Tag-Repositories

Mit Tags können Sie Repositorys und andere Ressourcen in Google Cloud für Berichte, Audits und die Zugriffssteuerung in Ihrer Google Cloud-Organisation gruppieren.

Wenn Sie Repositorys in Artifact Registry zu Automatisierungs- und Abrechnungszwecken gruppieren möchten, verwenden Sie Labels. Tags und Labels funktionieren unabhängig voneinander. Sie können beide auf dasselbe Repository anwenden. Weitere Informationen zu den Unterschieden zwischen Tags und Labels finden Sie unter Tags und Labels.

Was sind Tags?

Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Ressourcen anwenden können.

Projektadministratoren erstellen Tags für Ressourcen in Google Cloud auf Organisationsebene und verwalten sie im Resource Manager. Wenn Sie ein Tag an ein Artifact Registry-Repository anhängen, können Sie das Tag mit IAM-Bedingungen verwenden, um bedingten Zugriff auf das Repository zu gewähren. Sie können keine Tags an einzelne Artefakte anhängen.

Beachten Sie die folgenden Einschränkungen:

  • Organisationsrichtlinien können auf Bedingungen verweisen, die vom übergeordneten Projekt und höher übernommen werden. Sie unterstützen jedoch keine Tags, die Sie direkt an Repositorys anhängen.

  • Cloud-Audit-Logs werden nicht zum Anhängen von Tags und zum Anzeigen von Tag-Bindungen für Repositories generiert.

Weitere Informationen zu Tags und zur bedingten Zugriffssteuerung mit Tags finden Sie unter Tags und Zugriffssteuerung.

Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Tags benötigen:

  • Tag-Betrachter (roles/resourcemanager.tagViewer) für die Ressourcen, an die die Tags angehängt sind
  • Tags auf Organisationsebene ansehen und verwalten: Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisation
  • Tag-Definitionen erstellen, aktualisieren und löschen: Tag-Administrator (roles/resourcemanager.tagAdmin) für die Ressource, für die Sie Tags erstellen, aktualisieren oder löschen
  • Tags an Ressourcen anhängen und von Ressourcen entfernen: Tag-Nutzer (roles/resourcemanager.tagUser) für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen oder von denen Sie ihn entfernen

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Tags an Repositories anhängen

Nachdem ein Projektadministrator Tags erstellt hat, können Sie sie an ein Repository anhängen. Jedes Tag hat einen Schlüssel und einen Wert. Sie taggen ein Repository, indem Sie einen Wert an das Repository binden.

So hängen Sie ein Tag an ein Repository an:

Console

  1. Bitten Sie Ihren Administrator, Ihnen den Tag-Wert zu geben, den Sie anhängen möchten.

    Sie können einen Tag-Wert mit einer der folgenden Arten von IDs anhängen:

    • Ein Namespace-Name, z. B. 123456789012/env/dev
    • Eine permanente ID, z. B. tagValues/567890123456

  2. Öffnen Sie in der Google Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus, das Sie taggen möchten.

  4. Klicken Sie im Bereich Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    Es werden vorhandene Tags für das Repository angezeigt, einschließlich übernommener Tags.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Klicken Sie im Bereich Direkte Tags auf Bereich auswählen.

  7. Wählen Sie Ihr Repository-Projekt aus.

  8. Geben Sie im Feld Schlüssel Text ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Schlüssel aus.

  9. Geben Sie im Feld Wert Text ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Wert aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie auf Bestätigen.

    Das Tag ist mit Ihrem Repository verknüpft.

gcloud-CLI

  1. Bitten Sie Ihren Administrator, Ihnen den Tag-Wert zu geben, den Sie anhängen möchten.

    Sie können einen Tag-Wert mit einer der folgenden Arten von IDs anhängen:

    • Ein Namespace-Name, z. B. 123456789012/env/dev
    • Eine permanente ID, z. B. tagValues/567890123456

  2. Hängen Sie den Tag-Wert mit dem folgenden Befehl an:

    gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE ist die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll.

    • REPOSITORY_ID ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp (//artifactregistry.googleapis.com/) zu identifizieren. Beispiel: //artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo

    • LOCATION ist der Speicherort des Repositorys.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag an das Repository angehängt:

    gcloud resource-manager tags bindings create \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

An Repositories angehängte Tags auflisten

Sie können Tags auflisten, die an eine Ressource angehängt sind, auf die Sie Zugriffsberechtigungen haben.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  2. Wählen Sie das Repository aus, das Sie aufrufen möchten.

  3. Klicken Sie im Bereich Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    In der Liste Tags werden alle Repository-Tags angezeigt, einschließlich direkter Tags und übernommener Tags aus höheren Ebenen der Ressourcenhierarchie.

gcloud-CLI

Führen Sie den folgenden Befehl aus, um die Tags aufzulisten, die an ein Repository angehängt sind:

gcloud resource-manager tags bindings list \
        --parent=REPOSITORY_ID \
        --location=LOCATION

Mit dem Befehl werden nur Tags aufgelistet, die direkt an die angegebene Ressource angehängt sind. Tags, die vom übergeordneten Projekt oder höher übernommen wurden, werden nicht zurückgegeben. Sie können Tags auflisten, die vom übergeordneten Projekt übernommen wurden, indem Sie mit dem Flag --parent ein Projekt anstelle eines Repositorys angeben.

Mit diesem Befehl werden beispielsweise die Tags aufgelistet, die an das Repository my-repo im Projekt my-project und am Standort us-east1 angehängt sind:

gcloud resource-manager tags bindings list \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Mit diesem Befehl werden die Tags aufgelistet, die der Projektnummer 7890123456 zugeordnet sind:

gcloud resource-manager tags bindings list \
    --parent=//cloudresourcemanager.googleapis.com/projects/7890123456 \

Tags von Repositories trennen

Sie können ein Tag trennen, das direkt an ein Repository angehängt ist. Wenn Sie ein Tag entfernen müssen, das vom übergeordneten Projekt oder einem anderen Teil der Ressourcenhierarchie übernommen wurde, muss ein Projektadministrator es von der Ressource, an die das Tag angehängt ist, trennen.

So entfernen Sie ein Tag, das an ein Repository angehängt ist:

Console

  1. Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tag-Wert nicht kennen, listen Sie die Tags auf, die dem Repository angehängt sind.

  2. Öffnen Sie in der Google Cloud Console die Seite Repositories.

    Zur Seite „Repositories“

  3. Wählen Sie das Repository aus.

  4. Klicken Sie im Bereich Repository Details (Repository-Details) auf Show more (Mehr anzeigen).

    Es werden vorhandene Tags für das Repository angezeigt, einschließlich übernommener Tags.

  5. Klicken Sie auf das Symbol Bearbeiten Tags bearbeiten.

  6. Suchen Sie im Bereich Direkte Tags nach dem Tag, das Sie entfernen möchten.

  7. Klicken Sie neben dem Tag, das Sie entfernen möchten, auf das Symbol  Löschen.

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf Bestätigen.

    Das Tag wird aus Ihrem Repository entfernt.

gcloud-CLI

  1. Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tag-Wert nicht kennen, listen Sie die Tags auf, die dem Repository angehängt sind.

  2. Trennen Sie den Tag-Wert mit dem folgenden Befehl:

    gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=REPOSITORY_ID \
    --location=LOCATION

    Ersetzen Sie die folgenden Werte:

    • TAG_VALUE ist der Tag-Wert, der getrennt werden soll.

    • REPOSITORY_ID ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp (//artifactregistry.googleapis.com/) zu identifizieren. Beispiel: //artifactregistry.googleapis.com/projects/my-project/my-repo

    • LOCATION ist der Speicherort des Repositorys.

    Dazu ein Beispiel:

    • Tag-Wert: 815471563813/env/dev
    • Projekt: my-project
    • Repository: my-repo
    • Speicherort des Repositorys: us-east1

    Mit dem folgenden gcloud CLI-Befehl wird das Tag vom Repository getrennt:

    gcloud resource-manager tags bindings delete \
    --tag-value=815471563813/env/dev \
    --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
    --location=us-east1

Nächste Schritte