ジョブにタグを付ける

タグは Key-Value ペアで、ジョブに対してきめ細かいアクセス制御を行うことができます。タグ管理者は、組織またはプロジェクトレベルで Google Cloud のリソースにタグを作成し、Resource Manager で管理します。タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。

必要なロール

タグの追加または削除に必要な権限を取得するには、Cloud Run ジョブに対する次の IAM ロールを付与するよう管理者に依頼します。

Cloud Run 管理者（roles/run.admin）
タグユーザー（roles/resourcemanager.tagUser）

Resource Manager のタグ値リソースのアクセスを管理するには、タグ値に付与されたタグユーザー（roles/resourcemanager.tagUser）ロールも必要です。タグ値は、Cloud Run ジョブに接続されているリソースです。

Cloud Run に関連付けられている IAM ロールと権限のリストについては、Cloud Run IAM ロールと Cloud Run IAM 権限をご覧ください。Cloud Run ジョブが Google Cloud APIs（Cloud クライアントライブラリなど）と連携している場合は、サービス ID の構成ガイドをご覧ください。ロールの付与の詳細については、デプロイ権限とアクセスの管理をご覧ください。

タグを付ける

Google Cloud CLI を使用してタグを付けます。

コマンドライン

次のコマンドを使用して、ジョブのタグを更新します。

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
    --location=REGION

複数のタグを更新するには、Key-Value ペアのカンマ区切りリストを指定します。

次のように置き換えます。

TAG_VALUE は、キーの値に置き換えます。tagValues/12345678901 などの永続的な ID、123456789012/env/prod などの名前空間の値、または prod などの略称といった、さまざまなタイプの識別子を使用できます。
PROJECT_ID は、Google Cloud プロジェクトの ID に置き換えます。
REGION は、Cloud Run ジョブがデプロイされているリージョンに置き換えます。
JOB は、Cloud Run ジョブの名前に置き換えます。

タグを取り外す

ジョブからタグを取り外すには、Google Cloud CLI を使用します。

コマンドライン

ジョブからタグを取り外すには:

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
    --location=REGION

複数のタグを削除するには、Key-Value ペアのカンマ区切りリストを指定します。

次のように置き換えます。

TAG_VALUE は、キーの値に置き換えます。tagValues/12345678901 などの永続的な ID、123456789012/env/prod などの名前空間の値、または prod などの略称といった、さまざまなタイプの識別子を使用できます。
PROJECT_ID は、Google Cloud プロジェクトの ID に置き換えます。
REGION は、Cloud Run ジョブがデプロイされているリージョンに置き換えます。
JOB は、Cloud Run ジョブの名前に置き換えます。