In dieser Anleitung wird beschrieben, wie Sie Tags für Dienstkonten erstellen und verwalten.
Tags
Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource in Google Cloudangehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen finden Sie unter Tags – Übersicht.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud Ressource verknüpft.
Erforderliche Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Tags benötigen:
- Tag-Betrachter (
roles/resourcemanager.tagViewer) für die Ressourcen, an die die Tags angehängt sind -
Tags auf Organisationsebene ansehen und verwalten:
Organisationsbetrachter (
roles/resourcemanager.organizationViewer) für die Organisation -
Tag-Definitionen erstellen, aktualisieren und löschen:
Tag-Administrator (
roles/resourcemanager.tagAdmin) für die Ressource, für die Sie Tags erstellen, aktualisieren oder löschen -
Tags an Ressourcen anhängen und von Ressourcen entfernen:
Tag-Nutzer (
roles/resourcemanager.tagUser) für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen oder von denen Sie ihn entfernen
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Bitten Sie Ihren Administrator, Ihnen die
Dienstkontoadministrator (roles/iam.ServiceAccountAdmin) IAM-Rolle für das Dienstkonto zuzuweisen,
um die Berechtigungen zu erhalten, die
Sie zum Anhängen von Tags an Dienstkonten benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Tag-Schlüssel und -Werte erstellen
Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Wert hinzufügen.
Vorhandenen Ressourcen Tags hinzufügen
So fügen Sie vorhandenen Dienstkonten ein Tag hinzu:
gcloud
Wenn Sie ein Tag an ein Dienstkonto anhängen möchten, müssen Sie mit dem
gcloud resource-manager tags bindings create Befehl eine
Tag-Bindungsressource erstellen:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Ersetzen Sie dabei Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456.-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos einschließlich des API-Domainnamens (//iam.googleapis.com/). Beispiel: Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectlautet//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
An Ressourcen angehängte Tags auflisten
Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an das Dienstkonto angehängt oder von ihm übernommen wurden.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID
Ersetzen Sie dabei Folgendes:
-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos einschließlich des API-Domainnamens (//iam.googleapis.com/). Beispiel: Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectlautet//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756
Tags von Ressourcen trennen
Sie können Tags trennen, die direkt an ein Dienstkonto angehängt wurden. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Ersetzen Sie dabei Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456.-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos einschließlich des API-Domainnamens (//iam.googleapis.com/). Beispiel: Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectlautet//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Tag-Schlüssel und -Werte löschen
Wenn Sie eine Tag-Schlüssel- oder -Wertdefinition entfernen, muss das Tag vom Dienstkonto getrennt werden. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.
Bedingungen und Tags für Identity and Access Management
Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.
Nächste Schritte
- Weitere Dienste ansehen, die Tags unterstützen.
- Unter Tags und Zugriffssteuerung erfahren Sie, wie Sie Tags mit IAM verwenden.