Serviços compatíveis com tags

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente se um recurso tiver uma tag específica. Os recursos e as políticas usados por cada serviço usam as tags de maneiras diferentes. Para mais informações, consulte a Visão geral de tags.

Alguns serviços, como o Identity and Access Management (IAM), são mecanismos de políticas que aceitam referências por tags. Se for possível anexar uma tag a um recurso de serviço e o serviço do mecanismo de políticas for compatível com esse recurso, será possível aproveitar a aplicação condicional das políticas para controlar melhor a hierarquia de recursos. Cada serviço do mecanismo de política lista os recursos compatíveis na seção Serviços do mecanismo de política.

Recursos não listados como explicitamente compatíveis com os serviços do mecanismo de políticas não podem ser direcionados diretamente para a aplicação condicional das políticas. Em vez disso, o projeto pai, a pasta ou o recurso da organização precisa ser marcado para fornecer controle condicional.

Consulte a seção apropriada abaixo ao anexar tags aos recursos de serviço. Para mais informações, consulte Como criar e gerenciar tags.

Serviços do mecanismo de política

Os serviços a seguir incluem políticas que podem incluir tags. A referência de tags nessas políticas permite ajustar finamente a maneira como elas operam nos recursos com suporte na hierarquia de recursos do Google Cloud.

Serviço do Google Cloud	Tipos de recurso
Gerenciamento de identidade e acesso (IAM)	Somente política
Organization Policy Service	Políticas da organização Buckets do Cloud Storage Organizações Pastas Projetos
Nuvem privada virtual (VPC)	Políticas de firewall de rede Instâncias de VM Instâncias de proxy seguro da Web

As seções a seguir descrevem como usar tags com os serviços de mecanismo de política.

Identity and Access Management

É possível conceder condicionalmente papéis do IAM ou negar condicionalmente permissões do IAM com base no fato de um recurso ter uma tag específica.

Os recursos herdam valores de tag da organização pai, das pastas e do projeto. Como resultado, é possível usar tags para gerenciar o acesso a qualquer recurso do Google Cloud.

Para mais informações sobre o uso de tags com o IAM para ajudar a controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.

Organization Policy Service

É possível usar políticas da organização com tags para controlar como as restrições da política da organização são aplicadas em determinados recursos. As políticas da organização podem ser aplicadas condicionalmente por tags anexadas aos seguintes recursos:

• Recursos de projeto, pasta e organização do Google Cloud
• Buckets do Cloud Storage

As políticas da organização não podem ser aplicadas condicionalmente por tags anexadas a recursos não listados explicitamente acima. No entanto, as restrições da política da organização que operam nas políticas de permissão do IAM, como a restrição de compartilhamento restrito de domínio, podem ser aplicadas condicionalmente com tags em qualquer recurso de serviço compatível.

Para mais informações, consulte Como configurar uma política da organização com tags.

Nuvem privada virtual

Use tags para definir origens e destinos em políticas de firewall de rede e políticas de firewall regionais. Você também pode anexar tags a instâncias de VM do Compute Engine para representar diferentes funções em uma rede. Para mais informações, consulte Tags do Resource Manager para firewalls.

Os seguintes recursos de VPC podem ter tags anexadas a eles para uso nas políticas do IAM:

• Redes
• Sub-redes
• Rotas
• Regras de firewall da VPC
• Políticas de firewall de rede
• Políticas de firewall regionais

Para mais informações, consulte Criar e gerenciar tags para recursos de nuvem privada virtual.

Recursos de serviço com suporte

É possível anexar tags aos tipos de recursos do Google Cloud a seguir. Os recursos com suporte a tags em pré-lançamento só podem ter tags anexadas usando a Google Cloud CLI ou a API.

Serviço do Google Cloud	Tipos de recurso
Artifact Registry	Repositórios (Prévia)
BigQuery	Conjuntos de dados
Cloud Bigtable	Instâncias
Cloud Billing	O BigQuery gera relatórios apenas sobre instâncias do Compute Engine
Cloud Domains	Registros
Cloud Key Management Service (Cloud KMS)	Key rings
Cloud Load Balancing	Buckets de back-end Serviços de back-end Regras de encaminhamento Verificações de integridade Grupos de endpoints de rede Proxies HTTP(S) de destino Instâncias de destino Pools de destino Proxies SSL de destino Proxies TCP de destino Certificados SSL Mapas de URL
Cloud Run	Serviços Vagas (Prévia)
Cloud Spanner	Instâncias
Cloud SQL	Instâncias
Cloud Storage	Buckets
Compute Engine	Imagens Instâncias Discos permanentes regionais Snapshots Discos permanentes por zona
Datastore	Bancos de dados
Datastream	Configurações de conectividade particular Perfis de conexão Streams
Filestore	Backups Instâncias Snapshots
Firestore	Bancos de dados
Google Kubernetes Engine (GKE)	Clusters
Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado)	Domínios
Resource Manager	Organizações Pastas Projetos
VPC	Redes Sub-redes Rotas Regras de firewall da VPC