In diesem Dokument wird beschrieben, wie Sie Tags verwenden, um IAM-Richtlinien (Identity and Access Management) auf Cloud Workstations-Cluster bedingt anzuwenden.
Ein Tag ist ein Schlüssel/Wert-Paar, das Sie direkt an einen Cloud Workstations-Cluster anhängen können. Ein Cloud Workstations-Cluster kann auch ein Tag von anderenGoogle Cloud -Ressourcen übernehmen. Sie können Richtlinien bedingt anwenden, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie einem Hauptkonto mit dem Tag environment:dev bedingt die Rolle „Cloud Workstations Creator“ für jeden Cloud Workstations-Cluster zuweisen.
Weitere Informationen zur Verwendung von Tags in der gesamten Google Cloud-Ressourcenhierarchie finden Sie unter Tags – Übersicht.
Hinweise
Sie müssen IAM-Rollen zuweisen, die Nutzern die erforderlichen Berechtigungen zum Ausführen der einzelnen Aufgaben in diesem Dokument gewähren. Sie müssen auch Tag-Schlüssel und -Werte erstellen, die Sie an Ressourcen anhängen können.
Erforderliche Rollen
Die folgenden Rollen bieten die erforderlichen Berechtigungen zum Taggen von Cloud Workstations-Ressourcen:
Tag an einen Cloud Workstations-Cluster anhängen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anhängen eines Tags an einen Cloud Workstations-Cluster benötigen:
-
So erstellen Sie einen Cloud Workstations-Cluster:
Cloud Workstations-Administrator (
roles/workstations.admin) für Ihr Projekt -
Zum Erstellen von Tags:
Tag-Administrator (
roles/resourcemanager.tagAdmin) für Ihr Projekt -
So verwalten Sie Tags:
Tag-Nutzer (
roles/resourcemanager.tagUser) für den Tag-Wert und den Cloud Workstations-Cluster
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Anhängen eines Tags an einen Cloud Workstations-Cluster erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um einem Cloud Workstations-Cluster ein Tag zuzuweisen:
-
workstations.workstationClusters.createTagBindingfür den Cluster -
resourcemanager.tagValueBindings.createfür den Tag-Wert -
workstations.workstationClusters.createim Cluster, um beim Erstellen eines Clusters ein Tag anzuhängen -
workstations.workstationClusters.updateim Cluster, um beim Aktualisieren eines Clusters ein Tag anzuhängen
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Tag aus einem Cloud Workstations-Cluster entfernen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Entfernen eines Tags aus einem Cloud Workstations-Cluster benötigen:
-
So entfernen Sie ein Tag aus einem Cloud Workstations-Cluster:
Cloud Workstations-Administrator (
roles/workstations.admin) für Ihr Projekt -
So verwalten Sie Tags:
Tag-Nutzer (
roles/resourcemanager.tagUser) für den Tag-Wert und den Cloud Workstations-Cluster -
So löschen Sie Tags:
Tag-Administrator (
roles/resourcemanager.tagAdmin) für Ihr Projekt
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Entfernen eines Tags aus einem Cloud Workstations-Cluster erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um ein Tag aus einem Cloud Workstations-Cluster zu entfernen:
-
workstations.workstationClusters.deleteTagBindingfür den Cluster -
resourcemanager.tagValueBindings.deletefür den Tag-Wert -
workstations.workstationClusters.updateim Cluster, um ein Tag beim Aktualisieren eines Clusters zu entfernen
An einen Cloud Workstations-Cluster angehängte Tags auflisten
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Auflisten von Tags benötigen, die an einen Cloud Workstations-Cluster angehängt sind:
-
So listen Sie die Tags auf, die an ein Cloud Workstations-Cluster angehängt sind:
Cloud Workstations-Administrator (
roles/workstations.admin) für Ihr Projekt -
So listen Sie Tags auf:
Tag Viewer (
roles/resourcemanager.tagViewer) auf den Tag-Wert und den Cloud Workstations-Cluster
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Auflisten von Tags erforderlich sind, die an einen Cloud Workstations-Cluster angehängt sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Tags aufzulisten, die an einen Cloud Workstations-Cluster angehängt sind:
-
resourcemanager.tagKeys.listfür das übergeordnete Element des Tag-Schlüssels -
resourcemanager.tagKeys.getfür den Tag-Schlüssel -
resourcemanager.tagValues.listfür das übergeordnete Element des Tag-Werts -
resourcemanager.tagValues.getfür den Tag-Wert -
workstations.workstationClusters.listTagBindingsfür den Cluster -
workstations.workstationClusters.listEffectiveTagsfür den Cluster
Tag-Schlüssel und -Werte erstellen
Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.
Cloud Workstations-Cluster taggen
In den folgenden Abschnitten wird beschrieben, wie Sie Tags an neue und vorhandene Cloud Workstations-Cluster anhängen, Tags auflisten, die an einen Cloud Workstations-Cluster angehängt sind, und Tags von einem Cloud Workstations-Cluster trennen.
Tags beim Erstellen eines neuen Cloud Workstations-Clusters anhängen
Nachdem Sie ein Tag erstellt haben, können Sie es an einen neuen Cloud Workstations-Cluster anhängen. Für jeden Tag-Schlüssel können Sie einen Tag-Wert an einen Cloud Workstations-Cluster anhängen. Sie können maximal 50 Tags an jeden Cloud Workstations-Cluster anhängen.
Console
Rufen Sie in der Google Cloud -Console die Seite Cloud Workstations auf.
Klicken Sie auf den Bereich Clusterverwaltung.
Klicken Sie auf Erstellen.
Geben Sie die Informationen für Ihren neuen Cloud Workstations-Cluster ein. Weitere Informationen finden Sie unter Workstation-Cluster erstellen.
Wählen Sie im Bereich Tags die Tags aus, die Sie dem neuen Cloud Workstations-Cluster hinzufügen möchten.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud workstations clusters create mit dem Flag --tags aus:
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Ersetzen Sie Folgendes:
WORKSTATIONS_CLUSTER_NAME: Der Name Ihres Cloud Workstations-Clusters.LOCATION: Die Region für Ihren Cluster.TAG: Das Tag, das Sie dem neuen Cloud Workstations-Cluster zuweisen. Mehrere Tags werden durch Kommas getrennt. Beispiel:556741164180/env:prod,myProject/department:salesJedes Tag muss den Parameter Kurzname des Namespace-Schlüssels und des Namespace haben.WORKSTATIONS_PROJECT_ID: Die ID Ihres Workstation-Projekts.
API
Rufen Sie die Methode workstationClusters.create auf.
Fügen Sie die Tags in das Feld tags von WorkstationCluster ein.
Tags an einen vorhandenen Cloud Workstations-Cluster anhängen
Nachdem Sie ein Tag erstellt haben, können Sie es an einen vorhandenen Cloud Workstations-Cluster anhängen. Für jeden Tag-Schlüssel können Sie einen Tag-Wert an einen Cloud Workstations-Cluster anhängen. Sie können maximal 50 Tags an jeden Cloud Workstations-Cluster anhängen.
Console
Rufen Sie in der Google Cloud -Console die Seite Cloud Workstations auf.
Klicken Sie auf den Bereich Clusterverwaltung.
Klicken Sie auf den Cloud Workstations-Cluster, dem Sie das Tag zuweisen möchten.
Klicken Sie auf Bearbeiten.
Wählen Sie im Bereich Tags die Tags aus, die Sie dem Cloud Workstations-Cluster hinzufügen möchten.
Klicken Sie auf Speichern.
gcloud
Wenn Sie ein Tag über die Befehlszeile an einen Cloud Workstations-Cluster anhängen möchten, erstellen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll, z. B.tagValues/4567890123oder1234567/my_tag_key/my_tag_valueRESOURCE_ID: die vollständige ID des Cloud Workstations-Clusters, einschließlich des API-Domainnamens (//workstations.googleapis.com/), um den Ressourcentyp zu identifizieren. Beispiel://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: Die Region des Cloud Workstations-Clusters.
API
Rufen Sie die Methode workstationClusters.patch auf.
Fügen Sie die Tags in das Feld tags von WorkstationCluster ein.
An einen Cloud Workstations-Cluster angehängte Tags auflisten
Sie können die Tags auflisten, die direkt an einen Cloud Workstations-Cluster angehängt sind. Bei diesem Vorgang werden die Tags, die von übergeordneten Ressourcen übernommen werden, nicht aufgelistet.
Console
Rufen Sie in der Google Cloud -Console die Seite Cloud Workstations auf.
Klicken Sie auf den Bereich Clusterverwaltung.
Klicken Sie auf den Cloud Workstations-Cluster, für den Sie die Tags auflisten möchten.
Die Tags werden im Bereich Tags angezeigt.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
RESOURCE_ID: die vollständige ID des Cloud Workstations-Clusters, einschließlich des API-Domainnamens (//workstations.googleapis.com/), um den Ressourcentyp zu identifizieren. Beispiel://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: Die Region des Cloud Workstations-Clusters.
API
Rufen Sie die Methode v3.tagBindings.list auf.
Nehmen Sie den Cloud Workstations-Cluster in das übergeordnete Feld auf. Beispiel: //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Tags von einem Cloud Workstations-Cluster trennen
Sie können eine Tag-Zuordnung aus einem Cloud Workstations-Cluster entfernen, indem Sie die Tag-Bindung löschen. Wenn Sie ein Tag löschen müssen, sollten Sie es zuerst von Ihrem Cloud Workstations-Cluster trennen. Gehen Sie dazu so vor:
Console
Rufen Sie in der Google Cloud -Console die Seite Cloud Workstations auf.
Klicken Sie auf den Bereich Clusterverwaltung.
Klicken Sie auf den Cloud Workstations-Cluster, von dem Sie das Tag trennen möchten.
Klicken Sie auf Bearbeiten.
Entfernen Sie im Abschnitt Tags die Tags, die Sie vom Cloud Workstations-Cluster trennen möchten.
Klicken Sie auf Speichern.
gcloud
Wenn Sie eine Tag-Zuordnung aus einem Cloud Workstations-Cluster über die Befehlszeile entfernen möchten, löschen Sie die Tag-Bindung mit dem Befehl gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll, z. B.tagValues/4567890123oder1234567/my_tag_key/my_tag_valueRESOURCE_ID: die vollständige ID des Cloud Workstations-Clusters, einschließlich des API-Domainnamens (//workstations.googleapis.com/), um den Ressourcentyp zu identifizieren. Beispiel://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: Die Region des Cloud Workstations-Clusters.
API
Rufen Sie die Methode workstationClusters.patch auf.
Entfernen Sie die Tags im Feld tags von WorkstationCluster.
Nächste Schritte
- Eine Übersicht über Tags in Google Cloudfinden Sie unter Tags.
- Weitere Informationen zur Verwendung von Tags finden Sie unter Tags erstellen und verwalten.
- Informationen zum Steuern des Zugriffs auf Cloud Workstations-Ressourcen mit IAM Conditions finden Sie unter Zugriffssteuerung mit IAM Conditions.