Questa pagina descrive come utilizzare i tag Google Cloud per gestire l'accesso alle tue istanze Spanner.
Un tag Google Cloud è un una coppia chiave-valore che puoi collegare alle tue risorse Google Cloud, ad esempio progetti o istanze Spanner. Puoi usare i tag per raggruppare e organizzare le istanze, impostandole basati su Identity and Access Management (IAM) sulla presenza o meno di un tag specifico per un'istanza. Puoi creare e gestire i tag delle istanze Spanner utilizzando l'interfaccia a riga di comando Google Cloud o la console Google Cloud. Dopo aver creato i tag, puoi creare un'associazione di tag per per collegare il tag alle risorse Google Cloud. Le associazioni di tag vengono ereditate da elementi secondari della risorsa in base alla gerarchia delle risorse di Google Cloud. Ad esempio, se colleghi un tag al progetto, tutte le istanze in quel progetto ereditare il tag. Puoi anche utilizzare le etichette per organizzare le risorse Google Cloud, ma non puoi utilizzare le etichette per impostare dei criteri IAM.
Per scoprire di più sui tag, consulta Panoramica dei tag.
Casi d'uso comuni per i tag di istanza Spanner
Alcuni casi d'uso comuni per i tag includono:
- Tag IAM (Identity and Access Management): concedi identità e accesso Ruoli di gestione (IAM) a seconda che un'istanza abbia un tag specifico. La la presenza o l'assenza di un valore di tag è la condizione per quel criterio IAM e per controllare l'accesso all'istanza Spanner.
- Tag di stato: indicano e gestisci lo stato di un'istanza mediante la creazione di tag.
Ad esempio,
state:active
,state:todelete
estate:archive
. - Tag di ambiente:specifica gli ambienti di produzione, test e sviluppo
per le istanze creando coppie chiave-valore come
env:prod
,env:dev
eenv:test
.
Creare e gestire i tag di istanza Spanner
I tag sono strutturati come coppie chiave-valore. Puoi creare una chiave tag nella sezione
organizzazione e poi allegano i valori dei tag alla chiave tag (ad esempio,
una chiave tag environment
con valori prod
e dev
). Puoi quindi creare un tag
associazione che collega il valore del tag a una risorsa Google Cloud, ad esempio un progetto
o un'istanza Spanner. Tieni presente che non puoi assegnare un tag a un database.
Autorizzazioni obbligatorie
Le autorizzazioni necessarie dipendono dall'azione da eseguire. Per maggiori informazioni informazioni, consulta Autorizzazioni obbligatorie nella documentazione.
Creare chiavi e valori dei tag
Prima di poter collegare un tag all'istanza, devi creare il tag e e assegnare il suo valore. Per creare chiavi e valori dei tag, consulta la sezione Creazione di un tag. e Aggiunta di un valore tag.
Associa un tag a un'istanza
Dopo aver creato le coppie chiave-valore dei tag, puoi creare un'associazione di tag e per collegarlo all'istanza Spanner.
Console
Nella console Google Cloud, vai alla pagina Istanze Spanner .
Seleziona l'istanza per la quale vuoi collegare un tag.
Fai clic su
Tag.Se la tua organizzazione non viene visualizzata nel riquadro Tag, fai clic su Seleziona ambito. Seleziona la tua organizzazione e fai clic su Apri.
Nel riquadro Tag, seleziona Aggiungi tag.
Nel campo Chiave, seleziona la chiave del tag da cui vuoi allegare il tag. dall'elenco. Puoi filtrare l'elenco digitando parole chiave.
Nel campo Valore, seleziona il valore del tag che vuoi collegare dall'elenco. Puoi filtrare l'elenco digitando parole chiave.
Se vuoi aggiungere altri tag, fai clic su
Aggiungi tag e seleziona la chiave e il valore di ciascuna.Fai clic su Salva.
Nella finestra di dialogo Conferma, fai clic su Conferma per allegare il tag.
Una notifica conferma che i tag sono stati aggiornati.
gcloud
Per creare un'associazione di tag e collegarla alla tua istanza, esegui questo comando: :
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/VALUE_NAME
--location=LOCATION
PROJECT_ID
: l'ID del progetto.INSTANCE_ID
: l'ID dell'istanza.ORG_ID
: l'ID dell'organizzazione.KEY_NAME
: il nome visualizzato (breve) del tag chiave. Ad esempio,env
.VALUE_NAME
: il nome visualizzato (breve) del tag valore. Ad esempio,prod
.LOCATION
: la località della tua istanza. Ad esempio,us-east1
.
Ad esempio, per creare un'associazione di tag nella tua istanza Spanner.
my-instance
con la coppia chiave-valore del tag env:prod
, esegui questo comando:
:
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1
Condizioni e tag IAM
Puoi utilizzare tag e condizioni IAM per concedere in modo condizionale le associazioni di ruoli utenti. Se viene applicato un criterio IAM con associazioni di ruoli condizionali, la modifica o l'eliminazione del tag associato a una risorsa potrebbe rimuovere l'accesso dell'utente a quella risorsa.
Per saperne di più, consulta la Panoramica delle condizioni IAM.
Console
Per utilizzare i tag per concedere in modo condizionale le associazioni di ruoli agli utenti, consulta Gestione dell'accesso ai tag.
gcloud
Per applicare una condizione basata su tag a un criterio IAM, assicurati di disporre delle autorizzazioni richieste, quindi esegui il seguente comando:
gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
ORG_ID
: l'ID dell'organizzazione.ROLE
: il nome del ruolo da assegnare all'entità. La il nome ruolo è il percorso completo di un ruolo predefinito,roles/logging.viewer
o l'ID per un ruolo personalizzato, ad esempioorganizations/{ORG_ID}/roles/logging.viewer
.PRINCIPAL
: l'entità a cui vuoi aggiungere l'associazione del ruolo. Deve avere il formatouser|group|serviceAccount:email
odomain:domain
. Ad esempio:user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
, oppuredomain:example.domain.com
.PROJECT_ID
: l'ID del progetto.KEY_NAME
: il nome visualizzato (breve) del tag chiave. Ad esempio,env
.VALUE_NAME
: il nome visualizzato (breve) del tag valore. Ad esempio,prod
.
Questo comando aggiunge un'associazione di criteri IAM ai criteri IAM di un'organizzazione. Un'associazione di criteri è composta da un membro, un ruolo e una condizione facoltativa.
Ad esempio, per concedere condizionatamente a user1@example.com
il ruolo spanner.backupAdmin
in tutte le risorse del progetto 123456789012
con il tag env:prod
, esegui il comando:
gcloud organizations add-iam-policy-binding my-project
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')
Elenca i tag collegati a un'istanza
Puoi visualizzare un elenco di associazioni di tag collegate direttamente o ereditate dal in esecuzione in un'istanza Compute Engine.
gcloud
Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa, utilizza il metodo
Comando gcloud resource-manager tags bindings list
. Se aggiungi il parametro
--effective
, vengono visualizzate anche tutte le associazioni di tag ereditate da questa
risorsa.
Per elencare tutte le associazioni di tag associate a un'istanza, esegui il seguente comando:
gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
PROJECT_ID
: l'ID del progetto.INSTANCE_ID
: l'ID dell'istanza.LOCATION
: la località della tua istanza. Ad esempio:us-east1
.
Eliminare un'associazione di tag
Quando rimuovi la chiave o la definizione del valore di un tag, assicurati che il tag sia scollegato dal in esecuzione in un'istanza Compute Engine. Prima di eliminare il tag, devi eliminare le associazioni di tag esistenti.
Console
Nella console Google Cloud, vai alla pagina Istanze Spanner .
Seleziona l'istanza per la quale vuoi eliminare un'associazione di tag.
Fai clic su
Tag.Nel riquadro Tag, accanto al tag che desideri scollegare, fai clic su
Elimina elemento.Fai clic su Salva.
Nella finestra di dialogo Conferma, fai clic su Conferma per scollegare il tag.
Una notifica conferma che i tag sono stati aggiornati.
gcloud
Per eliminare un'associazione di tag, esegui questo comando:
gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/KEY_VALUE
--location=LOCATION
PROJECT_ID
: l'ID del progetto.INSTANCE_ID
: l'ID dell'istanza.ORG_ID
: l'ID dell'organizzazione.KEY_NAME
: il nome visualizzato (breve) del tag chiave. Ad esempio,env
.VALUE_NAME
: il nome visualizzato (breve) del tag valore. Ad esempio,prod
.LOCATION
: la località della tua istanza. Ad esempio,us-east1
.
Eliminare un tag
Dopo aver eliminato l'associazione di tag, puoi procedere all'eliminazione del tag. Per eliminare il tag e i valori dei tag, consulta la sezione Eliminazione di tag.
Passaggi successivi
Scopri di più sui tag Google Cloud.
Scopri di più su come creare e gestire i tag sulle tue istanze Spanner usando Resource Manager.
Scopri di più su etichette, è un altro modo per organizzare le tue risorse Google Cloud.
Scopri di più sulla creazione di criteri di autorizzazione IAM con condizioni.