Les tags sont des paires clé/valeur que vous pouvez appliquer à vos services pour un contrôle d'accès précis. Les administrateurs de tags créent des tags pour les ressources dans Google Cloud au niveau de l'organisation ou du projet et les gèrent dans Resource Manager. Les tags permettent d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non.
Les tags associés aux services Cloud Run ne doivent pas être confondus avec les tags de trafic Cloud Run permettant d'acheminer le trafic vers des révisions Cloud Run spécifiques.
Rôles requis
Pour obtenir les autorisations nécessaires pour associer ou dissocier des tags, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le service Cloud Run :
-
Administrateur Cloud Run (
roles/run.admin
) -
Utilisateur de tags (
roles/resourcemanager.tagUser
)
Pour gérer l'accès à la ressource de valeur de tag dans Resource Manager, votre compte doit également disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser
) accordé pour la valeur du tag.
La valeur du tag est la ressource associée au service Cloud Run.
Pour obtenir la liste des rôles et des autorisations IAM associés à Cloud Run, consultez les sections Rôles IAM Cloud Run et Autorisations IAM Cloud Run. Si votre service Cloud Run communique avec les API Google Cloud, telles que les bibliothèques clientes Cloud, consultez le guide de configuration de l'identité du service. Pour en savoir plus sur l'attribution de rôles, consultez les sections Autorisations de déploiement et Gérer les accès.
Associer des tags
Notez que l'association d'un tag à votre service n'entraîne pas la création d'une révision.
Vous pouvez associer ou dissocier des tags à l'aide de Google Cloud Console ou de la ligne de commande gcloud.
Console
Cochez la case située à gauche du service sur lequel vous définissez le tag.
Cliquez sur Tags au-dessus de la liste des services pour afficher le volet des tags.
Si votre organisation n'apparaît pas dans le panneau Tags, cliquez sur Sélectionner un niveau d'accès. Sélectionnez votre organisation, puis cliquez sur Ouvrir.
Pour associer un nouveau tag au service, cliquez sur Ajouter un tag, sélectionnez l'une des clés de tag dans le menu déroulant des clés, puis sélectionnez une valeur dans le menu déroulant des valeurs.
Cliquez sur Enregistrer, puis confirmez vos modifications si vous y êtes invité.
gcloud
Vous pouvez mettre à jour les tags d'un service à l'aide de la commande suivante :
gcloud resource-manager tags bindings create \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \ --location=REGION
Pour mettre à jour plusieurs tags, spécifiez une liste de paires clé/valeur séparées par une virgule.
Remplacer
- TAG_VALUE par la valeur de la clé : vous pouvez utiliser ces différents types d'identifiants : un identifiant permanent tel que
tagValues/12345678901
, une valeur d'espace de noms telle que123456789012/env/prod
ou un nom court tel que en tant queprod
- PROJECT_ID par l'ID de votre projet Google Cloud
- REGION par la région dans laquelle votre service Cloud Run est déployé
- SERVICE par le nom de votre service Cloud Run ;
Dissocier un tag
Vous pouvez utiliser la console ou la ligne de commande pour dissocier des tags de votre service.
Console
Cochez la case située à gauche du service dont vous dissociez le tag.
Cliquez sur Tags au-dessus de la liste des services pour afficher le volet des tags.
Localisez le tag que vous souhaitez dissocier.
Placez le curseur à droite du menu déroulant Valeur pour que le tag affiche l'icône de la corbeille, puis cliquez sur celle-ci.
Cliquez sur Enregistrer et confirmez vos modifications si vous y êtes invité.
gcloud
Pour dissocier un tag d'un service, procédez comme suit :
gcloud resource-manager tags bindings delete \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \ --location=REGION
Pour dissocier plusieurs tags, spécifiez une liste de paires clé/valeur séparées par une virgule.
Remplacer
- TAG_VALUE par la valeur de la clé : vous pouvez utiliser ces différents types d'identifiants : un identifiant permanent tel que
tagValues/12345678901
, une valeur d'espace de noms telle que123456789012/env/prod
ou un nom court tel que en tant queprod
- PROJECT_ID par l'ID de votre projet Google Cloud
- REGION par la région dans laquelle votre service Cloud Run est déployé
- SERVICE par le nom de votre service Cloud Run ;