Serviços compatíveis com tags

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Os recursos e as políticas usados por cada serviço aproveitam as tags de maneiras diferentes. Para mais informações, consulte a Visão geral de tags.

Alguns serviços, como o Identity and Access Management (IAM), são mecanismos de políticas que aceitam referências por tags. Se for possível anexar uma tag a um recurso de serviço e o serviço do mecanismo de políticas for compatível com esse recurso, você poderá usar a aplicação condicional de políticas para controlar melhor a hierarquia de recursos. Cada serviço do mecanismo de políticas lista os recursos compatíveis na seção Serviços do mecanismo de políticas.

Os recursos que não estão listados como explicitamente compatíveis com os serviços do mecanismo de políticas não podem ser segmentados diretamente para a aplicação condicional de políticas. Em vez disso, o projeto, a pasta ou o recurso de organização pai precisa ser marcado para fornecer controle condicional.

Consulte a seção apropriada abaixo ao anexar tags aos recursos do seu serviço. Para mais informações, consulte Como criar e gerenciar tags.

Serviços do mecanismo de política

Os serviços a seguir incluem políticas que podem incluir tags. Ao fazer referência a tags nessas políticas, é possível ajustar a forma como elas operam em recursos compatíveis na sua hierarquia de recursos do Google Cloud .

ServiçoGoogle Cloud	Tipos de recurso
Gerenciamento de identidade e acesso (IAM)	Políticas de permissão e negação
Organization Policy Service	Políticas da organização Recursos que aceitam tags
Nuvem privada virtual (VPC)	Políticas de firewall de rede Instâncias de VM Instâncias do proxy seguro da Web

As seções a seguir descrevem como usar tags com serviços do mecanismo de políticas.

Identity and Access Management

É possível conceder papéis do IAM condicionalmente ou negar condicionalmente permissões do IAM com base no fato de um recurso ter uma tag específica.

Os recursos herdam valores de tag da organização pai, das pastas e do projeto. Como resultado, é possível usar tags para gerenciar o acesso a qualquer recurso do Google Cloud .

Para mais informações sobre o uso de tags com o IAM para ajudar a controlar o acesso aos recursos do Google Cloud , consulte Tags e controle de acesso.

Serviço de política da organização

É possível usar políticas da organização com tags para controlar como as restrições da política da organização são aplicadas a determinados recursos. As políticas da organização podem ser aplicadas condicionalmente referenciando tags anexadas a recursos compatíveis.

Para mais informações, consulte Como configurar uma política da organização com tags.

Nuvem privada virtual

É possível usar tags para definir origens e destinos em políticas de firewall de rede e regionais. Também é possível anexar tags a instâncias de VM do Compute Engine para representar diferentes funções em uma rede. Para mais informações, consulte Tags do Resource Manager para firewalls.

Os seguintes recursos da VPC podem ter tags anexadas para uso em políticas do IAM:

• Redes
• Sub-redes
• Rotas
• Regras de firewall da VPC
• Políticas de firewall de rede
• Políticas de firewall regionais

Para mais informações, consulte Criar e gerenciar tags para recursos da nuvem privada virtual.

Recursos de serviço compatíveis

É possível anexar tags aos seguintes tipos de recursos do Google Cloud :

ServiçoGoogle Cloud	Tipos de recurso
AlloyDB para PostgreSQL	Clusters Backups
API Gateway	APIs Gateways
Hub da API	APIs Implantações de API
Artifact Registry	Repositórios (Prévia)
BigQuery	Conjuntos de dados Tabelas visualizações
Bigtable	Instâncias
Google Cloud Armor	Serviços de segurança de borda de rede Políticas de segurança
Gerenciador de certificados	Certificados Mapas de certificados Configurações de confiança Configurações de emissão de certificados Autorizações de DNS
Certificate Authority Service	Pools de CAs Modelos de certificado
Cloud Billing	Ver tags no nível do recurso na exportação do Cloud Billing para o BigQuery
Cloud Data Fusion	Instâncias (Prévia)
Cloud Deploy	Pipelines de entrega (prévia) Metas (Prévia)
Cloud Domains	Registros
Cloud Key Management Service (Cloud KMS)	Key rings
Cloud Load Balancing	Buckets de back-end Serviços de back-end Regras de encaminhamento Verificações de integridade Grupos de endpoints de rede Políticas de SSL Certificados SSL Proxies gRPC de destino Proxies HTTP(S) de destino Instâncias de destino Pools de destino Proxies SSL de destino Proxies TCP de destino Mapas de URL Grupos de instâncias zonais
Cloud Logging	Buckets de registros
Cloud Router	Roteadores
Cloud Interconnect	Interconexões Anexos de interconexão
Cloud VPN	Gateways de VPN externos Gateways de VPN Túneis de VPN Gateways de VPN de destino
Cloud Run	Serviços Jobs (Prévia)
Cloud SQL	Instâncias
Cloud Storage	Buckets
API Transcoder	Job JobTemplate
Compute Engine	Imagens Instâncias Discos permanentes regionais Snapshots Discos permanentes zonais
Datastore	Bancos de dados
Datastream	Configurações de conectividade privada Perfis de conexão Streams
Filestore	Backups Instâncias Snapshots
Firestore	Bancos de dados
Google Distributed Cloud	BareMetalCluster BareMetalAdminCluster VMWareCluster VMWareAdminCluster
Google Kubernetes Engine (GKE)	Clusters
Identity and Access Management	Contas de serviço
Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado)	Domínios
Memorystore para Redis	Instâncias
reCAPTCHA Enterprise	Chave
Resource Manager	Organizações Pastas Projetos
Secret Manager	Secrets
Spanner	Instâncias
Google Cloud VMware Engine	Nuvem privada Conexão particular Redes Peering de rede Política de rede
VPC	Redes Sub-redes Rotas Regras de firewall da VPC
Workflows	Workflows