Crear y gestionar etiquetas

En esta guía se describe cómo crear y gestionar etiquetas en secretos de Secret Manager. Puedes usar etiquetas para agrupar secretos relacionados de Secret Manager y almacenar metadatos sobre esos recursos en función de sus etiquetas.

Acerca de las etiquetas

Una etiqueta es un par clave-valor que se puede adjuntar a un recurso de Google Cloud. Puede usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes asignar roles de Gestión de Identidades y Accesos (IAM) de forma condicional en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulte el artículo Descripción general de las etiquetas.

Las etiquetas se adjuntan a los recursos creando un recurso de vinculación de etiquetas que vincula el valor al recurso. Google Cloud

Permisos obligatorios

Los permisos que necesitas dependen de la acción que quieras realizar.

Para obtener estos permisos, pide a tu administrador que te asigne el rol sugerido en el nivel adecuado de la jerarquía de recursos.

Ver etiquetas

Para ver las definiciones de etiquetas y las etiquetas que están asociadas a recursos, necesitas el rol Lector de etiquetas (roles/resourcemanager.tagViewer) u otro rol que incluya los siguientes permisos:

Permisos obligatorios

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings del tipo de recurso correspondiente. Por ejemplo, compute.instances.listTagBindings para ver las etiquetas asociadas a las instancias de Compute Engine.
  • listEffectiveTags
    • para el tipo de recurso adecuado. Por ejemplo, compute.instances.listEffectiveTags para ver todas las etiquetas asociadas o heredadas por las instancias de Compute Engine.

Para ver las etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.

Administrar etiquetas

Para crear, actualizar y eliminar definiciones de etiquetas, necesitas el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) u otro rol que incluya los siguientes permisos:

Permisos obligatorios

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Para administrar etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.

Gestionar etiquetas en recursos

Para añadir y quitar etiquetas asociadas a recursos, necesitas el rol Usuario de etiquetas (roles/resourcemanager.tagUser) u otro rol con permisos equivalentes en el valor de etiqueta y en los recursos a los que vas a asociar el valor de etiqueta. El rol Etiquetar usuario incluye los siguientes permisos:

Permisos obligatorios

  • Permisos necesarios para el recurso al que vas a adjuntar el valor de la etiqueta
    • Permiso createTagBinding específico de un recurso, como compute.instances.createTagBinding para las instancias de Compute Engine.
    • Permiso deleteTagBinding específico de un recurso, como compute.instances.deleteTagBinding para las instancias de Compute Engine.
  • Permisos necesarios para el valor de la etiqueta:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Permisos que te permiten ver proyectos y definiciones de etiquetas:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Para adjuntar etiquetas a los secretos de Secret Manager, necesitas el rol Administrador de Secret Manager (roles/secretmanager.admin).

Crear claves y valores de etiquetas

Para poder adjuntar una etiqueta, primero debes crearla y configurar su valor. Para crear claves y valores de etiqueta, consulte Crear una etiqueta y Añadir un valor de etiqueta.

Añadir etiquetas durante la creación de recursos

Puede añadir etiquetas al crear secretos. Si añades etiquetas durante la creación de recursos, podrás proporcionar al instante metadatos esenciales para tus recursos, así como mejorar la organización, el seguimiento de costes y la aplicación de políticas automatizada.

Consola

  1. Ve a la página Secret Manager en la consola de Google Cloud .

    2. Ir a Secret Manager

  2. Selecciona la opción para crear un secreto.
  3. Haz clic en Gestionar etiquetas.
  4. Si tu organización no aparece en el panel Gestionar etiquetas, haz clic en Seleccionar ámbito. Elige si quieres añadir etiquetas definidas a nivel de organización o de proyecto y, a continuación, introduce el ID correspondiente.
  5. Haz clic en Añadir etiqueta.
  6. Selecciona la clave de la etiqueta que quieras adjuntar en la lista. Puedes filtrar la lista escribiendo palabras clave.
  7. Selecciona el valor de la etiqueta que quieras adjuntar de la lista. Puedes filtrar la lista escribiendo palabras clave.
  8. Haz clic en Guardar. La sección Etiquetas se actualiza con la información de las etiquetas.
  9. Crea tu secreto. El nuevo secreto se crea con las etiquetas proporcionadas.

gcloud

Para añadir etiquetas durante la creación de secret, ejecuta el siguiente comando:

       gcloud secrets create SECRET_ID --tags=TAG_KEY=TAG_VALUE

Haz los cambios siguientes:

  • SECRET_ID: identificador único del secreto
  • TAG_KEY: el ID permanente o el nombre con espacio de nombres de la clave de etiqueta que se ha adjuntado. Por ejemplo, tagKeys/567890123456.
  • TAG_VALUE: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se adjunta. Por ejemplo, tagValues/567890123456.

Para especificar varias etiquetas, sepáralas con comas. Por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Envía una solicitud POST a la siguiente URL:

      https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

Proporciona el siguiente JSON en el cuerpo de la solicitud:

      
{
  "replication": {
    "automatic": {}
  },
  "tags": {
    "TAGKEY_NAME": "TAGVALUE_NAME"
  }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto
  • SECRET_ID: identificador único del secreto
  • TAGKEY_NAME: el ID permanente o el nombre con espacio de nombres de la clave de etiqueta que se ha adjuntado. Por ejemplo, tagKeys/567890123456.
  • TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se adjunta. Por ejemplo, tagValues/567890123456.

Añadir etiquetas a recursos

Para añadir una etiqueta a secretos que ya tengas, sigue estos pasos:

Consola

  1. Ve a la página Secret Manager en la consola de Google Cloud .

    2. Ir a Secret Manager

  2. Selecciona el secreto al que quieras adjuntar una etiqueta.
  3. Haga clic en Etiquetas.
  4. Si tu organización no aparece en el panel Etiquetas, haz clic en Seleccionar ámbito. Selecciona tu organización y haz clic en Abrir.
  5. Haz clic en Añadir etiqueta.
  6. Selecciona la clave de la etiqueta que quieras adjuntar en la lista. Puedes filtrar la lista escribiendo palabras clave.
  7. Selecciona el valor de la etiqueta que quieras adjuntar de la lista. Puedes filtrar la lista escribiendo palabras clave.
  8. Haz clic en Guardar.
  9. En el cuadro de diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.

    10. Recibirás una notificación para confirmar que se han actualizado las etiquetas.

gcloud

Para adjuntar una etiqueta a un secreto, debes crear un recurso de enlace de etiquetas mediante el comando gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Haz los cambios siguientes:

  • TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta adjunta. Por ejemplo, tagValues/567890123456.
  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//secretmanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a /projects/PROJECT_ID/secrets/SECRET_ID, el ID completo es //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Mostrar las etiquetas asociadas a los recursos

Puedes ver una lista de las vinculaciones de etiquetas adjuntas directamente al secreto o heredadas por él.

Consola

  1. Ve a la página Secret Manager en la consola de Google Cloud .

    2. Ir a Secret Manager

  2. Las etiquetas se muestran en la columna Etiquetas del secreto.

gcloud

Para obtener una lista de las vinculaciones de etiquetas asociadas a un recurso, usa el comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

Haz los cambios siguientes:

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//secretmanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a /projects/PROJECT_ID/secrets/SECRET_ID, el ID completo es //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Deberías obtener una respuesta similar a la siguiente:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //secretmanager.googleapis.com/projects/project-abc/secrets/secret-xyz

Desvincular etiquetas de recursos

Puedes separar las etiquetas que se hayan adjuntado directamente a un secreto. Las etiquetas heredadas se pueden anular adjuntando una etiqueta con la misma clave y un valor diferente, pero no se pueden separar.

Consola

  1. Ve a la página Secret Manager en la consola de Google Cloud .

    2. Ir a Secret Manager

  2. Selecciona el secreto del que quieras quitar una etiqueta <0x0A>.
  3. Haga clic en Etiquetas.
  4. En el panel Etiquetas, junto a la etiqueta que quieras desvincular, haz clic en Eliminar elemento.
  5. Haz clic en Guardar.
  6. En el cuadro de diálogo Confirmar, haz clic en Confirmar para separar la etiqueta.

Recibirás una notificación para confirmar que se han actualizado las etiquetas.

gcloud

Para eliminar un enlace de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Haz los cambios siguientes:

  • TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta adjunta. Por ejemplo, tagValues/567890123456.
  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//secretmanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a /projects/PROJECT_ID/secrets/SECRET_ID, el ID completo es //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Eliminar claves y valores de etiquetas

Cuando elimine una definición de clave o valor de etiqueta, asegúrese de que la etiqueta se haya desvinculado del secreto. Debes eliminar los archivos adjuntos de etiquetas, denominados enlaces de etiquetas, antes de eliminar la definición de la etiqueta. Para eliminar claves y valores de etiquetas, consulta Eliminar etiquetas.

Condiciones y etiquetas de gestión de identidades y accesos

Puedes usar etiquetas y condiciones de gestión de identidades y accesos para conceder enlaces de roles de forma condicional a los usuarios de tu jerarquía. Si se cambia o se elimina la etiqueta asociada a un recurso, se puede retirar el acceso de los usuarios a ese recurso si se ha aplicado una política de gestión de identidades y accesos con enlaces de roles condicionales. Para obtener más información, consulta Condiciones y etiquetas de Gestión de Identidades y Accesos.

Siguientes pasos