このドキュメントでは、タグを使用して Identity and Access Management(IAM)ポリシーを Cloud Workstations クラスタに条件付きで適用する方法について説明します。
タグは、Cloud Workstations クラスタに直接適用できる Key-Value ペアです。Cloud Workstations クラスタは、他のGoogle Cloud リソースからタグを継承することもできます。リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーを適用できます。たとえば、environment:dev タグの付いた任意の Cloud Workstations クラスタのプリンシパルに、Cloud Workstations 作成者のロールを条件付きで付与できます。
Google Cloudのリソース階層全体でタグを使用する方法については、タグの概要をご覧ください。
始める前に
このドキュメントの各タスクを実行するために必要な権限をユーザーに付与する IAM ロールを付与する必要があります。また、リソースに適用するタグキーとタグ値を作成する必要があります。
必要なロール
次のロールには、Cloud Workstations リソースにタグを付けるために必要な権限が付与されています。
Cloud Workstations クラスタにタグを適用する
Cloud Workstations クラスタにタグを付加するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。
-
Cloud Workstations クラスタを作成する: プロジェクトに対する Cloud Workstations 管理者 (
roles/workstations.admin) -
タグを作成するには:
プロジェクトに対するタグ管理者 (
roles/resourcemanager.tagAdmin) -
タグを管理するには:
タグの値と Cloud Workstations クラスタに対するタグユーザー (
roles/resourcemanager.tagUser)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、Cloud Workstations クラスタにタグをアタッチするために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Cloud Workstations クラスタにタグを付加するには、次の権限が必要です。
-
クラスタに対する
workstations.workstationClusters.createTagBinding -
タグ値に対する
resourcemanager.tagValueBindings.create -
クラスタの作成時にタグを付けるためのクラスタに対する
workstations.workstationClusters.create -
クラスタの更新時にタグを付けるクラスタに対する
workstations.workstationClusters.update
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Cloud Workstations クラスタからタグを削除する
Cloud Workstations クラスタからタグを削除するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。
-
Cloud Workstations クラスタからタグを削除するには:
プロジェクトに対する Cloud Workstations 管理者 (
roles/workstations.admin) -
タグを管理するには:
タグ値と Cloud Workstations クラスタに対するタグユーザー (
roles/resourcemanager.tagUser) -
タグを削除するには:
プロジェクトに対するタグ管理者 (
roles/resourcemanager.tagAdmin)
これらの事前定義ロールには、Cloud Workstations クラスタからタグを削除するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Cloud Workstations クラスタからタグを削除するには、次の権限が必要です。
-
クラスタに対する
workstations.workstationClusters.deleteTagBinding -
タグ値に対する
resourcemanager.tagValueBindings.delete -
クラスタの更新時にタグを削除するクラスタに対する
workstations.workstationClusters.update
Cloud Workstations クラスタに適用されているタグを一覧表示する
Cloud Workstations クラスタに付加されたタグを一覧表示するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。
-
Cloud Workstations クラスタに適用されているタグを一覧表示する: プロジェクトに対する Cloud Workstations 管理者 (
roles/workstations.admin) -
タグを一覧表示するには:
タグ値と Cloud Workstations クラスタのタグ閲覧者 (
roles/resourcemanager.tagViewer)
これらの事前定義ロールには、Cloud Workstations クラスタにアタッチされたタグを一覧表示するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Cloud Workstations クラスタに付加されたタグを一覧表示するには、次の権限が必要です。
-
タグキーの親に対する
resourcemanager.tagKeys.list -
タグキーに対する
resourcemanager.tagKeys.get -
タグ値の親に対する
resourcemanager.tagValues.list -
タグ値に対する
resourcemanager.tagValues.get -
クラスタに対する
workstations.workstationClusters.listTagBindings -
クラスタに対する
workstations.workstationClusters.listEffectiveTags
タグキーとタグ値を作成する
タグを適用する前に、タグを作成してその値を構成する必要があります。タグキーとタグ値を作成するには、タグの作成とタグ値の追加をご覧ください。
Cloud Workstations クラスタにタグを付ける
以降のセクションでは、新しい Cloud Workstations クラスタと既存の Cloud Workstations クラスタにタグを適用する方法、Cloud Workstations クラスタに適用されているタグを一覧取得する方法、Cloud Workstations クラスタからタグを削除する方法について説明します。
新しい Cloud Workstations クラスタの作成時にタグをアタッチする
タグを作成したら、新しい Cloud Workstations クラスタに適用できます。タグキーごとに、1 つのタグ値を Cloud Workstations クラスタに付加できます。各 Cloud Workstations クラスタに適用できるタグは最大 50 個です。
コンソール
Google Cloud コンソールで、[Cloud Workstations] ページに移動します。
[クラスタ管理] セクションをクリックします。
[作成] をクリックします。
新しい Cloud Workstations クラスタの情報を入力します。詳細については、ワークステーション クラスタを作成するをご覧ください。
[タグ] セクションで、新しい Cloud Workstations クラスタに追加するタグを選択します。
[作成] をクリックします。
gcloud
--tags フラグを指定して gcloud workstations clusters create コマンドを使用します。
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
次のように置き換えます。
WORKSTATIONS_CLUSTER_NAME: Cloud Workstations クラスタの名前。LOCATION: クラスタのリージョン。TAG: 新しい Cloud Workstations クラスタに付加するタグ。複数のタグを指定する場合はカンマで区切ります。例:556741164180/env:prod,myProject/department:sales。各タグには、名前空間付きのキー名と値の略称が必要です。WORKSTATIONS_PROJECT_ID: ワークステーション プロジェクトの ID。
API
workstationClusters.create メソッドを呼び出します。
タグを WorkstationCluster の tags フィールドに含めます。
既存の Cloud Workstations クラスタにタグをアタッチする
タグを作成したら、既存の Cloud Workstations クラスタに適用できます。タグキーごとに、1 つのタグ値を Cloud Workstations クラスタに付加できます。各 Cloud Workstations クラスタに適用できるタグは最大 50 個です。
コンソール
Google Cloud コンソールで、[Cloud Workstations] ページに移動します。
[クラスタ管理] セクションをクリックします。
タグを適用する Cloud Workstations クラスタをクリックします。
[編集] をクリックします。
[タグ] セクションで、Cloud Workstations クラスタに追加するタグを選択します。
[保存] をクリックします。
gcloud
コマンドラインを使用して Cloud Workstations クラスタにタグを適用するには、gcloud resource-manager tags bindings create コマンドを使用してタグ バインディング リソースを作成します。
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
次のように置き換えます。
TAGVALUE_NAME: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/4567890123や1234567/my_tag_key/my_tag_valueなど)。RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//workstations.googleapis.com/)を含む、Cloud Workstations クラスタの完全な ID。例://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster。LOCATION: Cloud Workstations クラスタのリージョン。
API
workstationClusters.patch メソッドを呼び出します。
タグを WorkstationCluster の tags フィールドに含めます。
Cloud Workstations クラスタに適用されているタグを一覧表示する
Cloud Workstations クラスタに直接適用されているタグを一覧表示できます。このプロセスでは、親リソースから継承されたタグは一覧取得されません。
コンソール
Google Cloud コンソールで、[Cloud Workstations] ページに移動します。
[クラスタ管理] セクションをクリックします。
タグを一覧表示する Cloud Workstations クラスタをクリックします。
タグは [タグ] セクションに表示されます。
gcloud
リソースに適用されたタグ バインディングのリストを取得するには、次のように gcloud resource-manager tags bindings list コマンドを使用します。
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
次のように置き換えます。
RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//workstations.googleapis.com/)を含む、Cloud Workstations クラスタの完全な ID。例://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: Cloud Workstations クラスタのリージョン。
API
v3.tagBindings.list メソッドを呼び出します。
親フィールドに Cloud Workstations クラスタを含めます。例: //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster。
Cloud Workstations クラスタからタグを削除する
Cloud Workstations クラスタからタグの関連付けを削除するには、タグ バインディングを削除します。タグを削除する必要がある場合は、次の手順でまず Cloud Workstations クラスタからタグの適用を解除します。
コンソール
Google Cloud コンソールで、[Cloud Workstations] ページに移動します。
[クラスタ管理] セクションをクリックします。
タグを切り離す Cloud Workstations クラスタをクリックします。
[編集] をクリックします。
[タグ] セクションで、Cloud Workstations クラスタから切断するタグを削除します。
[保存] をクリックします。
gcloud
コマンドラインを使用して Cloud Workstations クラスタからタグの関連付けを削除するには、gcloud resource-manager tags bindings delete コマンドを使用してタグ バインディングを削除します。
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
次のように置き換えます。
TAGVALUE_NAME: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/4567890123や1234567/my_tag_key/my_tag_valueなど)。RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//workstations.googleapis.com/)を含む、Cloud Workstations クラスタの完全な ID。例://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster。LOCATION: Cloud Workstations クラスタのリージョン。
API
workstationClusters.patch メソッドを呼び出します。
WorkstationCluster の tags フィールドのタグを削除します。
次のステップ
- Google Cloudのタグの概要については、タグの概要をご覧ください。
- タグの使用方法について詳しくは、タグの作成と管理をご覧ください。
- IAM Conditions を使用して Cloud Workstations リソースへのアクセスを制御する方法については、IAM Conditions によるアクセス制御をご覧ください。