태그를 사용하면 리소스에 주석을 만들 수 있습니다. 경우에 따라 리소스에 특정 태그가 있는지 여부에 따라 조건부로 정책을 허용하거나 거부합니다. 각 서비스에서 사용하는 리소스와 정책은 태그를 다양한 방식으로 활용합니다. 태그에 대한 자세한 내용은 태그 개요를 참조하세요.
Identity and Access Management(IAM)와 같은 일부 서비스는 태그별 참조를 지원하는 정책 엔진입니다. 서비스 리소스에 태그를 연결할 수 있고 정책 엔진 서비스가 해당 리소스를 지원하는 경우 정책 조건부 적용을 활용하여 리소스 계층 구조를 더 효과적으로 제어할 수 있습니다. 각 정책 엔진 서비스는 정책 엔진 서비스 섹션에 지원되는 리소스를 나열합니다.
정책 엔진 서비스에서 명시적으로 지원하는 것으로 나열되지 않은 리소스는 조건부 정책 시행을 위해 직접 타겟팅할 수 없습니다. 대신 상위 프로젝트, 폴더, 조직 리소스에 태그를 지정하여 조건부 제어를 제공합니다.
서비스 리소스에 태그를 연결할 때 아래의 적절한 섹션을 검토합니다. 자세한 내용은 태그 만들기 및 관리를 참조하세요.
정책 엔진 서비스
다음 서비스에는 태그를 포함할 수 있는 정책이 포함되어 있습니다. 이러한 정책에서 태그를 참조하면 Google Cloud 리소스 계층 구조의 지원되는 리소스에서 작동하는 방식을 세부적으로 조정할 수 있습니다.
| Google Cloud 서비스 | 리소스 유형 |
|---|---|
| Identity and Access Management(IAM) | |
| 조직 정책 서비스 | |
| Virtual Private Cloud(VPC) |
다음 섹션에서는 정책 엔진 서비스에서 태그를 사용하는 방법을 설명합니다.
Identity and Access Management
리소스에 특정 태그가 있는지 여부에 따라 IAM 역할을 조건부로 부여하거나 IAM 권한을 조건부로 거부할 수 있습니다.
리소스는 상위 조직, 폴더, 프로젝트에서 태그 값을 상속합니다. 따라서 태그를 사용하여 모든 Google Cloud 리소스에 대한 액세스를 관리할 수 있습니다.
IAM에서 태그를 사용하여 Google Cloud 리소스에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 태그 및 액세스 제어를 참조하세요.
조직 정책 서비스
조직 정책을 태그와 함께 사용하여 특정 리소스에 조직 정책 제약조건이 적용되는 방식을 제어할 수 있습니다. 조직 정책은 다음 리소스에 연결된 태그로 조건부로 적용할 수 있습니다.
- Google Cloud 조직, 폴더, 프로젝트 리소스
- Cloud Storage 버킷
위에 명시적으로 나열되지 않은 리소스에 연결된 태그에서는 조직 정책을 조건부로 적용할 수 없습니다. 그러나 도메인 제한 공유 제약조건과 같은 IAM 허용 정책에서 작동하는 조직 정책 제약조건은 지원되는 모든 서비스 리소스에서 태그를 사용하여 조건부로 시행할 수 있습니다.
자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
Virtual Private Cloud
태그를 사용하여 네트워크 방화벽 정책 및 리전 방화벽 정책에서 소스와 대상을 정의할 수 있습니다. Compute Engine VM 인스턴스에 태그를 연결하여 네트워크의 다양한 기능을 나타낼 수도 있습니다. 자세한 내용은 방화벽의 Resource Manager 태그를 참조하세요.
다음 VPC 리소스에는 IAM 정책에 사용할 수 있도록 태그가 연결될 수 있습니다.
자세한 내용은 Virtual Private Cloud 리소스의 태그 만들기 및 관리를 참조하세요.
지원되는 서비스 리소스
다음 유형의 Google Cloud 리소스에 태그를 연결할 수 있습니다.