Controla el acceso y organiza instancias con etiquetas

En esta página, se describe cómo puedes usar Google Cloud etiquetas para administrar el acceso a tus instancias de Spanner.

Una etiquetaGoogle Cloud es un par clave-valor que puedes adjuntar a tus recursos Google Cloud , como proyectos o instancias de Spanner. Puedes usar etiquetas para agrupar y organizar tus instancias, y para configurar de forma condicional políticas de acceso de Identity and Access Management (IAM) en función de si una instancia tiene una etiqueta específica. Puedes crear y administrar etiquetas de instancias de Spanner con Google Cloud CLI o la consola de Google Cloud. Después de crear tus etiquetas, puedes crear una vinculación de etiquetas para adjuntarlas a tus Google Cloud recursos. Los elementos secundarios del recurso heredan las vinculaciones de etiquetas según la jerarquía de recursosGoogle Cloud . Por ejemplo, si adjuntas una etiqueta a tu proyecto, todas las instancias de ese proyecto héritan la etiqueta. También puedes usar etiquetas para organizar tus Google Cloud recursos, pero no puedes usarlas para establecer condiciones en las políticas de IAM.

Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.

Casos de uso comunes de las etiquetas de instancias de Spanner

Estos son algunos casos de uso comunes de las etiquetas:

  • Etiquetas de Identity and Access Management (IAM): Otorga roles de Identity and Access Management (IAM) en función de si una instancia tiene una etiqueta específica. La presencia o ausencia de un valor de etiqueta es la condición para esa política de IAM y ayuda a controlar el acceso a tu instancia de Spanner.
  • Etiquetas de estado: Crea etiquetas para indicar y administrar el estado de una instancia. Por ejemplo, usa las etiquetas state:active, state:todelete y state:archive.
  • Etiquetas de entorno: Especifica los entornos de producción, prueba y desarrollo para las instancias creando pares clave-valor, como env:prod, env:dev y env:test.

Cómo crear y administrar etiquetas de instancias de Spanner

La estructura de las etiquetas es un par clave-valor. Creas una clave de etiqueta en tu recurso de organización y, luego, adjuntas valores de etiqueta a la clave de etiqueta (por ejemplo, una clave de etiqueta environment con los valores prod y dev). Luego, puedes crear una vinculación de etiquetas que vincule el valor de la etiqueta a un Google Cloud recurso, como un proyecto o una instancia de Spanner. Ten en cuenta que no puedes asignar una etiqueta a una base de datos.

Permisos necesarios

Los permisos que necesitas dependen de la acción que debes realizar. Para obtener más información, consulta Permisos necesarios en la documentación de Resource Manager.

Crea claves y valores de etiqueta

Antes de poder adjuntar una etiqueta a tu instancia, debes crearla y asignarle su valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor a una etiqueta.

Adjunta una etiqueta a una instancia

Después de crear tus pares clave-valor de etiquetas, puedes crear una vinculación de etiquetas y adjuntarla a tu instancia de Spanner.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Spanner.

    Ir a Instancias de Spanner

  2. Selecciona la instancia a la que deseas adjuntar una etiqueta.

  3. Haz clic en Etiquetas.

  4. Si tu organización no aparece en el panel Etiquetas, haz clic en Seleccionar alcance. Selecciona tu organización y haz clic en Abrir.

  5. En el panel Etiquetas, selecciona Agregar etiqueta.

  6. En el campo Clave, selecciona la clave de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.

  7. En el campo Valor, selecciona el valor de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.

  8. Si deseas adjuntar más etiquetas, haz clic en Agregar etiqueta y selecciona la clave y el valor de cada una.

  9. Haz clic en Guardar.

  10. En el cuadro de diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.

    Aparecerá una notificación para confirmar que se actualizaron tus etiquetas.

gcloud

Para crear una vinculación de etiqueta y adjuntarla a tu instancia, ejecuta el siguiente comando:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/VALUE_NAME
--location=LOCATION
  • PROJECT_ID: El ID del proyecto.
  • INSTANCE_ID: El ID de la instancia.
  • ORG_ID: Es el ID de la organización.
  • KEY_NAME: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo, env
  • VALUE_NAME: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo, prod
  • LOCATION: Es la ubicación de tu instancia. Por ejemplo, us-east1.

Por ejemplo, para crear una vinculación de etiqueta en tu instancia de Spanner my-instance con el par clave-valor de la etiqueta env:prod, ejecuta el siguiente comando:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1

Condiciones y etiquetas de IAM

Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios. Si se aplica una política de IAM con vinculaciones de roles condicionales, cambiar o borrar la etiqueta adjunta a un recurso podría quitar el acceso del usuario a ese recurso.

Para obtener más información, consulta Descripción general de las Condiciones de IAM.

Console

Para usar etiquetas y otorgar vinculaciones de roles de forma condicional a los usuarios, consulta Administra el acceso a las etiquetas.

gcloud

Para aplicar una condición basada en etiquetas a una política de IAM, asegúrate de tener los permisos necesarios y, luego, ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
  • ORG_ID: Es el ID de la organización.
  • ROLE: Es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como roles/logging.viewer, o el ID de un rol personalizado, como organizations/{ORG_ID}/roles/logging.viewer.
  • PRINCIPAL: Es la principal a la que deseas agregar la vinculación de roles. Debe tener el formato user|group|serviceAccount:email o domain:domain. Por ejemplo, user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com o domain:example.domain.com.
  • PROJECT_ID: El ID del proyecto.
  • KEY_NAME: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo, env
  • VALUE_NAME: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo, prod

Este comando agrega una vinculación de política de IAM a la política de IAM de una organización. Una vinculación de políticas consta de un miembro, un rol y una condición opcional.

Por ejemplo, para otorgar condicionalmente a user1@example.com el rol spanner.backupAdmin en todos los recursos del proyecto 123456789012 con la etiqueta env:prod, ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding my-project
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')

Enumera las etiquetas adjuntas a una instancia

Puedes ver una lista de vinculaciones de etiquetas adjuntas o heredadas por la instancia.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list: Si agregas la marca --effective, también obtendrás todas las vinculaciones de etiquetas que hereda este recurso.

Para enumerar todas las vinculaciones de etiquetas adjuntas a una instancia, ejecuta el siguiente comando:

gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
  • PROJECT_ID: El ID del proyecto.
  • INSTANCE_ID: El ID de la instancia.
  • LOCATION: Es la ubicación de tu instancia. Por ejemplo, us-east1

Borra una vinculación de etiqueta

Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté desconectada de la instancia. Debes borrar las vinculaciones de etiquetas existentes antes de borrar la etiqueta.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Spanner.

    Ir a Instancias de Spanner

  2. Selecciona la instancia para la que deseas borrar una vinculación de etiqueta.

  3. Haz clic en Etiquetas.

  4. En el panel Etiquetas, junto a la etiqueta que deseas desconectar, haz clic en Borrar elemento.

  5. Haz clic en Guardar.

  6. En el cuadro de diálogo Confirmar, haz clic en Confirmar para desconectar la etiqueta.

    Aparecerá una notificación para confirmar que se actualizaron tus etiquetas.

gcloud

Para borrar una vinculación de etiqueta, ejecuta el siguiente comando:

gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/KEY_VALUE
--location=LOCATION
  • PROJECT_ID: El ID del proyecto.
  • INSTANCE_ID: El ID de la instancia.
  • ORG_ID: Es el ID de la organización.
  • KEY_NAME: Es el nombre visible (corto) de la clave de etiqueta. Por ejemplo, env
  • VALUE_NAME: Es el nombre visible (corto) del valor de la etiqueta. Por ejemplo, prod
  • LOCATION: Es la ubicación de tu instancia. Por ejemplo, us-east1.

Borra una etiqueta

Después de borrar la vinculación de la etiqueta, puedes borrar la etiqueta. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.

¿Qué sigue?