タグをサポートするサービス

タグを使用すると、リソースのアノテーションを作成できます。場合によっては、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。各サービスで使用されるリソースとポリシーは、さまざまな方法でタグを使用します。タグの詳細については、タグの概要をご覧ください。

Identity and Access Management（IAM）などの一部のサービスは、タグによる参照をサポートするポリシー エンジンです。サービス リソースにタグを添付でき、ポリシー エンジン サービスがこのリソースをサポートしている場合、ポリシーの条件付き適用を利用すると、リソース階層をより適切に制御できます。各ポリシー エンジン サービスでは、サポートされるリソースがポリシー エンジン サービス セクションに表示されます。

ポリシー エンジン サービスによって明示的にサポートされていると表示されていないリソースは、ポリシーの条件付き適用に直接対象にすることはできません。代わりに、親のプロジェクト、フォルダ、組織リソースにタグを付けて、条件付き制御を行う必要があります。

サービス リソースにタグを添付する場合は、該当するセクションをご覧ください。詳細については、タグの作成と管理をご覧ください。

ポリシー エンジン サービス

次のサービスには、タグを含めることができるポリシーが含まれます。これらのポリシーでタグを参照すると、 Google Cloud リソース階層において、サポートされているリソースに対する動作を細かく調整できます。

Google Cloud サービス	リソースタイプ
Identity and Access Management（IAM）	許可ポリシーと拒否ポリシー
組織ポリシー サービス	組織のポリシー タグをサポートするリソース
Virtual Private Cloud（VPC）	ネットワーク ファイアウォール ポリシー VM インスタンス Secure Web Proxy インスタンス

以降のセクションでは、ポリシー エンジン サービスでタグを使用する方法について説明します。

Identity and Access Management

リソースに特定のタグが設定されているかどうかに応じて、IAM のロールを条件付きで付与または IAM の権限を条件付きで拒否できます。

リソースは、親の組織、フォルダ、プロジェクトからタグ値を継承します。その結果、タグを使用して任意の Google Cloud リソースへのアクセスを管理できます。

IAM でタグを使用して Google Cloud リソースへのアクセスを制御する方法については、タグとアクセス制御をご覧ください。

組織ポリシー サービス

タグと一緒に組織のポリシーを使用すると、特定のリソースに対して組織のポリシーの制約を適用する方法を制御できます。サポートされているリソースに付加されたタグを参照することで、組織のポリシーを条件付きで適用できます。

詳細については、タグ付きの組織のポリシーの設定をご覧ください。

Virtual Private Cloud

タグを使用して、ネットワーク ファイアウォール ポリシーとリージョン ファイアウォール ポリシーで、ソースとターゲットを定義できます。Compute Engine VM インスタンスにタグを付けて、ネットワーク内のさまざまな機能を表すこともできます。詳細については、ファイアウォールの Resource Manager タグをご覧ください。

次の VPC リソースにタグを適用して、IAM ポリシーで使用できます。

• ネットワーク
• サブネットワーク
• ルート
• VPC ファイアウォール ルール
• ネットワーク ファイアウォール ポリシー
• リージョン ファイアウォール ポリシー

詳細については、Virtual Private Cloud リソースのタグを作成して管理するをご覧ください。

サポートされるサービス リソース

次のタイプのリソースにタグを適用できます。 Google Cloud

Google Cloud サービス	リソースタイプ
AlloyDB for PostgreSQL	クラスタ バックアップ
API Gateway	API ゲートウェイ
API Hub	API API デプロイ
Artifact Registry	リポジトリ（プレビュー）
BigQuery	データセット テーブル ビュー
Bigtable	インスタンス
Google Cloud Armor	ネットワーク エッジ セキュリティ サービス セキュリティ ポリシー
Certificate Manager	証明書 証明書マップ 信頼構成 証明書発行の構成 DNS 認証
Certificate Authority Service	CA プール 証明書テンプレート
Cloud Billing	Cloud Billing BigQuery エクスポートでリソースレベルのタグを表示する
Cloud Data Fusion	インスタンス（プレビュー）
Cloud Deploy	デリバリー パイプライン（プレビュー） ターゲット（プレビュー）
Cloud Domains	登録
Cloud Key Management Service（Cloud KMS）	キーリング
Cloud Load Balancing	バックエンド バケット バックエンド サービス 転送ルール ヘルスチェック ネットワーク エンドポイント グループ SSL ポリシー SSL 証明書 ターゲット GRPC プロキシ ターゲット HTTPS プロキシ ターゲット インスタンス ターゲット プール ターゲット SSL プロキシ ターゲット TCP プロキシ URL マップ ゾーン インスタンス グループ
Cloud Logging	ログバケット
Cloud Router	ルーター
Cloud Interconnect	相互接続 相互接続アタッチメント
Cloud VPN	外部 VPN ゲートウェイ VPN ゲートウェイ VPN トンネル ターゲット VPN ゲートウェイ
Cloud Run	Service ジョブ（プレビュー）
Cloud SQL	インスタンス
Cloud Storage	バケット
Cloud Workstations	クラスタ
Transcoder API	ジョブ JobTemplate
Compute Engine	画像 インスタンス リージョン永続ディスク スナップショット ゾーン永続ディスク
Dataproc	クラスタ
Datastore	データベース
Datastream	プライベート接続構成 接続プロファイル ストリーム
Filestore	バックアップ インスタンス スナップショット
Firestore	データベース
Google Distributed Cloud	BareMetalCluster BareMetalAdminCluster VMWareCluster VMWareAdminCluster
Google Kubernetes Engine（GKE）	クラスタ
Identity and Access Management	サービス アカウント
Microsoft Active Directory のマネージド サービス（Managed Microsoft AD）	ドメイン
Memorystore for Redis	インスタンス
reCAPTCHA Enterprise	キー
Resource Manager	組織 フォルダ プロジェクト
Secret Manager	シークレット
Spanner	インスタンス
Google Cloud VMware Engine	Private Cloud プライベート接続 ネットワーク ネットワーク ピアリング ネットワーク ポリシー
VPC	ネットワーク サブネットワーク ルート VPC ファイアウォール ルール
Workflows	Workflows