Servizi che supportano i tag

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Le risorse e i criteri utilizzati da ogni servizio sfruttano i tag in modi diversi. Per ulteriori informazioni sui tag, consulta la Panoramica dei tag.

Alcuni servizi, come Identity and Access Management (IAM), sono motori dei criteri che supportano i riferimenti tramite tag. Se puoi collegare un tag a una risorsa di servizio e il servizio del motore dei criteri supporta questa risorsa, puoi utilizzare l'applicazione condizionale dei criteri per controllare meglio la gerarchia delle risorse. Ogni servizio Policy Engine elenca le risorse supportate nella sezione Servizi di Policy Engine.

Le risorse non elencate come esplicitamente supportate dai servizi di motore dei criteri non possono essere scelte come target direttamente per l'applicazione condizionale dei criteri. Al contrario, il progetto, la cartella o la risorsa dell'organizzazione padre devono essere contrassegnati per fornire il controllo condizionale.

Consulta la sezione appropriata di seguito quando colleghi i tag alle risorse di servizio. Per scoprire di più, consulta Creazione e gestione dei tag.

Servizi di Policy Engine

I seguenti servizi includono criteri che possono includere tag. Il riferimento ai tag in questi criteri ti consente di ottimizzare il modo in cui operano sulle risorse supportate nella tua gerarchia delle risorse Google Cloud.

Servizio Google Cloud	Tipi di risorse
Identity and Access Management (IAM)	Solo norme
Servizio Criteri dell'organizzazione	Criteri dell'organizzazione Bucket Cloud Storage Organizzazioni Cartelle Progetti
Virtual Private Cloud (VPC)	Criteri firewall di rete Istanze VM Istanze Secure Web Proxy

Le seguenti sezioni descrivono come utilizzare i tag con i servizi Policy Engine.

Identity and Access Management

Puoi concedere i ruoli IAM in modo condizionale o negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.

Le risorse ereditano i valori dei tag dall'organizzazione, dalle cartelle e dal progetto principali. Di conseguenza, puoi usare i tag per gestire l'accesso a qualsiasi risorsa di Google Cloud.

Per ulteriori informazioni sull'utilizzo dei tag con IAM per facilitare il controllo dell'accesso alle risorse Google Cloud, consulta Tag e controllo dell'accesso.

Servizio Criteri dell'organizzazione

Puoi utilizzare i criteri dell'organizzazione con i tag per controllare in che modo i vincoli dei criteri dell'organizzazione vengono applicati a determinate risorse. I criteri dell'organizzazione possono essere applicati in modo condizionale dai tag collegati alle seguenti risorse:

• Risorse per organizzazione, cartelle e progetti Google Cloud
• Bucket Cloud Storage

I criteri dell'organizzazione non possono essere applicati in modo condizionale dai tag associati a risorse non elencate esplicitamente sopra. Tuttavia, i vincoli dei criteri dell'organizzazione che operano sui criteri di autorizzazione IAM, ad esempio il vincolo di condivisione limitata per i domini, possono essere applicati in modo condizionale con i tag su qualsiasi risorsa di servizio supportata.

Per maggiori informazioni, consulta Impostare un criterio dell'organizzazione con tag.

Virtual Private Cloud

Puoi utilizzare i tag per definire le origini e le destinazioni nei criteri firewall di rete e nei criteri firewall a livello di regione. Puoi anche collegare tag a istanze VM di Compute Engine per rappresentare funzioni diverse in una rete. Per ulteriori informazioni, consulta Tag di Resource Manager per i firewall.

Alle seguenti risorse VPC può essere associato un tag per l'utilizzo nei criteri IAM:

• Reti
• Subnet
• Route
• Regole firewall VPC
• Criteri firewall di rete
• Criteri firewall a livello di regione

Per maggiori informazioni, consulta Creare e gestire i tag per le risorse Virtual Private Cloud.

Risorse di servizio supportate

Puoi collegare i tag ai seguenti tipi di risorse Google Cloud:

Servizio Google Cloud	Tipi di risorse
AlloyDB per PostgreSQL	Cluster Backup
Artifact Registry	Repositories (anteprima)
BigQuery	Set di dati Tables
Bigtable	Istanze
Cloud Billing	Visualizza i tag a livello di risorsa nell'esportazione BigQuery della fatturazione Cloud.
Domini Cloud	Registrazioni
Cloud Key Management Service (Cloud KMS)	Portachiavi
Cloud Load Balancing	Bucket di backend Servizi di backend Regole di forwarding Controlli di integrità Gruppi di endpoint di rete Proxy HTTP(S) di destinazione Istanze di destinazione Pool di destinazione Proxy SSL di destinazione Proxy TCP di destinazione Certificati SSL Mappe URL
Cloud Run	Servizi Job (anteprima)
Spanner	Istanze
Cloud SQL	Istanze
Cloud Storage	Bucket
Compute Engine	Immagini Istanze Dischi permanenti a livello di area geografica Istantanee Dischi permanenti a livello di zona
Datastore	Database
Datastream	Configurazioni di connettività privata Profili di connessione Stream
Filestore	Backup Istanze Snapshot
Firestore	Database
Google Kubernetes Engine (GKE)	Cluster
Servizio gestito per Microsoft Active Directory (Microsoft AD gestito)	Domini
Memorystore for Redis	Istanze
Resource Manager	Organizzazioni Cartelle Progetti
VPC	Reti Subnet Route Regole firewall VPC