Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Dienste anwenden können. Tag-Administratoren erstellen Tags für Ressourcen in Google Cloud auf Organisations- oder Projektebene und verwalten sie im Resource Manager. Mit Tags können Sie Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen.
Tags, die mit Cloud Run-Diensten angehängt werden, sollten nicht mit Traffic-Tags von Cloud Run verwechselt werden, die Traffic an bestimmte Cloud Run-Überarbeitungen weiterleiten können.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für den Cloud Run-Dienst zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anhängen oder Trennen von Tags benötigen:
-
Cloud Run-Administrator (
roles/run.admin
) -
Tag-Nutzer (
roles/resourcemanager.tagUser
)
Um den Zugriff auf die Tag-Wert-Ressource in Resource Manager zu verwalten, muss Ihrem Konto auch die Rolle Tag-Nutzer (roles/resourcemanager.tagUser
) für den Tag-Wert zugewiesen werden.
Der Tag-Wert ist die Ressource, die mit dem Cloud Run-Dienst verknüpft ist.
Eine Liste der IAM-Rollen und -Berechtigungen im Zusammenhang mit Cloud Run finden Sie unter IAM-Rollen für Cloud Run und IAM-Berechtigungen für Cloud Run. Wenn Ihr Cloud Run Service mit Google Cloud APIs wie Cloud-Clientbibliotheken verknüpft ist, lesen Sie die Konfigurationsanleitung für Dienstidentitäten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Bereitstellungsberechtigungen und Zugriff verwalten.
Tags anhängen
Beachten Sie, dass das Anhängen eines Tags an Ihren Dienst nicht zur Erstellung einer neuen Überarbeitung führt.
Sie können Tags über die Google Cloud Console oder die gcloud-Befehlszeile anhängen oder trennen.
Console
Aktivieren Sie das Kästchen links neben dem Dienst, für den Sie das Tag festlegen möchten.
Klicken Sie über der Dienstliste auf Tags, um den Bereich "Tags" aufzurufen.
Wenn Ihre Organisation nicht im Bereich Tags angezeigt wird, klicken Sie auf Bereich auswählen. Wählen Sie Ihre Organisation aus und klicken Sie auf Öffnen.
Klicken Sie zum Anhängen eines neuen Tags an den Dienst auf Tag hinzufügen und wählen Sie einen der Tag-Schlüssel im Drop-down-Menü des Schlüssels aus. Wählen Sie dann einen Wert aus dem Drop-down-Menü "Wert" aus.
Klicken Sie auf Speichern und bestätigen Sie Ihre Änderungen, wenn Sie dazu aufgefordert werden.
gcloud
Sie können Tags für einen Dienst mit dem folgenden Befehl aktualisieren:
gcloud resource-manager tags bindings create \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \ --location=REGION
Wenn Sie mehrere Tags aktualisieren möchten, geben Sie eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren an.
Ersetzen
- TAG_VALUE durch den Wert für den Schlüssel: Sie können diese verschiedenen Arten von IDs verwenden: eine permanente ID wie
tagValues/12345678901
, einen Namespace-Wert wie123456789012/env/prod
oder einen kurzen Namen wieprod
- PROJECT_ID durch die Projekt-ID Ihres Google Cloud-Projekts
- REGION durch die Region, in der Ihr Cloud Run-Dienst bereitgestellt wird
- SERVICE durch den Namen Ihres Cloud Run-Dienstes
Tags trennen
Sie können die Console oder die Befehlszeile verwenden, um Tags von Ihrem Dienst zu trennen.
Console
Klicken Sie auf das Kästchen links neben dem Dienst, von dem Sie das Tag trennen möchten.
Klicken Sie über der Dienstliste auf Tags, um den Bereich "Tags" aufzurufen.
Suchen Sie das Tag, das Sie trennen möchten.
Bewegen Sie den Mauszeiger rechts neben das Drop-down-Menü Wert für das Tag, damit das Papierkorbsymbol angezeigt wird, und klicken Sie darauf.
Klicken Sie auf Speichern und bestätigen Sie Ihre Änderungen, wenn Sie dazu aufgefordert werden.
gcloud
So trennen Sie ein Tag von einem Dienst:
gcloud resource-manager tags bindings delete \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \ --location=REGION
Wenn Sie mehrere Tags trennen möchten, geben Sie eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren an.
Ersetzen
- TAG_VALUE durch den Wert für den Schlüssel: Sie können diese verschiedenen Arten von IDs verwenden: eine permanente ID wie
tagValues/12345678901
, einen Namespace-Wert wie123456789012/env/prod
oder einen kurzen Namen wieprod
- PROJECT_ID durch die Projekt-ID Ihres Google Cloud-Projekts
- REGION durch die Region, in der Ihr Cloud Run-Dienst bereitgestellt wird
- SERVICE durch den Namen Ihres Cloud Run-Dienstes