Les tags sont des paires clé/valeur que vous pouvez appliquer à vos ressources pour un contrôle d'accès précis. Les administrateurs de tags créent des tags pour les ressources dans Google Cloud au niveau de l'organisation ou du projet et les gèrent dans Resource Manager. Les tags permettent d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non.
Rôles requis
Pour obtenir les autorisations nécessaires pour associer ou dissocier des tags, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le job Cloud Run :
-
Administrateur Cloud Run (
roles/run.admin) -
Utilisateur de tags (
roles/resourcemanager.tagUser)
Pour gérer l'accès à la ressource de valeur de tag dans Resource Manager, votre compte doit également disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser) accordé pour la valeur du tag.
La valeur du tag correspond à la ressource associée au job Cloud Run.
Pour obtenir la liste des rôles et des autorisations IAM associés à Cloud Run, consultez les sections Rôles IAM Cloud Run et Autorisations IAM Cloud Run. Si votre tâche Cloud Run communique avec des API Google Cloud, telles que des bibliothèques clientes Cloud, consultez le guide de configuration de l'identité du service. Pour en savoir plus sur l'attribution de rôles, consultez les sections Autorisations de déploiement et Gérer les accès.
Associer des tags
Associez des tags à l'aide de Google Cloud CLI.
gcloud
Mettez à jour les tags d'un job à l'aide de la commande suivante :
gcloud resource-manager tags bindings create \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
Pour mettre à jour plusieurs tags, spécifiez une liste de paires clé/valeur séparées par une virgule.
Remplacer
- TAG_VALUE par la valeur de la clé. Vous pouvez utiliser ces différents types d'identifiants : un ID permanent tel que
tagValues/12345678901, une valeur d'espace de noms telle que123456789012/env/prodou un nom court tel queprod - PROJECT_ID par l'ID de votre projet Google Cloud
- REGION par la région dans laquelle votre job Cloud Run est déployé
- JOB par le nom de votre job Cloud Run
Dissocier un tag
Utilisez Google Cloud CLI pour dissocier des tags de votre job.
gcloud
Pour dissocier un tag d'un job, procédez comme suit :
gcloud resource-manager tags bindings delete \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
Pour dissocier plusieurs tags, spécifiez une liste de paires clé/valeur séparées par une virgule.
Remplacer
- TAG_VALUE par la valeur de la clé : vous pouvez utiliser ces différents types d'identifiants : un identifiant permanent tel que
tagValues/12345678901, une valeur d'espace de noms telle que123456789012/env/prodou un nom court tel que en tant queprod - PROJECT_ID par l'ID de votre projet Google Cloud
- REGION par la région dans laquelle votre job Cloud Run est déployé
- JOB par le nom de votre job Cloud Run