タグは Key-Value ペアで、ジョブに対してきめ細かいアクセス制御を行うことができます。タグ管理者は、組織またはプロジェクト レベルで Google Cloud のリソースにタグを作成し、Resource Manager で管理します。タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。
必要なロール
タグの追加または削除に必要な権限を取得するには、Cloud Run ジョブに対する次の IAM ロールを付与するよう管理者に依頼します。
-
Cloud Run 管理者(
roles/run.admin
) -
タグユーザー(
roles/resourcemanager.tagUser
)
Resource Manager のタグ値リソースのアクセスを管理するには、タグ値に付与された タグユーザー(roles/resourcemanager.tagUser
)ロールも必要です。タグ値は、Cloud Run ジョブに接続されているリソースです。
Cloud Run に関連付けられている IAM ロールと権限のリストについては、Cloud Run IAM ロールと Cloud Run IAM 権限をご覧ください。Cloud Run ジョブが Google Cloud APIs(Cloud クライアント ライブラリなど)と連携している場合は、サービス ID の構成ガイドをご覧ください。ロールの付与の詳細については、デプロイ権限とアクセスの管理をご覧ください。
タグを付ける
Google Cloud CLI を使用してタグを付けます。
コマンドライン
次のコマンドを使用して、ジョブのタグを更新します。
gcloud resource-manager tags bindings create \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \ --location=REGION
複数のタグを更新するには、Key-Value ペアのカンマ区切りリストを指定します。
次のように置き換えます。
- TAG_VALUE は、キーの値に置き換えます。
tagValues/12345678901
などの永続的な ID、123456789012/env/prod
などの名前空間の値、またはprod
などの略称といった、さまざまなタイプの識別子を使用できます。 - PROJECT_ID は、Google Cloud プロジェクトの ID に置き換えます。
- REGION は、Cloud Run ジョブがデプロイされているリージョンに置き換えます。
- JOB は、Cloud Run ジョブの名前に置き換えます。
タグを取り外す
ジョブからタグを取り外すには、Google Cloud CLI を使用します。
コマンドライン
ジョブからタグを取り外すには:
gcloud resource-manager tags bindings delete \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \ --location=REGION
複数のタグを削除するには、Key-Value ペアのカンマ区切りリストを指定します。
次のように置き換えます。
- TAG_VALUE は、キーの値に置き換えます。
tagValues/12345678901
などの永続的な ID、123456789012/env/prod
などの名前空間の値、またはprod
などの略称といった、さまざまなタイプの識別子を使用できます。 - PROJECT_ID は、Google Cloud プロジェクトの ID に置き換えます。
- REGION は、Cloud Run ジョブがデプロイされているリージョンに置き換えます。
- JOB は、Cloud Run ジョブの名前に置き換えます。