionales. Vous pouvez également associer des tags à des instances de VM Compute Engine pour représenter différentes fonctions dans un réseau. Pour en savoir plus, consultez la section Tags Resource Manager pour les pare-feu.

Les ressources VPC suivantes peuvent être associées à des tags pour une utilisation dans des stratégies IAM:

• Réseaux
• Sous-réseaux
• Routes
• Règles de pare-feu VPC
• Stratégies de pare-feu réseau
• Stratégies de pare-feu régionales

Pour en savoir plus, consultez la page Créer et gérer des tags pour les ressources de cloud privé virtuel.

Ressources de service compatibles

Vous pouvez associer des tags aux types de ressources Google Cloud suivants. Les ressources compatibles avec les tags en version preview ne peuvent être associées à des tags qu'à l'aide de Google Cloud CLI ou de l'API.

Service Google Cloud	Types de ressources
Artifact Registry	Dépôts (Preview)
BigQuery	Ensembles de données
Bigtable	Instances
Cloud Billing	Rapports BigQuery sur les instances Compute Engine uniquement
Cloud Domains	Inscriptions
Cloud Key Management Service (Cloud KMS)	Trousseaux de clés
Cloud Load Balancing	Buckets backend Services de backend Règles de transfert Vérifications d'état Groupes de points de terminaison du réseau Proxys HTTP(S) cibles Instances cibles Pools cibles Proxys SSL cibles Proxys TCP cibles Certificats SSL Mappages d'URL
Cloud Run	Services Tâches (preview)
Spanner	Instances
Cloud SQL	Instances
Cloud Storage	Buckets
Compute Engine	Images Instances Disques persistants régionaux Instantanés Disques persistants zonaux
Datastore	Bases de données
Datastream	Configurations de connectivité privée Profils de connexion Flux
Filestore	Sauvegardes Instances Instantanés
Firestore	Bases de données
Google Kubernetes Engine (GKE)	Clusters
Service géré pour Microsoft Active Directory (service Microsoft AD géré)	Domaines
Resource Manager	Organisations Dossiers Projets
VPC	Réseaux Sous-réseaux Routes Règles de pare-feu VPC