Servizi che supportano i tag

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Le risorse e i criteri utilizzati da ciascun servizio sfruttano i tag in modi diversi. Per ulteriori informazioni sui tag, consulta la Panoramica dei tag.

Alcuni servizi, come Identity and Access Management (IAM), sono motori dei criteri che supportano i riferimenti tramite tag. Se puoi collegare un tag a una risorsa di servizio e il servizio Policy Engine supporta questa risorsa, puoi utilizzare l'applicazione condizionale dei criteri per controllare meglio la gerarchia delle risorse. Ogni servizio di motore dei criteri elenca le risorse che supporta nella sezione Servizi di Motore dei criteri.

Le risorse non indicate come esplicitamente supportate dai servizi di motore dei criteri non possono essere scelte come target direttamente per l'applicazione condizionale dei criteri. Al contrario, il progetto, la cartella o la risorsa organizzazione padre devono essere taggati per fornire il controllo condizionale.

Consulta la sezione appropriata di seguito quando colleghi i tag alle risorse di servizio. Per ulteriori informazioni, consulta la sezione Creazione e gestione dei tag.

Servizi di motore dei criteri

I seguenti servizi includono criteri che possono includere tag. Il riferimento ai tag in questi criteri consente di perfezionare il modo in cui operano sulle risorse supportate nella gerarchia delle risorse Google Cloud.

Servizio Google Cloud Tipi di risorse
Identity and Access Management (IAM)
Servizio Criteri dell'organizzazione
Virtual Private Cloud (VPC)

Le seguenti sezioni descrivono come utilizzare i tag con i servizi Motore dei criteri.

Identity and Access Management

Puoi concedere ruoli IAM in modo condizionale o negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.

Le risorse ereditano i valori tag dall'organizzazione, dalle cartelle e dal progetto principali. Di conseguenza, puoi usare i tag per gestire l'accesso a qualsiasi risorsa Google Cloud.

Per ulteriori informazioni sull'utilizzo dei tag con IAM per controllare l'accesso alle risorse Google Cloud, consulta Tag e controllo dell'accesso.

Servizio Criteri dell'organizzazione

Puoi utilizzare i criteri dell'organizzazione con i tag per controllare in che modo i vincoli dei criteri dell'organizzazione vengono applicati a determinate risorse. I criteri dell'organizzazione possono essere applicati in modo condizionale dai tag collegati alle seguenti risorse:

  • Risorse su organizzazione, cartella e progetto Google Cloud
  • Bucket Cloud Storage

I criteri dell'organizzazione non possono essere applicati in modo condizionale dai tag collegati a risorse non esplicitamente elencate sopra. Tuttavia, i vincoli dei criteri dell'organizzazione che operano sui criteri di autorizzazione IAM, come il vincolo di condivisione limitata del dominio, possono essere applicati in modo condizionale con i tag su qualsiasi risorsa di servizio supportata.

Per maggiori informazioni, consulta Impostare un criterio dell'organizzazione con i tag.

Virtual Private Cloud

Puoi utilizzare i tag per definire le origini e le destinazioni nei criteri firewall di rete e nei criteri firewall a livello di regione. Puoi anche collegare i tag alle istanze VM di Compute Engine per rappresentare diverse funzioni in una rete. Per ulteriori informazioni, consulta Tag di Resource Manager per i firewall.

Alle seguenti risorse VPC possono essere associati tag per l'utilizzo nei criteri IAM:

Per maggiori informazioni, consulta Creare e gestire tag per le risorse Virtual Private Cloud.

Risorse di servizio supportate

Puoi collegare i tag ai seguenti tipi di risorse Google Cloud. Alle risorse con supporto dei tag in anteprima è possibile collegare tag solo utilizzando Google Cloud CLI o l'API.

Servizio Google Cloud Tipi di risorse
Artifact Registry
BigQuery
Bigtable
Cloud Billing
Domini Cloud
  • Registrazioni
Cloud Key Management Service (Cloud KMS)
Cloud Load Balancing
Cloud Run
Spanner
Cloud SQL
Cloud Storage
Compute Engine
  • Immagini
  • Istanze
  • Dischi permanenti a livello di regione
  • Snapshot
  • Dischi permanenti a livello di zona
Datastore
Datastream
Filestore
  • Backup
  • Istanze
  • Snapshot
Firestore
Google Kubernetes Engine (GKE)
Managed Service per Microsoft Active Directory (Microsoft AD gestito)
Resource Manager
VPC