Google Cloud タグによるアクセス制御

このページでは、 Google Cloud のタグと、Cloud SQL での使用方法について説明します。gcloud を使用して Cloud SQL インスタンスにタグを追加するには、Cloud SQL インスタンスにタグを適用して管理するをご覧ください。 Google Cloud コンソールを使用して Cloud SQL インスタンスにタグを追加する方法については、インスタンスのタグの作成と管理をご覧ください。

概要

Google Cloud タグは、Cloud SQL リソースを整理する方法です。

タグは、 Google Cloud全体のリソース階層の上位レベルで適用されます。Cloud SQL などのインスタンスはタグを継承します。これらは Resource Manager で管理されます。IAM ポリシー バインディングでタグへの参照を追加し、リソースへの条件付きアクセス権を付与できます。

タグは、インスタンスを整理またはフィルタリングするもう一つの方法であるラベルとは異なります。タグとラベルは互いに独立しているため、同じインスタンスにタグとラベルの両方を使用できます。Cloud SQL でのラベルの使用の詳細については、インスタンスにラベルを付けるをご覧ください。

タグとは

タグは Key-Value ペアで、リソースに対してきめ細かいアクセス制御を行うことができます。

タグキーには environment などのプロパティがあり、タグ値は developmentproduction などの属性です。特定のリソースの特定のキーに対して、1 つのタグで指定できる値は 1 つのみです。

タグは組織レベルで作成します。タグは、 Google Cloud全体で使用される Resource Manager を介して、プロジェクトや Cloud SQL インスタンスなどのリソースに適用されます。

条件付きタグ バインディングに基づいて権限を付与する

タグが Cloud SQL インスタンスに適用または継承されると、IAM Conditions でタグを使用して、条件付きで Cloud SQL リソースへのアクセス権を付与できます。IAM Conditions では、Cloud SQL インスタンスにきめ細かいアクセス制御を適用できます。IAM Conditions を使用するには、IAM ポリシー バインディングでタグを参照します。タグを使用して Cloud SQL インスタンスに条件付きのアクセス権を付与する方法については、IAM 条件の使用をご覧ください。

タグベースのバインディングをインスタンスに追加すると、Cloud SQL リソースへのアクセス権を条件付きで付与できます。この条件付きアクセス権に基づいて、アクティブなインスタンスのすべてのバックアップと、同じ名前を持つ削除されたインスタンスの最終バックアップを確認できます。ただし、タグ バインディングのあるインスタンスを削除すると、そのインスタンス名に関連するバックアップは表示されなくなります。これは、そのインスタンスを削除するとタグを特定できなくなるためです。

制限事項

タグには以下のような制限があります。

  • 組織のポリシーでは、プロジェクトまたはその上位から継承されたタグを条件付きで参照できますが、Cloud SQL インスタンスに直接適用されたタグは使用できません。
  • Cloud Audit Logs にはタグの作成と削除が表示されますが。Cloud SQL インスタンスでタグを付加するためのエントリや、タグ バインディングを表示するためのエントリは生成されません。

次のステップ