Zugriff steuern und Instanzen mit Tags organisieren

Auf dieser Seite wird beschrieben, wie Sie mithilfe von Google Cloud-Tags den Zugriff auf Ihre Spanner-Instanzen.

Ein Google Cloud-Tag ist ein Schlüssel/Wert-Paar, das Sie an Ihre Google Cloud-Ressourcen anhängen können, wie Projekte oder Spanner-Instanzen. Mit Tags können Sie und Organisieren Ihrer Instanzen Basierend auf IAM-Zugriffsrichtlinien (Identity and Access Management) ob eine Instanz ein bestimmtes Tag hat. Sie können Spanner-Instanz-Tags mit der Google Cloud CLI oder Google Cloud Console Nachdem Sie Ihre Tags erstellt haben, können Sie eine Tag-Bindung an und hängen Sie das Tag an Ihre Google Cloud-Ressourcen an. Tag-Bindungen werden übernommen von Untergeordnete Elemente der Ressource gemäß der Google Cloud-Ressourcenhierarchie. Wenn Sie beispielsweise ein Tag an Ihr Projekt anhängen, werden alle Instanzen in diesem Projekt das Tag übernehmen. Sie können auch Labels verwenden, zum Organisieren Ihrer Google Cloud-Ressourcen. Mit Labels können Sie jedoch keine Bedingungen für IAM-Richtlinien.

Weitere Informationen zu Tags – Übersicht.

Häufige Anwendungsfälle für Spanner-Instanz-Tags

Hier einige häufige Anwendungsfälle für Tags:

  • Tags für die Identitäts- und Zugriffsverwaltung (IAM):Gewährt Identität und Zugriff Verwaltungsrollen (IAM), die davon abhängen, ob eine Instanz ein bestimmtes Tag hat. Die ist das Vorhandensein oder Fehlen eines Tag-Werts die Bedingung für diese IAM-Richtlinie und können Sie den Zugriff auf Ihre Spanner-Instanz steuern.
  • Status-Tags:Geben und verwalten Sie den Status einer Instanz, indem Sie Tags erstellen. Beispiel: state:active, state:todelete und state:archive.
  • Umgebungs-Tags:Geben Sie Produktions-, Test- und Entwicklungsumgebungen an. für Instanzen durch Erstellen von Schlüssel/Wert-Paaren wie env:prod, env:dev und env:test

Spanner-Instanz-Tags erstellen und verwalten

Tags sind als Schlüssel/Wert-Paare strukturiert. Sie erstellen einen Tag-Schlüssel unter Ihrem Organisationsressource und Tag-Werte an den Tag-Schlüssel anhängen (z. B. Tag-Schlüssel environment mit den Werten prod und dev). Sie können dann ein Tag erstellen, Bindung, die den Tag-Wert mit einer Google Cloud-Ressource verknüpft, z. B. einem Projekt oder eine Spanner-Instanz erstellen. Beachten Sie, dass Sie einem Tag Datenbank.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab. Weitere Informationen Weitere Informationen finden Sie unter Erforderliche Berechtigungen im Resource Manager Dokumentation.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag an Ihre Instanz anhängen können, müssen Sie das Tag erstellen und seinen Wert zuweisen. Informationen zum Erstellen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tag erstellen. und Tag-Wert hinzufügen.

Tag an eine Instanz anhängen

Nachdem Sie die Tag-Schlüssel/Wert-Paare erstellt haben, können Sie eine Tag-Bindung und an Ihre Spanner-Instanz anhängen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Spanner-Instanzen. Seite.

    Spanner-Instanzen aufrufen

  2. Wählen Sie die Instanz aus, an die Sie ein Tag anhängen möchten.

  3. Klicken Sie auf Tags.

  4. Wenn Ihre Organisation nicht im Bereich Tags angezeigt wird, klicken Sie auf Bereich auswählen. Wählen Sie Ihre Organisation aus und klicken Sie auf Öffnen.

  5. Wählen Sie im Bereich „Tags“ die Option Tag hinzufügen aus.

  6. Wählen Sie im Feld Schlüssel den Schlüssel für das Tag aus, über das Sie den Schlüssel anhängen möchten. auf der Liste. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  7. Wählen Sie im Feld Wert den Wert für das Tag aus, das Sie anhängen möchten. aus der Liste aus. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  8. Wenn Sie weitere Tags anhängen möchten, klicken Sie auf Tag hinzufügen und wählen Sie den Schlüssel aus. und einen Wert für jedes Element.

  9. Klicken Sie auf Speichern.

  10. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

    Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Führen Sie folgenden Befehl aus, um eine Tag-Bindung zu erstellen und an Ihre Instanz anzuhängen: Befehl:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/VALUE_NAME
--location=LOCATION
  • PROJECT_ID: ID des Projekts
  • INSTANCE_ID: Die ID der Instanz.
  • ORG_ID: Die ID der Organisation.
  • KEY_NAME: Der Anzeigename Ihres Tags . Beispiel: env.
  • VALUE_NAME: Der Anzeigename Ihres Tags Wert. Beispiel: prod.
  • LOCATION: Der Standort Ihrer Instanz. Beispiel: us-east1

Wenn Sie beispielsweise eine Tag-Bindung für Ihre Spanner-Instanz erstellen möchten, my-instance mit dem Tag-Schlüssel/Wert-Paar env:prod, führen Sie Folgendes aus: Befehl:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1

IAM-Bedingungen und Tags

Sie können Tags und IAM-Bedingungen verwenden, um Rollenbindungen Nutzenden. Wenn eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wird, Wenn Sie das an eine Ressource angehängte Tag löschen, geht der Nutzerzugriff möglicherweise .

Weitere Informationen finden Sie in der Übersicht über IAM-Bedingungen.

Console

Informationen zum Verwenden von Tags zum bedingten Zuweisen von Rollenbindungen an Nutzer finden Sie unter Zugriff auf Tags verwalten

gcloud

Damit Sie eine Tag-basierte Bedingung auf eine IAM-Richtlinie anwenden können, benötigen Sie die erforderlichen Berechtigungen und führen Sie dann den folgenden Befehl aus:

gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
  • ORG_ID: Die ID der Organisation.
  • ROLE: Der Rollenname, der dem Hauptkonto zugewiesen werden soll. Die Der Rollenname ist der vollständige Pfad zu einer vordefinierten Rolle, z. B. roles/logging.viewer oder die Rollen-ID für eine benutzerdefinierte Rolle, z. B. organizations/{ORG_ID}/roles/logging.viewer.
  • PRINCIPAL: Das Hauptkonto, dem Sie das Konto hinzufügen möchten der Rollenbindung. Sie sollte folgendes Format haben: user|group|serviceAccount:email oder domain:domain. Beispiel: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com oder domain:example.domain.com.
  • PROJECT_ID: ID des Projekts
  • KEY_NAME: Der Anzeigename Ihres Tags . Beispiel: env.
  • VALUE_NAME: Der Anzeigename Ihres Tags Wert. Beispiel: prod.

Dieser Befehl fügt der IAM-Richtlinie einer Organisation eine IAM-Richtlinienbindung hinzu. Eine Richtlinienbindung besteht aus einem Mitglied, einer Rolle und einer optionalen Bedingung.

Um user1@example.com beispielsweise unter bestimmten Bedingungen die Rolle spanner.backupAdmin in allen 123456789012-Projektressourcen mit dem Tag env:prod, führen Sie den folgenden Befehl aus:

gcloud organizations add-iam-policy-binding my-project
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')

An eine Instanz angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen ansehen, die direkt mit dem Instanz.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die direkt an eine Ressource angehängt sind: Wenn Sie den Parameter --effective verwenden, erhalten Sie auch alle von diesem .

Führen Sie den folgenden Befehl aus, um alle an eine Instanz angehängten Tag-Bindungen aufzulisten:

gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
  • PROJECT_ID: ID des Projekts
  • INSTANCE_ID: Die ID der Instanz.
  • LOCATION: Der Standort Ihrer Instanz. Beispiel: us-east1

Tag-Bindung löschen

Wenn Sie einen Tag-Schlüssel oder eine Tag-Wertdefinition entfernen, achten Sie darauf, dass das Tag vom Instanz. Löschen Sie vorhandene Tag-Bindungen, bevor Sie das Tag löschen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Spanner-Instanzen. Seite.

    Spanner-Instanzen aufrufen

  2. Wählen Sie die Instanz aus, für die Sie eine Tag-Bindung löschen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich „Tags“ neben dem Tag, das Sie entfernen möchten, auf Element löschen.

  5. Klicken Sie auf Speichern.

  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

    Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Führen Sie den folgenden Befehl aus, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/KEY_VALUE
--location=LOCATION
  • PROJECT_ID: ID des Projekts
  • INSTANCE_ID: Die ID der Instanz.
  • ORG_ID: Die ID der Organisation.
  • KEY_NAME: Der Anzeigename Ihres Tags . Beispiel: env.
  • VALUE_NAME: Der Anzeigename Ihres Tags Wert. Beispiel: prod.
  • LOCATION: Der Standort Ihrer Instanz. Beispiel: us-east1

Löschen eines Tags

Nachdem Sie die Tag-Bindung gelöscht haben, können Sie das Tag löschen. Tag löschen Schlüssel und Tag-Werte finden Sie unter Tags löschen.

Nächste Schritte