Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Jobs anwenden können. Tag-Administratoren erstellen Tags für Ressourcen in Google Cloud auf Organisations- oder Projektebene und verwalten sie im Resource Manager. Mit Tags können Sie Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für den Cloud Run-Job zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anhängen oder Trennen von Tags benötigen:
-
Cloud Run-Administrator (
roles/run.admin) -
Tag-Nutzer (
roles/resourcemanager.tagUser)
Um den Zugriff auf die Tag-Wert-Ressource in Resource Manager zu verwalten, muss Ihrem Konto auch die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) für den Tag-Wert zugewiesen werden.
Der Tagwert ist die Ressource, die mit dem Cloud Run-Job verknüpft ist.
Eine Liste der IAM-Rollen und -Berechtigungen im Zusammenhang mit Cloud Run finden Sie unter IAM-Rollen für Cloud Run und IAM-Berechtigungen für Cloud Run. Wenn Ihr Cloud Run-Job mit Google Cloud APIs wie Cloud-Clientbibliotheken verknüpft ist, lesen Sie die Konfigurationsanleitung für Dienstidentitäten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Bereitstellungsberechtigungen und Zugriff verwalten.
Tags anhängen
Tags mit der Google Cloud CLI anhängen.
Befehlszeile
Aktualisieren Sie die Tags für einen Job mit dem folgenden Befehl:
gcloud resource-manager tags bindings create \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
Wenn Sie mehrere Tags aktualisieren möchten, geben Sie eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren an.
Ersetzen
- TAG_VALUE durch den Wert für den Schlüssel. Sie können diese verschiedenen Arten von IDs verwenden: eine permanente ID wie
tagValues/12345678901, einen Namespace-Wert wie123456789012/env/prododer einen kurzen Namen wieprod - PROJECT_ID durch die Projekt-ID Ihres Google Cloud-Projekts
- REGION durch die Region, in der Ihr Cloud Run-Job bereitgestellt wird
- JOB durch den Namen des Cloud Run-Jobs
Tags trennen
Verwenden Sie die Google Cloud CLI, um Tags von Ihrem Job zu trennen.
Befehlszeile
So trennen Sie ein Tag von einem Job:
gcloud resource-manager tags bindings delete \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
Wenn Sie mehrere Tags trennen möchten, geben Sie eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren an.
Ersetzen
- TAG_VALUE durch den Wert für den Schlüssel: Sie können diese verschiedenen Arten von IDs verwenden: eine permanente ID wie
tagValues/12345678901, einen Namespace-Wert wie123456789012/env/prododer einen kurzen Namen wieprod - PROJECT_ID durch die Projekt-ID Ihres Google Cloud-Projekts
- REGION durch die Region, in der Ihr Cloud Run-Job bereitgestellt wird
- JOB durch den Namen des Cloud Run-Jobs