יצירה וניהול של תגים

בדף הזה מוסבר על Google Cloud תגים ואיך משתמשים בהם ב-Cloud DNS. אפשר להחיל תגים על כללי מדיניות של Cloud DNS.

מידע על התגים

תג הוא צמד מפתח/ערך שאפשר לצרף למשאב ב-Google Cloud. אפשר להשתמש בתגים כדי להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. לדוגמה, אתם יכולים להתנות את מתן התפקידים ב-Identity and Access Management (IAM) בהתאם לתגים. לסקירה כללית על התגים

כדי לצרף תגים למשאבים, יוצרים משאב של קישור בין תגים שמקשר את הערך ל Google Cloud משאב.

ההרשאות הנדרשות

כדי לקבל את ההרשאות שדרושות לניהול תגים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

  • Tag Viewer (roles/resourcemanager.tagViewer) במשאבים שהתגים מצורפים אליהם
  • כדי להציג ולנהל תגים ברמת הארגון: צפייה בארגון (roles/resourcemanager.organizationViewer) on the organization
  • יצירה, עדכון ומחיקה של הגדרות תגים: אדמין לניהול תגים (roles/resourcemanager.tagAdmin) on the resource you're creating, updating, or deleting tags for
  • צירוף והסרה של תגים ממשאבים: Tag User (roles/resourcemanager.tagUser) על ערך התג והמשאבים שאתם מצרפים או מסירים מהם את ערך התג

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

כדי לצרף תגים למדיניות של Cloud DNS, צריך את התפקיד Cloud DNS Admin (roles/dns.admin).

יצירת מפתחות וערכים של תגים

כדי לצרף תג, צריך ליצור תג ולהגדיר את הערך שלו. במאמרים יצירת תג והוספת ערך תג מוסבר איך יוצרים מפתחות תגים וערכי תגים.

אכיפת תגים חובה

אתם יכולים לאכוף תגים חובה על משאבים כדי לוודא שתגים ספציפיים קיימים כשמשאבים נוצרים, כמו תג של מרכז עלויות, כדי לשמור על תאימות למדיניות הארגונית. אפשר לעשות את זה באמצעות מדיניות ארגונית ואילוצים מותאמים אישית. האכיפה מתרחשת בזמן יצירת המשאבים, ומונעת הקצאת משאבים ללא התגים הנדרשים. מידע נוסף זמין במאמר בנושא אכיפה של תגים חובה באמצעות מדיניות ארגונית.

הגדרת אילוץ מותאם אישית כדי לאכוף תגים

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר אל מדיניות הארגון

  2. בוחרים את הפרויקט בחלונית בחירת הפרויקט בחלק העליון של הדף.

  3. בבורר הפרויקטים, בוחרים את הארגון שבו רוצים לאכוף את האילוץ המותאם אישית.

  4. מגדירים אילוץ מותאם אישית עם הפרמטרים הבאים:

    • שיטת האכיפה: Govern tags
    • Resource type: השם המוגדר במלואו של משאב ה-REST‏ Google Cloudשעליו רוצים לאכוף תיוג חובה, לדוגמה, file.googleapis.com/Instance
    • תנאי: תנאי ב-Common Expression Language ‏ (CEL) שמציין את מפתחות התגים שרוצים לאכוף על המשאב, לדוגמה resource.hasDirectTagKey("1234567890/owner") כדי לאכוף שיוך תג למפתח התג 1234567890/owner. הפונקציה resource.hasDirectTagKey CEL מתאימה רק לתגים שהוחלו ישירות על משאב, ולא מתייחסת לתגים שעברו בירושה מאבות בהיררכיית המשאבים.
    • פעולה: Allow או Deny.
      • הרשאה: אם התנאי שצוין מתקיים, הפעולה ליצירה או לעדכון של המשאב מורשית.
      • דחייה: אם התנאי שצוין מתקיים, הפעולה ליצירה או לעדכון של המשאב נחסמת.

  5. לוחצים על יצירת אילוץ.

gcloud

יוצרים קובץ YAML לאילוץ בהתאמה אישית:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- GOVERN_TAGS
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון, למשל 1234567890.

  • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ החדש בהתאמה אישית. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים. לדוגמה, custom.enforceMandatoryTags.

  • RESOURCE_NAME: השם המוגדר במלואו של משאב ה-REST‏Google Cloud שעליו רוצים לאכוף תגים חובה, לדוגמה, file.googleapis.com/Instance.

  • CONDITION: תנאי של Common Expression Language ‏ (CEL) שמציין את מפתחות התגים שרוצים לאכוף על המשאב, לדוגמה, resource.hasDirectTagKey("1234567890/owner") כדי לאכוף קישור תג למפתח התג 1234567890/owner.

  • ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערך יכול להיות ALLOW או DENY.

    הפעולה deny (דחייה) אומרת שאם התנאי שצוין מתקיים, הפעולה ליצירה או לעדכון של המשאב נחסמת.

    פעולת ההרשאה (allow) פירושה שאם התנאי שצוין מתקיים, מותרת הפעולה ליצירה או לעדכון של המשאב. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שרשום במפורש בתנאי, ייחסם.

  • DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.

  • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם המדיניות תופר. האורך המקסימלי של השדה הוא 2,000 תווים.

מגדירים את האילוץ המותאם אישית כדי שהוא יהיה זמין למדיניות הארגון בארגון שלכם.

אחרי שמגדירים את האילוץ המותאם אישית, אפשר לבדוק ולנתח את השינויים במדיניות הארגון ולאכוף את האילוץ.

הוספת תגים למשאבים קיימים

כדי להוסיף תג למדיניות קיימת, פועלים לפי השלבים הבאים:

המסוף

  1. עוברים לדף Cloud DNS במסוף Google Cloud .

    2. מעבר אל Cloud DNS

  2. בוחרים את הדף של המשאב שאליו רוצים לצרף תג. לדוגמה, כדי לצרף תג למדיניות, עוברים לדף Policies.
  3. לוחצים על תגים.
  4. אם הארגון שלכם לא מופיע בחלונית תגים, לוחצים על בחירת היקף. בוחרים את הארגון ולוחצים על פתיחה.
  5. לוחצים על הוספת תג.
  6. בוחרים מהרשימה את המקש של התג שרוצים לצרף. אתם יכולים לסנן את הרשימה באמצעות הקלדה של מילות מפתח.
  7. בוחרים מהרשימה את הערך של התג שרוצים לצרף. אתם יכולים להקליד מילות מפתח כדי לסנן את הרשימה.
  8. לוחצים על Save.
  9. בתיבת הדו-שיח אישור, לוחצים על אישור כדי לצרף את התג.

    10. התראה מאשרת שהתגים עודכנו.

gcloud

כדי לצרף תג למדיניות, צריך ליצור משאב של קישור תג באמצעות הפקודה gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה, tagValues/567890123456.
  • RESOURCE_ID הוא המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//dns.googleapis.com/). לדוגמה, כדי לצרף תג ל-/projects/PROJECT_ID/policies/POLICY_ID, המזהה המלא הוא //dns.googleapis.com/projects/PROJECT_ID/policies/POLICY_ID.

הצגת רשימת תגים שמצורפים למשאבים

אפשר לראות רשימה של תגי קישור שמצורפים ישירות למדיניות או שעוברים בירושה ממנה.

המסוף

  1. עוברים לדף Cloud DNS במסוף Google Cloud .

    2. מעבר אל Cloud DNS

  2. בוחרים את הדף של המשאב שרוצים לראות את התגים שלו. לדוגמה, כדי להציג תגים של מדיניות, עוברים לדף Policies.

    התגים מוצגים בקטע Tags בדף המדיניות במסוף.

gcloud

כדי לקבל רשימה של קישורי תגים שצורפו למשאב, משתמשים בפקודה gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • RESOURCE_ID הוא המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//dns.googleapis.com/). לדוגמה, כדי לצרף תג ל-/projects/PROJECT_ID/policies/POLICY_ID, המזהה המלא הוא //dns.googleapis.com/projects/PROJECT_ID/policies/POLICY_ID.

אמורה להתקבל תגובה שדומה לזו:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //dns.googleapis.com/projects/PROJECT_ID/policies/POLICY_ID

ניתוק תגים ממשאבים

אפשר לנתק תגים שצורפו ישירות למדיניות. אפשר לבטל את התגים שעברו בירושה על ידי צירוף תג עם אותו מפתח וערך שונה, אבל אי אפשר לנתק אותם.

המסוף

  1. עוברים לדף Cloud DNS במסוף Google Cloud .

    2. מעבר אל Cloud DNS

  2. בוחרים את הדף של המשאב שממנו רוצים להסיר תג. לדוגמה, כדי להסיר תג ממדיניות, עוברים לדף Policies (מדיניות).
  3. לוחצים על תגים.
  4. בחלונית תגים, לצד התג שרוצים לנתק, לוחצים על מחיקת הפריט.
  5. לוחצים על Save.
  6. בתיבת הדו-שיח אישור, לוחצים על אישור כדי לבטל את הצירוף של התג.

התראה מאשרת שהתגים עודכנו.

gcloud

כדי למחוק את הקישור של התג, משתמשים בפקודה gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • TAGVALUE_NAME: המזהה הקבוע או השם ממרחב השמות של ערך התג שמצורף – לדוגמה, tagValues/567890123456.
  • RESOURCE_ID הוא המזהה המלא של המשאב, כולל שם הדומיין של ה-API כדי לזהות את סוג המשאב (//dns.googleapis.com/). לדוגמה, כדי לצרף תג ל-/projects/PROJECT_ID/policies/POLICY_ID, המזהה המלא הוא //dns.googleapis.com/projects/PROJECT_ID/policies/POLICY_ID.

מחיקה של מפתחות וערכים של תגים

כשמסירים הגדרה של מפתח או ערך של תג, צריך לוודא שהתג מנותק מהמדיניות. לפני שמוחקים את הגדרת התג עצמה, צריך למחוק את הקבצים הקיימים של התגים, שנקראים tag bindings. כדי למחוק מפתחות תגים וערכי תגים, אפשר לעיין במאמר בנושא מחיקת תגים.

תנאים ותגים בניהול הזהויות והרשאות הגישה (IAM)

אתם יכולים להשתמש בתגים ובתנאים של IAM כדי להעניק למשתמשים בהיררכיה שלכם קישורי תפקידים מותנים. שינוי או מחיקה של התג שמצורף למשאב יכולים להסיר את הגישה של המשתמש למשאב הזה אם הוחלה מדיניות IAM עם קישורי תפקידים מותנים. למידע נוסף, קראו את המאמר תנאים ותגים של ניהול זהויות והרשאות גישה.

המאמרים הבאים