Controllare l'accesso con i tag

Questa pagina descrive come utilizzare i tag per gestire le risorse in Cloud Data Fusion.

Puoi collegare i tag alle istanze Cloud Data Fusion. L'aggiunta di tag fornisce metadati essenziali per le risorse e aiuta a organizzare, monitorare i costi e applicare automaticamente le policy.

Informazioni sui tag

Un tag è una coppia chiave-valore che puoi collegare a una risorsa all'interno di Google Cloud. Puoi utilizzare i tag per consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) a seconda che una risorsa abbia un tag specifico. Per saperne di più sui tag, consulta Introduzione ai tag.

I tag vengono collegati alle risorse creando una risorsa di associazione tag che collega il valore alla Google Cloud risorsa.

Prima di iniziare

Per ottenere le autorizzazioni per i seguenti casi d'uso, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse. Per saperne di più su IAM in Cloud Data Fusion, consulta Controllo dell'accesso con IAM.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per utilizzare i tag per gestire le istanze in Cloud Data Fusion, chiedi all'amministratore di concederti i seguenti ruoli IAM sul account di servizio Cloud Data Fusion e sul account di servizio predefinito di Compute Engine o sul account di servizio personalizzato:

  • Per visualizzare le definizioni dei tag e i tag collegati alle istanze: Tag Viewer (roles/resourcemanager.tagViewer)
  • Per creare, aggiornare ed eliminare le definizioni dei tag: Tag Administrator (roles/resourcemanager.tagAdmin)
  • Per amministrare i tag a livello di organizzazione: Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) - sulla risorsa dell'organizzazione
  • Per aggiungere e rimuovere i tag collegati alle istanze: Tag User (roles/resourcemanager.tagUser) - sia sul valore del tag sia sulle risorse a cui colleghi il valore del tag
  • Per collegare i tag alle istanze Cloud Data Fusion: Cloud Data Fusion Admin (roles/datafusion.admin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare i tag per gestire le istanze in Cloud Data Fusion. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare i tag per gestire le istanze in Cloud Data Fusion sono necessarie le seguenti autorizzazioni:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings per il tipo di risorsa appropriato. Ad esempio, per visualizzare i tag collegati alle istanze Cloud Data Fusion: datafusion.instances.listTagBindings
  • listEffectiveTags per il tipo di risorsa appropriato. Ad esempio, per visualizzare tutti i tag collegati o ereditati dalle istanze Cloud Data Fusion: datafusion.instances.listEffectiveTags

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea chiavi e valori dei tag

Prima di poter allegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi e valori dei tag, consulta Crea un tag e Aggiungi valori dei tag.

Collega i tag alle istanze Cloud Data Fusion

Puoi collegare i tag a un'istanza Cloud Data Fusion sia durante che dopo la creazione dell'istanza.

Collega i tag durante la creazione dell'istanza

Puoi collegare i tag quando crei un'istanza Cloud Data Fusion.

gcloud

Utilizza il gcloud beta data-fusion instances create comando con il --tags flag:

gcloud beta data-fusion instances create INSTANCE_ID \
    --tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

È possibile aggiungere più tag contemporaneamente.

Sostituisci quanto segue:

  • INSTANCE_ID: il nome dell'istanza Cloud Data Fusion.
  • TAGKEY_ID: l'ID numerico della chiave del tag, senza uno spazio dei nomi, ad esempio 123456789012.
  • TAGVALUE_ID: l'ID numerico permanente del valore del tag. Ad esempio, 4567890123.

REST

Invia una richiesta POST al seguente URL:

POST https://datafusion.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instanceID=INSTANCE_ID

Fornisci il seguente JSON nel corpo della richiesta:

{
    "tags": {
        "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID"
    }
    // Other fields omitted
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • INSTANCE_ID: il nome dell'istanza Cloud Data Fusion.
  • TAGKEY_ID: l'ID numerico della chiave del tag.
  • TAGVALUE_ID: l'ID numerico permanente del valore del tag. Ad esempio, 4567890123.

Per saperne di più, consulta i riferimenti API v1 e v1beta1.

Puoi aggiungere più tag contemporaneamente.

Collega i tag dopo aver creato l'istanza

Puoi collegare i tag a un'istanza Cloud Data Fusion dopo averla creata.

gcloud

Per collegare un tag a un'istanza, devi creare una risorsa di associazione tag utilizzando il comando create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

  • TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore del tag allegato, ad esempio tagValues/567890123456.
  • RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un' istanza in projects/7890123456 che si trova in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: la località della risorsa. Ad esempio: us-central1.

Una notifica conferma che i tag sono stati creati.

Questa azione non causa il riavvio dell'istanza.

Elenca i tag collegati a un'istanza

Puoi visualizzare un elenco di associazioni di tag direttamente collegate o ereditate dall'istanza Cloud Data Fusion.

gcloud

Per ottenere un elenco di associazioni di tag collegate a un'istanza, utilizza il comando list:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

  • RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per elencare i tag in un' istanza in projects/7890123456 che si trova in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: la località della risorsa. Ad esempio: us-central1.

La risposta ha il seguente formato:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Scollega i tag da un'istanza

Puoi scollegare i tag che sono stati collegati direttamente a un'istanza Cloud Data Fusion. I tag ereditati possono essere sostituiti collegando un tag con la stessa chiave e un valore diverso, ma non possono essere scollegati. Prima di poter eliminare un tag, devi scollegare la relativa chiave e i relativi valori da ogni istanza a cui è collegato.

gcloud

Per eliminare un'associazione di tag, utilizza il comando delete:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Sostituisci quanto segue:

  • TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore del tag allegato, ad esempio tagValues/567890123456.
  • RESOURCE_ID: l'ID completo della risorsa, incluso il nome di dominio dell'API, che identifica il tipo di risorsa (//datafusion.googleapis.com/). Ad esempio, per collegare un tag a un' istanza in projects/7890123456 che si trova in us-central1, utilizza il seguente ID risorsa: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: la località della risorsa. Ad esempio: us-central1.

Una notifica conferma che i tag sono stati aggiornati.

Elimina chiavi e valori dei tag

Quando rimuovi una definizione di chiave o valore del tag, assicurati che il tag sia scollegato dall'istanza. Prima di eliminare la definizione del tag, devi eliminare gli allegati esistenti, chiamati associazioni di tag. Per eliminare chiavi tag e valori tag, consulta la sezione Elimina i tag.

Condizioni e tag di Identity and Access Management

Puoi utilizzare i tag e le condizioni IAM per concedere in modo condizionale le associazioni di ruoli agli utenti della gerarchia. La modifica o l'eliminazione del tag associato a un'istanza può rimuovere l'accesso utente a quella risorsa se è stata applicata una policy IAM con associazioni di ruoli condizionali. Per maggiori informazioni, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi