En esta guía, se describe cómo crear y administrar etiquetas para los recursos de cuentas de servicio.
Acerca de las etiquetas de política
Una etiqueta es un par clave-valor que se puede adjuntar a un recurso dentro deGoogle Cloud. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes otorgar de forma condicional roles de Identity and Access Management (IAM) en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.
Las etiquetas se adjuntan a los recursos creando un recurso de vinculación de etiqueta que vincula el valor al recurso Google Cloud .
Permisos necesarios
Para obtener los permisos que necesitas para administrar etiquetas, pídele a tu administrador que te otorgue los siguientes roles de IAM en la cuenta de servicio:
-
Visualizador de etiquetas (
roles/resourcemanager.tagViewer): Los recursos a los que se adjuntan las etiquetas -
Ver y administrar etiquetas a nivel de la organización:
Visualizador de la organización (
roles/resourcemanager.organizationViewer): La organización -
Crear, actualizar y borrar definiciones de etiquetas:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin): Es el recurso para el que creas, actualizas o borras etiquetas. -
Adjuntar y quitar etiquetas de los recursos:
Usuario de etiquetas (
roles/resourcemanager.tagUser): El valor de la etiqueta y los recursos a los que adjuntas o quitas el valor de la etiqueta
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Para obtener los permisos que necesitas para conectar etiquetas a las cuentas de servicio, pídele a tu administrador que te otorgue el rol de IAM de administrador de cuentas de servicio (roles/iam.ServiceAccountAdmin) en la cuenta de servicio.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea claves y valores de etiqueta
Antes de poder adjuntar una etiqueta, debes crear una y configurar su valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor a una etiqueta.
Agrega etiquetas a recursos existentes
Para agregar una etiqueta a las cuentas de servicio existentes, sigue estos pasos:
gcloud
Para adjuntar una etiqueta a una cuenta de servicio, debes crear un recurso de vinculación de etiqueta con el comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Reemplaza lo siguiente:
TAGVALUE_NAMEes el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se conecta; por ejemplo,tagValues/567890123456.-
RESOURCE_ID: Es el ID o correo electrónico único de la cuenta de servicio, incluido el nombre de dominio de la API (//iam.googleapis.com/). Por ejemplo, el ID completo de una cuenta de servicio con el ID único1029384756en el proyectotest-projectes//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Enumera las etiquetas adjuntas a los recursos
Puedes ver una lista de vinculaciones de etiquetas adjuntas o heredadas por la cuenta de servicio directamente.
gcloud
Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID
Reemplaza lo siguiente:
-
RESOURCE_ID: Es el ID o correo electrónico único de la cuenta de servicio, incluido el nombre de dominio de la API (//iam.googleapis.com/). Por ejemplo, el ID completo de una cuenta de servicio con el ID único1029384756en el proyectotest-projectes//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Deberías recibir una respuesta similar a la que figura a continuación:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756
Desconecta etiquetas de recursos
Puedes desconectar las etiquetas que se conectaron directamente a una cuenta de servicio. Las etiquetas heredadas se pueden anular conectando una etiqueta con la misma clave y un valor diferente, pero no se pueden desconectar.
gcloud
Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
Reemplaza lo siguiente:
TAGVALUE_NAMEes el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se conecta; por ejemplo,tagValues/567890123456.-
RESOURCE_ID: Es el ID o correo electrónico único de la cuenta de servicio, incluido el nombre de dominio de la API (//iam.googleapis.com/). Por ejemplo, el ID completo de una cuenta de servicio con el ID único1029384756en el proyectotest-projectes//iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.
Borra claves y valores de etiqueta
Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté desconectada de la cuenta de servicio. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.
Etiquetas y condiciones de Identity and Access Management
Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios en la jerarquía de tu proyecto. Cambiar o borrar la etiqueta adjunta a un recurso puede quitar el acceso del usuario a ese recurso si se aplicó una política de IAM con vinculaciones de funciones condicionales. Para obtener más información, consulta Etiquetas y condiciones de Identity and Access Management.
¿Qué sigue?
- Consulta los demás servicios que admiten etiquetas.
- Consulta Etiquetas y control de acceso para aprender a usar etiquetas con la IAM.