En esta página, se describe cómo puedes usar las etiquetas de Google Cloud para administrar el acceso a las instancias de Spanner.
Una etiqueta de Google Cloud es un par clave-valor que puedes adjuntar a tus recursos de Google Cloud, como proyectos o instancias de Spanner. Puedes usar etiquetas para agrupar y organizar tus instancias y establecer políticas de acceso de la administración de identidades y accesos (IAM) de forma condicional en función de si una instancia tiene una etiqueta específica. Puedes crear y administrar etiquetas de instancias de Spanner con Google Cloud CLI o la consola de Google Cloud. Después de crear las etiquetas, puedes crear una vinculación de etiquetas para adjuntarlas a tus recursos de Google Cloud. Los elementos secundarios del recurso heredan las vinculaciones de etiquetas según la jerarquía de recursos de Google Cloud. Por ejemplo, si adjuntas una etiqueta a tu proyecto, todas las instancias de ese proyecto la heredarán. También puedes usar etiquetas para organizar tus recursos de Google Cloud, pero no puedes usar etiquetas a fin de establecer condiciones en las políticas de IAM.
Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.
Casos de uso comunes para etiquetas de instancias de Spanner
Estos son algunos casos de uso comunes de las etiquetas:
- Etiquetas de Identity and Access Management (IAM): Otorga funciones de Identity and Access Management (IAM) en función de si una instancia tiene una etiqueta específica. La presencia o ausencia de un valor de etiqueta es la condición de esa política de IAM y ayuda a controlar el acceso a tu instancia de Spanner.
- Etiquetas de estado: Indica y administra el estado de una instancia mediante la creación de etiquetas.
Por ejemplo,
state:active
,state:todelete
ystate:archive
. - Etiquetas de entorno: Especifica entornos de producción, prueba y desarrollo para instancias mediante la creación de pares clave-valor, como
env:prod
,env:dev
yenv:test
.
Cómo crear y administrar etiquetas de instancias de Spanner
Las etiquetas se estructuran como pares clave-valor. Crea una clave de etiqueta en el recurso de tu organización y, luego, adjunta valores de etiqueta a la clave de etiqueta (por ejemplo, una clave de etiqueta environment
con los valores prod
y dev
). Luego, puedes crear una vinculación de etiqueta que vincule el valor de etiqueta a un recurso de Google Cloud, como un proyecto o una instancia de Spanner. Ten en cuenta que no puedes asignar una etiqueta a una base de datos.
Permisos necesarios
Los permisos que necesitas dependen de la acción que debes realizar. Para obtener más información, consulta Permisos necesarios en la documentación de Resource Manager.
Crea claves y valores de etiqueta
Antes de que puedas adjuntar una etiqueta a tu instancia, debes crear la etiqueta y asignar su valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor de etiqueta.
Adjunta una etiqueta a una instancia
Después de crear los pares clave-valor de etiquetas, puedes crear una vinculación de etiqueta y adjuntarla a tu instancia de Spanner.
Console
En la consola de Google Cloud, ve a la página Instancias de Spanner.
Selecciona la instancia a la que deseas adjuntar una etiqueta.
Haz clic en
Etiquetas.Si tu organización no aparece en el panel Etiquetas, haz clic en Seleccionar alcance. Selecciona tu organización y haz clic en Abrir.
En el panel Etiquetas, selecciona Agregar etiqueta.
En el campo Clave, selecciona la clave de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
En el campo Valor, selecciona el valor de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
Si deseas adjuntar más etiquetas, haz clic en
Agregar etiqueta y selecciona la clave y el valor de cada una.Haz clic en Guardar.
En el diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.
Una notificación confirmará que se actualizaron tus etiquetas.
gcloud
Para crear una vinculación de etiqueta y adjuntarla a tu instancia, ejecuta el siguiente comando:
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/VALUE_NAME
--location=LOCATION
PROJECT_ID
: El ID del proyecto.INSTANCE_ID
: El ID de la instanciaORG_ID
: Es el ID de la organización.KEY_NAME
: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo,env
VALUE_NAME
: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo,prod
LOCATION
: La ubicación de la instancia Por ejemplo,us-east1
.
Por ejemplo, para crear una vinculación de etiqueta en tu instancia my-instance
de Spanner con el par clave-valor de etiqueta env:prod
, ejecuta el siguiente comando:
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1
Condiciones y etiquetas de IAM
Puedes usar etiquetas y condiciones de IAM para otorgar condicionalmente vinculaciones de funciones a los usuarios. Si se aplica una política de IAM con vinculaciones de funciones condicionales, cambiar o borrar la etiqueta adjunta a un recurso puede quitar el acceso del usuario a ese recurso.
Para obtener más información, consulta Descripción general de las condiciones de IAM.
Console
Si deseas usar etiquetas para otorgar a los usuarios vinculaciones de funciones de forma condicional, consulta Administra el acceso a las etiquetas.
gcloud
Para aplicar una condición basada en etiquetas a una política de IAM, asegúrate de tener los permisos necesarios y, luego, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
ORG_ID
: Es el ID de la organización.ROLE
: Es el nombre del rol que se asignará a la principal. El nombre de la función es la ruta completa de una función predefinida, comoroles/logging.viewer
, o el ID de función para una función personalizada, comoorganizations/{ORG_ID}/roles/logging.viewer
.PRINCIPAL
: La principal a la que deseas agregar la vinculación de función Debe tener el formatouser|group|serviceAccount:email
odomain:domain
. Por ejemplo,user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
odomain:example.domain.com
.PROJECT_ID
: El ID del proyecto.KEY_NAME
: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo,env
VALUE_NAME
: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo,prod
Este comando agrega una vinculación de política de IAM a la política de IAM de una organización. Una vinculación de política consta de un miembro, un rol y una condición opcional.
Por ejemplo, para otorgar condicionalmente a user1@example.com
la función spanner.backupAdmin
en todos los recursos del proyecto 123456789012
con la etiqueta env:prod
, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding my-project
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')
Enumerar las etiquetas adjuntas a una instancia
Puedes ver una lista de vinculaciones de etiquetas que la instancia hereda o adjunta directamente.
gcloud
Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando
gcloud resource-manager tags bindings list
: Si agregas la marca --effective
, también obtendrás todas las vinculaciones de etiquetas heredadas por este recurso.
Para enumerar todas las vinculaciones de etiquetas adjuntas a una instancia, ejecuta el siguiente comando:
gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
PROJECT_ID
: El ID del proyecto.INSTANCE_ID
: El ID de la instanciaLOCATION
: La ubicación de la instancia Por ejemplo,us-east1
Borrar una vinculación de etiqueta
Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté separada de la instancia. Debes borrar las vinculaciones de etiquetas existentes antes de borrar la etiqueta.
Console
En la consola de Google Cloud, ve a la página Instancias de Spanner.
Selecciona la instancia para la que deseas borrar una vinculación de etiqueta.
Haz clic en
Etiquetas.En el panel Etiquetas, junto a la etiqueta que deseas desvincular, haz clic en
Borrar elemento.Haz clic en Guardar.
En el diálogo Confirmar, haz clic en Confirmar para desconectar la etiqueta.
Una notificación confirmará que se actualizaron tus etiquetas.
gcloud
Para borrar una vinculación de etiqueta, ejecuta el siguiente comando:
gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/KEY_VALUE
--location=LOCATION
PROJECT_ID
: El ID del proyecto.INSTANCE_ID
: El ID de la instanciaORG_ID
: Es el ID de la organización.KEY_NAME
: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo,env
VALUE_NAME
: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo,prod
LOCATION
: La ubicación de la instancia Por ejemplo,us-east1
.
Borra una etiqueta
Después de borrar la vinculación de etiqueta, puedes borrar tu etiqueta. Para borrar las claves y los valores de las etiquetas, consulta Cómo borrar etiquetas.
¿Qué sigue?
Obtén más información sobre las etiquetas de Google Cloud.
Obtén más información sobre cómo crear y administrar etiquetas en las instancias de Spanner con Resource Manager.
Obtén más información sobre las etiquetas, otra forma de organizar tus recursos de Google Cloud.
Obtén más información para crear políticas de permisos de IAM con condiciones.