Services compatibles avec les tags

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Les ressources et les règles utilisées par chaque service exploitent les balises de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Certains services, tels que Identity and Access Management (IAM), sont des moteurs de règles compatibles avec les références par tags. Si vous pouvez associer un tag à une ressource de service et que le service de moteur de règles est compatible avec cette ressource, vous pouvez exploiter l'application conditionnelle des règles pour mieux contrôler votre hiérarchie de ressources. Chaque service de moteur de règles liste les ressources qu'il prend en charge dans la section Services de moteur de règles.

Les ressources qui ne sont pas explicitement compatibles avec les services de moteur de règles ne peuvent pas être ciblées directement pour l'application conditionnelle des règles. Au lieu de cela, la ressource de projet, de dossier ou d'organisation parente doit être taguée pour fournir un contrôle conditionnel.

Consultez la section appropriée ci-dessous lorsque vous associez des balises à vos ressources de service. Pour en savoir plus, consultez la section Créer et gérer des tags.

Services du moteur de règles

Les services suivants incluent des règles pouvant inclure des tags. En référençant des balises dans ces règles, vous pouvez affiner la façon dont elles fonctionnent sur les ressources compatibles de votre hiérarchie de ressources Google Cloud .

ServiceGoogle Cloud Types de ressources
Identity and Access Management (IAM)
Service de règles d'organisation
Cloud privé virtuel (VPC)

Les sections suivantes décrivent comment utiliser des balises avec les services du moteur de règles.

Identity and Access Management

Vous pouvez attribuer des rôles IAM de manière conditionnelle ou refuser l'autorisation IAM de manière conditionnelle selon qu'une ressource est associée à un tag spécifique ou non.

Les ressources héritent des valeurs de tag de leur organisation, de leurs dossiers et de leur projet parents. Par conséquent, vous pouvez utiliser des tags pour gérer l'accès à n'importe quelle Google Cloud ressource.

Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud , consultez la page Tags et contrôle des accès.

Service de règles d'administration

Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la manière dont vos contraintes sont appliquées à certaines ressources. Les règles d'administration de l'organisation peuvent être appliquées de manière conditionnelle par des tags associés aux ressources suivantes:

  • Google Cloud ressources Organisation, Dossier et Projet
  • Buckets Cloud Storage

Les règles d'administration ne peuvent pas être appliquées de manière conditionnelle par des tags associés à des ressources qui ne sont pas explicitement listées ci-dessus. Toutefois, les contraintes de règle d'administration qui s'appliquent aux stratégies d'autorisation IAM, telles que la contrainte de partage restreint au domaine, peuvent être appliquées de manière conditionnelle à l'aide de tags sur toute ressource de service compatible.

Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.

Cloud privé virtuel

Vous pouvez utiliser des tags pour définir des sources et des cibles dans les stratégies de pare-feu réseau et les stratégies de pare-feu régional. Vous pouvez également associer des tags aux instances de VM Compute Engine pour représenter différentes fonctions dans un réseau. Pour en savoir plus, consultez la section Tags Resource Manager pour les pare-feu.

Vous pouvez associer des tags aux ressources VPC suivantes pour les utiliser dans les stratégies IAM:

Pour en savoir plus, consultez la page Créer et gérer des tags pour les ressources de cloud privé virtuel.

Ressources de service compatibles

Vous pouvez associer des tags aux types de ressources Google Cloud suivants:

ServiceGoogle Cloud Types de ressources
AlloyDB pour PostgreSQL
API Gateway
  • API
  • Passerelles
Artifact Registry
BigQuery
Bigtable
Google Cloud Armor
Gestionnaire de certificats
Certificate Authority Service
  • Pools d'autorités de certification
  • Modèles de certificats
Cloud Billing
Cloud Data Fusion
Cloud Deploy
Cloud Domains
  • Enregistrements
Cloud Key Management Service (Cloud KMS)
Cloud Load Balancing
Cloud Logging
Cloud Router
Cloud Interconnect
Cloud Run
Cloud SQL
Cloud Storage
Compute Engine
Datastore
Datastream
Filestore
Firestore
Google Kubernetes Engine (GKE)
Identity and Access Management
Service géré pour Microsoft Active Directory (Microsoft AD géré)
Memorystore pour Redis
Resource Manager
Secret Manager
Spanner
VPC
Workflows