Este documento descreve como usar etiquetas para aplicar condicionalmente políticas de gestão de identidade e acesso (IAM) a clusters do Cloud Workstations.
Uma etiqueta é um par de chave-valor que pode anexar diretamente a um cluster do Cloud Workstations. Um cluster do Cloud Workstations também pode herdar uma etiqueta de outrosGoogle Cloud recursos. Pode aplicar condicionalmente políticas com base no facto de um recurso ter ou não uma etiqueta específica. Por exemplo, pode conceder condicionalmente a função de criador de estações de trabalho na nuvem a um principal em qualquer cluster de estações de trabalho na nuvem com a etiqueta environment:dev.
Para mais informações sobre a utilização de etiquetas na hierarquia de recursos, consulte o artigo Vista geral das etiquetas. Google Cloud
Antes de começar
Tem de conceder funções de IAM que dão aos utilizadores as autorizações necessárias para realizar cada tarefa neste documento. Também tem de criar chaves e valores de etiquetas para anexar aos recursos.
Funções necessárias
As seguintes funções fornecem as autorizações necessárias para etiquetar recursos do Cloud Workstations:
Anexe uma etiqueta a um cluster do Cloud Workstations
Para receber as autorizações de que precisa para anexar uma etiqueta a um cluster do Cloud Workstations, peça ao seu administrador que lhe conceda as seguintes funções da IAM:
-
Para criar um cluster de estações de trabalho na nuvem:
Administrador das estações de trabalho na nuvem (
roles/workstations.admin) no seu projeto -
Para criar etiquetas:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) no seu projeto -
Para gerir etiquetas:
Utilizador de etiquetas (
roles/resourcemanager.tagUser) no valor da etiqueta e no cluster de estações de trabalho na nuvem
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm as autorizações necessárias para anexar uma etiqueta a um cluster do Cloud Workstations. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para anexar uma etiqueta a um cluster do Cloud Workstations:
-
workstations.workstationClusters.createTagBindingno cluster -
resourcemanager.tagValueBindings.createno valor da etiqueta -
workstations.workstationClusters.createno cluster para anexar uma etiqueta ao criar um cluster -
workstations.workstationClusters.updateno cluster para anexar uma etiqueta ao atualizar um cluster
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Remova uma etiqueta de um cluster do Cloud Workstations
Para receber as autorizações de que precisa para remover uma etiqueta de um cluster do Cloud Workstations, peça ao seu administrador para lhe conceder as seguintes funções da IAM:
-
Para remover uma etiqueta de um cluster de estações de trabalho na nuvem:
Administrador das estações de trabalho na nuvem (
roles/workstations.admin) no seu projeto -
Para gerir etiquetas:
Etiquetar utilizador (
roles/resourcemanager.tagUser) no valor da etiqueta e no cluster do Cloud Workstations -
Para eliminar etiquetas:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) no seu projeto
Estas funções predefinidas contêm as autorizações necessárias para remover uma etiqueta de um cluster do Cloud Workstations. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para remover uma etiqueta de um cluster de estações de trabalho na nuvem:
-
workstations.workstationClusters.deleteTagBindingno cluster -
resourcemanager.tagValueBindings.deleteno valor da etiqueta -
workstations.workstationClusters.updateno cluster para remover uma etiqueta ao atualizar um cluster
Liste as etiquetas anexadas a um cluster de estações de trabalho na nuvem
Para receber as autorizações de que precisa para listar as etiquetas anexadas a um cluster do Cloud Workstations, peça ao seu administrador que lhe conceda as seguintes funções da IAM:
-
Para listar as etiquetas anexadas a um cluster do Cloud Workstations:
Administrador do Cloud Workstations (
roles/workstations.admin) no seu projeto -
Para listar etiquetas:
Visualizador de etiquetas (
roles/resourcemanager.tagViewer) no valor da etiqueta e no cluster do Cloud Workstations
Estas funções predefinidas contêm as autorizações necessárias para listar as etiquetas anexadas a um cluster do Cloud Workstations. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para listar as etiquetas anexadas a um cluster do Cloud Workstations:
-
resourcemanager.tagKeys.listno elemento principal da chave da etiqueta -
resourcemanager.tagKeys.getna chave da etiqueta -
resourcemanager.tagValues.listno elemento principal do valor da etiqueta -
resourcemanager.tagValues.getno valor da etiqueta -
workstations.workstationClusters.listTagBindingsno cluster -
workstations.workstationClusters.listEffectiveTagsno cluster
Crie chaves e valores de etiquetas
Antes de poder anexar uma etiqueta, tem de criar uma etiqueta e configurar o respetivo valor. Para criar chaves de etiquetas e valores de etiquetas, consulte os artigos Criar uma etiqueta e Adicionar valores de etiquetas.
Etiquete clusters de estações de trabalho na nuvem
As secções seguintes descrevem como anexar etiquetas a clusters de estações de trabalho na nuvem novos e existentes, listar etiquetas anexadas a um cluster de estações de trabalho na nuvem e desanexar etiquetas de um cluster de estações de trabalho na nuvem.
Anexe etiquetas quando criar um novo cluster de estações de trabalho na nuvem
Depois de criar uma etiqueta, pode anexá-la a um novo cluster do Cloud Workstations. Para cada chave de etiqueta, pode anexar um valor de etiqueta a um cluster do Cloud Workstations. Para cada cluster do Cloud Workstations, pode anexar, no máximo, 50 etiquetas.
Consola
Na Google Cloud consola, aceda à página Cloud Workstations.
Clique na secção Gestão de clusters.
Clique em Criar.
Introduza as informações do novo cluster de estações de trabalho na nuvem. Para mais detalhes, consulte o artigo Crie um cluster de estações de trabalho.
Na secção Etiquetas, selecione as etiquetas que quer adicionar ao novo cluster do Cloud Workstations.
Clique em Criar.
gcloud
Use o
gcloud workstations clusters create comando
com a flag --tags:
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Substitua o seguinte:
WORKSTATIONS_CLUSTER_NAME: o nome do cluster do Cloud Workstations.LOCATION: a região do seu cluster.TAG: a etiqueta que está a anexar ao novo cluster do Cloud Workstations. As várias etiquetas estão separadas por vírgulas. Por exemplo,556741164180/env:prod,myProject/department:sales. Cada etiqueta tem de ter o nome da chave com espaço de nomes e o nome abreviado do valor.WORKSTATIONS_PROJECT_ID: o ID do projeto da sua estação de trabalho.
API
Chame o método workstationClusters.create.
Inclua as etiquetas no campo tags de WorkstationCluster.
Anexe etiquetas a um cluster de estações de trabalho na nuvem existente
Depois de criar uma etiqueta, pode anexá-la a um cluster do Cloud Workstations existente. Para cada chave de etiqueta, pode anexar um valor de etiqueta a um cluster do Cloud Workstations. Para cada cluster do Cloud Workstations, pode anexar, no máximo, 50 etiquetas.
Consola
Na Google Cloud consola, aceda à página Cloud Workstations.
Clique na secção Gestão de clusters.
Clique no cluster do Cloud Workstations ao qual quer anexar a etiqueta.
Clique em Edit.
Na secção Etiquetas, selecione as etiquetas que quer adicionar ao cluster do Cloud Workstations.
Clique em Guardar.
gcloud
Para anexar uma etiqueta a um cluster do Cloud Workstations através da linha de comandos, crie um recurso de associação de etiquetas com o comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta a anexar, comotagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome do domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Por exemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: a região do cluster de estações de trabalho na nuvem.
API
Chame o método workstationClusters.patch.
Inclua as etiquetas no campo tags de WorkstationCluster.
Liste as etiquetas anexadas a um cluster de estações de trabalho na nuvem
Pode listar as etiquetas anexadas diretamente a um cluster do Cloud Workstations. Este processo não apresenta etiquetas herdadas de recursos principais.
Consola
Na Google Cloud consola, aceda à página Cloud Workstations.
Clique na secção Gestão de clusters.
Clique no cluster do Cloud Workstations para o qual quer apresentar as etiquetas.
As etiquetas são visíveis na secção Etiquetas.
gcloud
Para obter uma lista de associações de etiquetas anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
RESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome do domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Por exemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: a região do cluster de estações de trabalho na nuvem.
API
Chame o método v3.tagBindings.list.
Inclua o cluster de estações de trabalho na nuvem no campo principal. Por
exemplo, //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Desassocie etiquetas de um cluster de estações de trabalho na nuvem
Pode remover uma associação de etiqueta de um cluster do Cloud Workstations eliminando a associação de etiquetas. Se precisar de eliminar uma etiqueta, deve seguir os passos abaixo para desassociar primeiro a etiqueta do cluster do Cloud Workstations.
Consola
Na Google Cloud consola, aceda à página Cloud Workstations.
Clique na secção Gestão de clusters.
Clique no cluster do Cloud Workstations do qual quer desassociar a etiqueta.
Clique em Edit.
Na secção Etiquetas, remova as etiquetas que quer desassociar do cluster do Cloud Workstations.
Clique em Guardar.
gcloud
Para remover uma associação de etiquetas de um cluster de estações de trabalho na nuvem através da linha de comandos, elimine a associação de etiquetas com o comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua o seguinte:
TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta a anexar, comotagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome do domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Por exemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: a região do cluster de estações de trabalho na nuvem.
API
Chame o método workstationClusters.patch.
Remova as etiquetas no campo tags de WorkstationCluster.
O que se segue?
- Para uma vista geral das etiquetas no Google Cloud, consulte o artigo Vista geral das etiquetas.
- Para mais informações sobre como usar etiquetas, consulte o artigo Criar e gerir etiquetas.
- Para informações sobre como controlar o acesso aos recursos do Cloud Workstations com as condições da IAM, consulte o artigo Controlo de acesso com as condições da IAM.