Crea y administra etiquetas

En esta guía, se describe cómo crear y administrar etiquetas en los llaveros de claves de Cloud Key Management Service. Puedes usar etiquetas para agrupar los llaveros de claves de Cloud KMS relacionados y almacenar metadatos sobre esos recursos en función de sus etiquetas.

Acerca de las etiquetas de política

Una etiqueta es un par clave-valor que se puede adjuntar a un recurso dentro de Google Cloud. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes otorgar de forma condicional roles de Identity and Access Management (IAM) en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.

Las etiquetas se conectan a los recursos con la creación de un recurso de vinculación de etiqueta que vincula el valor al Google Cloud recurso.

Para agrupar llaveros de claves dentro de Cloud KMS con fines de automatización y facturación, usa etiquetas . Las etiquetas de instancias y las etiquetas de recursos funcionan de manera independiente unas de otras y puedes aplicarlas a los recursos.

Permisos necesarios

Para obtener los permisos que necesitas para administrar etiquetas, pídele a tu administrador que te otorgue los siguientes roles de IAM:

  • Visualizador de etiquetas (roles/resourcemanager.tagViewer) en los recursos a los que se adjuntan las etiquetas
  • Visualiza y administra etiquetas a nivel de la organización: Visualizador de la organización (roles/resourcemanager.organizationViewer) en la organización
  • Crea, actualiza y borra definiciones de etiquetas: Administrador de etiquetas (roles/resourcemanager.tagAdmin) en el recurso para el que creas, actualizas o borras etiquetas
  • Adjunta y quita etiquetas de los recursos: Usuario de etiquetas (roles/resourcemanager.tagUser) en el valor de la etiqueta y los recursos a los que adjuntas o quitas el valor de la etiqueta

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Para adjuntar etiquetas a los llaveros de claves de Cloud KMS, necesitas el rol Administrador de Cloud KMS (roles/cloudkms.admin).

Crea claves y valores de etiqueta

Antes de poder adjuntar una etiqueta, debes crear una y configurar su valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor a una etiqueta.

Agrega etiquetas a recursos existentes

Para agregar una etiqueta a los llaveros de claves existentes, sigue estos pasos:

Console

  1. Ve a la página Administración de claves en la Google Cloud consola.

    2. Ir a Administración de claves

  2. Selecciona el llavero de claves al que deseas adjuntar una etiqueta.
  3. Haz clic en Etiquetas.
  4. Si tu organización no aparece en el panel Etiquetas, haz clic en Seleccionar alcance. Selecciona tu organización y haz clic en Abrir.
  5. Haz clic en Agregar etiqueta.
  6. Selecciona la clave para la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
  7. Selecciona el valor de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
  8. Haz clic en Guardar.
  9. En el diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.

    10. Una notificación confirma que se actualizaron tus etiquetas.

gcloud

Para adjuntar una etiqueta a un llavero de claves, debes crear un recurso de vinculación de etiqueta con el gcloud resource-manager tags bindings create comando:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo, tagValues/567890123456.
  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudkms.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME, el ID completo es el siguiente: //cloudkms.googleapis.com/projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME.
  • LOCATION: es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).
Para obtener ayuda con la ubicación de un ID de recurso de Cloud KMS, consulta Recupera el ID de un recurso.

Enumera las etiquetas adjuntas a los recursos

Puedes ver directamente una lista de vinculaciones de etiquetas adjuntas al llavero de claves o heredadas por dicho llavero.

Console

  1. Ve a la página Administración de claves en la Google Cloud consola.

    2. Ir a Administración de claves

  2. Las etiquetas se muestran en la columna Etiquetas del llavero de claves.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudkms.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME, el ID completo es el siguiente: //cloudkms.googleapis.com/projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME.
  • LOCATION: es la ubicación de tu recurso. Si ves una etiqueta adjunta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si ves una etiqueta adjunta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).

Deberías recibir una respuesta similar a la que figura a continuación:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //cloudkms.googleapis.com/projects/project-abc/locations/global/keyRings/keyring-xyz

Desconecta etiquetas de los recursos

Puedes desconectar las etiquetas que se adjuntaron directamente a un llavero de claves. Las etiquetas heredadas se pueden anular conectando una etiqueta con la misma clave y un valor diferente, pero no se pueden desconectar.

Console

  1. Ve a la página Administración de claves en la Google Cloud consola.

    2. Ir a Administración de claves

  2. Selecciona el llavero de claves del que deseas quitar una etiqueta.
  3. Haz clic en Etiquetas.
  4. En el panel Etiquetas, junto a la etiqueta que deseas desconectar, haz clic Borrar elemento.
  5. Haz clic en Guardar.
  6. En el diálogo Confirmar, haz clic en Confirmar para desconectar la etiqueta.

Una notificación confirma que se actualizaron tus etiquetas.

gcloud

Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo, tagValues/567890123456.
  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudkms.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME, el ID completo es el siguiente: //cloudkms.googleapis.com/projects/PROJECT_ID/locations/LOCATION_NAME/keyRings/KEYRING_NAME.
  • LOCATION: es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).

Borra claves y valores de etiqueta

Cuando quites una clave de etiqueta o una definición de valor, asegúrate de que la etiqueta esté desconectada del llavero de claves. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.

Etiquetas y condiciones de Identity and Access Management

Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios en la jerarquía de tu proyecto. Cambiar o borrar la etiqueta adjunta a un recurso puede quitar el acceso del usuario a ese recurso si se aplicó una política de IAM con vinculaciones de funciones condicionales. Para obtener más información, consulta Etiquetas y condiciones de Identity and Access Management.

¿Qué sigue?