Les tags permettent d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource comporte un tag spécifique. Les ressources et les stratégies utilisées par chaque service exploitent les tags de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.
Certains services, tels que Identity and Access Management (IAM), sont des moteurs de stratégie qui acceptent les références par tags. Si vous pouvez associer un tag à une ressource de service et que le service Policy Engine est compatible avec cette ressource, vous pouvez ensuite appliquer l'application conditionnelle de règles pour mieux contrôler votre hiérarchie de ressources.
De nombreux services ne sont pas des moteurs de stratégie, mais disposent de ressources compatibles avec les liaisons de tags. Si un service Policy Engine est compatible avec une ressource, vous pouvez associer un tag pour contrôler cette ressource à l'aide de l'application conditionnelle de stratégie.
Consultez la section appropriée ci-dessous lorsque vous associez des tags à vos ressources de service. Pour en savoir plus, consultez la page Créer et gérer des tags.
Services de moteurs de règles
Les services suivants incluent des règles pouvant inclure des tags. Le référencement des tags dans ces stratégies vous permet d'ajuster avec précision leur fonctionnement sur les ressources de votre hiérarchie de ressources Google Cloud.
| Service Google Cloud | Types de ressources |
|---|---|
| Identity and Access Management (IAM) | |
| Service de règles d'organisation | |
| Cloud privé virtuel (VPC) |
Les sections suivantes expliquent comment utiliser des tags avec des services Policy Engine.
Identity and Access Management
Vous pouvez utiliser des tags avec des stratégies IAM (Identity and Access Management) compatibles pour appliquer ces stratégies de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle. Par exemple, vous pouvez attribuer de manière conditionnelle des rôles IAM selon qu'une ressource comporte un tag spécifique.
Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.
Service de règles d'organisation
Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la façon dont les contraintes de règles d'administration sont appliquées à certaines ressources. Les règles d'administration peuvent être appliquées de manière conditionnelle par des tags associés aux ressources suivantes:
- Ressources pour l'organisation, les dossiers et les projets Google Cloud
- Buckets Cloud Storage
Les règles d'administration ne peuvent pas être appliquées de manière conditionnelle par des tags associés à des ressources non explicitement répertoriées ci-dessus.
Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.
Cloud privé virtuel
Vous pouvez utiliser des tags pour définir des sources et des cibles dans les stratégies de pare-feu de réseau et de pare-feu régional. Vous pouvez également associer des tags à des instances de VM pour représenter différentes fonctions d'un réseau. Pour en savoir plus, consultez la section Tags Resource Manager pour les pare-feu.
Ressources de service compatibles
Vous pouvez associer des tags aux types de ressources Google Cloud suivants:
| Service Google Cloud | Types de ressources |
|---|---|
| Artifact Registry | |
| BigQuery | |
| Cloud Bigtable | |
| Cloud Billing | |
| Cloud Domains |
|
| Cloud Key Management Service (Cloud KMS) | |
| Cloud Run |
|
| Compute Engine |
|
| Cloud Storage | |
| Datastream | |
| Filestore |
|
| Google Kubernetes Engine (GKE) | |
| Service géré pour Microsoft Active Directory (service Microsoft AD géré) | |
| Resource Manager | |
| Cloud SQL |