Controlar o acesso com tags

Nesta página, descrevemos como usar tags para gerenciar recursos no Cloud Data Fusion.

É possível anexar tags a instâncias do Cloud Data Fusion. A adição de tags fornece metadados essenciais para seus recursos e ajuda na organização, no rastreamento de custos e na aplicação automatizada de políticas.

Sobre as tags

Uma tag é um par de chave-valor que pode ser anexado a um recurso no Google Cloud. É possível usar tags para permitir ou negar políticas condicionalmente com base no fato de um recurso ter uma tag específica ou não. Por exemplo, é possível conceder condicionalmente papéis do Identity and Access Management (IAM) com base no fato de um recurso ter uma tag específica ou não. Para mais informações sobre tags, consulte Visão geral de tags.

As tags são anexadas aos recursos criando um recurso de vinculação de tags que vincula o valor ao Google Cloud recurso.

Antes de começar

Para receber permissões para os casos de uso a seguir, peça ao administrador para conceder o papel sugerido no nível apropriado da hierarquia de recursos. Para mais informações sobre o IAM no Cloud Data Fusion, consulte Controle de acesso com o IAM.

Papéis e permissões necessárias

Para receber as permissões necessárias para usar tags para gerenciar instâncias no Cloud Data Fusion, peça ao administrador para conceder a você os seguintes papéis do IAM na conta de serviço do Cloud Data Fusion e na conta de serviço padrão do Compute Engine ou na conta de serviço personalizada:

  • Para visualizar definições de tags e tags anexadas a instâncias: Leitor de tags (roles/resourcemanager.tagViewer)
  • Para criar, atualizar e excluir definições de tags: Administrador de tags (roles/resourcemanager.tagAdmin)
  • Para administrar tags no nível da organização: Leitor da organização (roles/resourcemanager.organizationViewer) no recurso da organização
  • Para adicionar e remover tags anexadas a instâncias: Usuário de tags (roles/resourcemanager.tagUser) no valor da tag e nos recursos a que você anexa o valor da tag
  • Para anexar tags a instâncias do Cloud Data Fusion: Administrador do Cloud Data Fusion (roles/datafusion.admin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar tags para gerenciar instâncias no Cloud Data Fusion. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para usar tags para gerenciar instâncias no Cloud Data Fusion:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings para o tipo de recurso apropriado. Por exemplo, para visualizar tags anexadas a instâncias do Cloud Data Fusion: datafusion.instances.listTagBindings
  • listEffectiveTags para o tipo de recurso apropriado. Por exemplo, para visualizar todas as tags anexadas ou herdadas pelas instâncias do Cloud Data Fusion: datafusion.instances.listEffectiveTags

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar chaves e valores de tags

Antes de anexar uma tag, é preciso criá-la e configurar o valor dela. Para criar chaves e valores de tags, consulte Criar uma tag e Adicionar valores de tags.

Anexar tags a instâncias do Cloud Data Fusion

É possível anexar tags a uma instância do Cloud Data Fusion durante e após a criação da instância.

Anexar tags durante a criação da instância

É possível anexar tags ao criar uma instância do Cloud Data Fusion.

gcloud

Use o gcloud beta data-fusion instances create comando com a --tags flag:

gcloud beta data-fusion instances create INSTANCE_ID \
    --tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Várias tags podem ser adicionadas de uma só vez.

Substitua:

  • INSTANCE_ID: o nome da instância do Cloud Data Fusion.
  • TAGKEY_ID: o ID numérico da chave de tag, sem um namespace, por exemplo, 123456789012.
  • TAGVALUE_ID: o ID numérico permanente do valor da tag. Por exemplo, 4567890123.

REST

Envie uma solicitação POST para o seguinte URL:

POST https://datafusion.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instanceID=INSTANCE_ID

Forneça o JSON a seguir no corpo da solicitação:

{
    "tags": {
        "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID"
    }
    // Other fields omitted
}

Substitua:

  • PROJECT_ID: ID do projeto.
  • INSTANCE_ID: o nome da instância do Cloud Data Fusion.
  • TAGKEY_ID: o ID numérico da chave de tag.
  • TAGVALUE_ID: o ID numérico permanente do valor da tag. Por exemplo, 4567890123.

Para mais informações, consulte as v1 e v1beta1.

É possível adicionar várias tags de uma só vez.

Anexar tags após a criação da instância

É possível anexar tags a uma instância do Cloud Data Fusion depois de criar a instância.

gcloud

Para anexar uma tag a uma instância, crie um recurso de vinculação de tag usando o comando create:

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Substitua:

  • TAGVALUE_NAME: o ID permanente ou o nome do namespace do valor da tag anexada, por exemplo, tagValues/567890123456.
  • RESOURCE_ID: o ID completo do recurso, incluindo o nome de domínio da API, que identifica o tipo de recurso (//datafusion.googleapis.com/). Por exemplo, para anexar uma tag a uma instância em projects/7890123456 localizada em us-central1, use o seguinte ID de recurso: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: o local do recurso. Por exemplo, us-central1.

Uma notificação confirma que as tags foram criadas.

Essa ação não causa uma reinicialização da instância.

Listar tags anexadas a uma instância

É possível consultar uma lista de vinculações de tags anexadas diretamente ou herdadas pela instância do Cloud Data Fusion.

gcloud

Para consultar uma lista de vinculações de tags anexadas a uma instância, use o comando list:

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

Substitua:

  • RESOURCE_ID: o ID completo do recurso, incluindo o nome de domínio da API, que identifica o tipo de recurso (//datafusion.googleapis.com/). Por exemplo, para listar tags em uma instância em projects/7890123456 localizada em us-central1, use o seguinte ID de recurso: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: o local do recurso. Por exemplo, us-central1.

A resposta aparece no seguinte formato:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

Remover tags de uma instância

É possível remover tags que foram anexadas diretamente a uma instância do Cloud Data Fusion. As tags herdadas podem ser substituídas anexando uma tag com a mesma chave e um valor diferente, mas não podem ser removidas. Antes de excluir uma tag, é necessário remover a chave e os valores dela de todas as instâncias a que ela está anexada.

gcloud

Para excluir uma vinculação de tag, use o comando delete:

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

Substitua:

  • TAGVALUE_NAME: o ID permanente ou o nome do namespace do valor da tag anexada, por exemplo, tagValues/567890123456.
  • RESOURCE_ID: o ID completo do recurso, incluindo o nome de domínio da API, que identifica o tipo de recurso (//datafusion.googleapis.com/). Por exemplo, para anexar uma tag a uma instância em projects/7890123456 localizada em us-central1, use o seguinte ID de recurso: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID.
  • LOCATION: o local do recurso. Por exemplo, us-central1.

Uma notificação confirma que as tags foram atualizadas.

Excluir chaves e valores de tags

Ao remover uma definição de chave ou valor de tag, verifique se a tag está desanexada da instância. Você precisa excluir os anexos de tag, chamados de vinculações de tag, antes de excluir a definição da tag. Para excluir chaves e valores de tags, consulte Como excluir tags.

Condições e tags do Identity and Access Management

Você pode usar tags e condições do IAM para conceder vinculações de papéis condicionalmente aos usuários na sua hierarquia. Alterar ou excluir a tag anexada a uma instância pode remover o acesso do usuário a essa instância se uma política do IAM com vinculações de papéis condicionais tiver sido aplicada. Para mais informações, consulte Condições e tags do Identity and Access Management.

A seguir