In dieser Anleitung wird beschrieben, wie Sie Tags für Dienstkontoressourcen erstellen und verwalten.
Tags
Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource inGoogle Cloudangehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.
Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft.
Erforderliche Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Dienstkonto zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Tags benötigen:
-
Tag-Betrachter (
roles/resourcemanager.tagViewer): die Ressourcen, an die die Tags angehängt sind -
Tags auf Organisationsebene ansehen und verwalten:
Organisationsbetrachter (
roles/resourcemanager.organizationViewer) – die Organisation -
Tag-Definitionen erstellen, aktualisieren und löschen:
Tag-Administrator (
roles/resourcemanager.tagAdmin) – die Ressource, für die Sie Tags erstellen, aktualisieren oder löschen -
Tags an Ressourcen anhängen und von Ressourcen entfernen:
Tag-Nutzer (
roles/resourcemanager.tagUser): Der Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen oder von denen Sie ihn entfernen
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Dienstkontoadministrator (roles/iam.ServiceAccountAdmin) für das Dienstkonto zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anhängen von Tags an Dienstkonten benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Tag-Schlüssel und -Werte erstellen
Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tag erstellen und Tag-Wert hinzufügen.
Tags zu vorhandenen Ressourcen hinzufügen
So fügen Sie vorhandenen Dienstkonten ein Tag hinzu:
gcloud
Wenn Sie ein Tag an ein Dienstkonto anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Ersetzen Sie Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456.-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos, einschließlich des API-Domainnamens (//iam.googleapis.com/). Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectist beispielsweise//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
An Ressourcen angehängte Tags auflisten
Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an das Dienstkonto angehängt oder von ihm übernommen wurden.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID
Ersetzen Sie Folgendes:
-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos, einschließlich des API-Domainnamens (//iam.googleapis.com/). Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectist beispielsweise//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Sie sollten eine Antwort ähnlich der folgenden erhalten:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756
Tags von Ressourcen trennen
Sie können Tags, die direkt an ein Dienstkonto angehängt wurden, trennen. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden.
gcloud
Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Ersetzen Sie dabei Folgendes:
TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel:tagValues/567890123456.-
RESOURCE_ID: die eindeutige ID oder E-Mail-Adresse des Dienstkontos, einschließlich des API-Domainnamens (//iam.googleapis.com/). Die vollständige ID eines Dienstkontos mit der eindeutigen ID1029384756im Projekttest-projectist beispielsweise//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Tag-Schlüssel und -Werte löschen
Achten Sie beim Entfernen eines Tag-Schlüssels oder einer Wertedefinition darauf, dass das Tag vom Dienstkonto getrennt ist. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.
Bedingungen und Tags für Identity and Access Management
Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.
Nächste Schritte
- Weitere Dienste ansehen, die Tags unterstützen.
- Informationen zur Verwendung von Tags mit IAM finden Sie unter Tags und Zugriffssteuerung.