As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Os recursos e as políticas usados por cada serviço usam tags de maneiras diferentes. Para mais informações, consulte a Visão geral de tags.
Alguns serviços, como o Identity and Access Management (IAM), são mecanismos de políticas que oferecem suporte a referências por tags. Se for possível anexar uma tag a um recurso de serviço o serviço do mecanismo de política oferece suporte a esse recurso, a aplicação condicional de políticas para controlar melhor seus recursos hierarquia. Cada serviço de mecanismo de política lista os recursos compatíveis na seção Serviços de mecanismo de política.
Os recursos não listados como explicitamente compatíveis com os serviços do mecanismo de política não podem ser diretamente segmentados para a aplicação condicional de políticas. Em vez disso, o pai projeto, pasta ou recurso da organização devem ser marcados para fornecer o controle condicional.
Consulte a seção adequada abaixo ao anexar tags aos recursos de serviço. Para mais informações, consulte Como criar e gerenciar tags.
Serviços de mecanismo de política
Os seguintes serviços incluem políticas que podem incluir tags. A referência a tags nessas políticas permite que você ajuste a forma como elas operam em recursos com suporte na hierarquia de recursos do Google Cloud.
Serviço do Google Cloud | Tipos de recurso |
---|---|
Gerenciamento de identidade e acesso (IAM) | |
Organization Policy Service | |
Nuvem privada virtual (VPC) |
As seções a seguir descrevem como usar tags com o mecanismo de política serviços.
Identity and Access Management
É possível conceder papéis do IAM condicionalmente ou negar condicionalmente permissões do IAM com base no fato de um recurso ter uma tag específica.
Os recursos herdam valores de tag da mãe. organização, pastas e projeto. Como resultado, é possível usar tags para gerenciar o acesso a qualquer recurso do Google Cloud.
Para mais informações sobre o uso de tags com o IAM para ajudar a controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.
Serviço de política da organização
É possível usar políticas da organização com tags para controlar como as restrições da política da organização são aplicadas a determinados recursos. As políticas da organização podem ser aplicada condicionalmente por tags anexadas aos seguintes recursos:
- Recursos de projeto, pasta e organização do Google Cloud
- Buckets do Cloud Storage
As políticas da organização não podem ser aplicadas condicionalmente por tags anexadas a recursos não listados acima. No entanto, as restrições das políticas da organização que operam em políticas de permissão do IAM, como compartilhamento restrito de domínio podem ser aplicadas condicionalmente com tags em qualquer serviço compatível recurso.
Para mais informações, consulte Como configurar uma política da organização com tags.
Nuvem privada virtual
É possível usar tags para definir origens e destinos em políticas de firewall de rede e regionais. Também é possível anexar tags a VMs do Compute Engine instâncias para representar diferentes funções em uma rede. Para mais informações, consulte Tags do Resource Manager para firewalls.
Os seguintes recursos de VPC podem ter tags anexadas a eles para para usar nas políticas do IAM:
- Redes
- Sub-redes
- Rotas
- Regras de firewall da VPC
- Políticas de firewall de rede
- Políticas de firewall regionais
Para mais informações, consulte Criar e gerenciar tags para recursos de nuvem privada virtual.
Recursos de serviço com suporte
É possível anexar tags aos seguintes tipos de recursos do Google Cloud: