Utiliser des tags pour contrôler l'accès aux ressources

Ce document explique comment utiliser les tags pour contrôler l'accès à vos tableaux de bord et règles d'alerte Cloud Monitoring. Les tags sont des paires clé/valeur que vous créez et associez à des ressources. En combinant des tags avec des conditions IAM (Identity and Access Management) ou des stratégies de refus, vous pouvez limiter les utilisateurs autorisés à modifier ou supprimer des tableaux de bord et des règles d'alerte spécifiques.

Schémas de contrôle des accès

Vous pouvez implémenter le contrôle des accès pour les tableaux de bord et les règles d'alerte à l'aide de l'un des modèles suivants :

  • Contrôler l'accès aux ressources gérées par Terraform : utilisez des tags et des règles de refus IAM pour que les ressources taguées ne puissent être modifiées que par Terraform. Les ressources gérées par Terraform sont protégées contre les modifications manuelles non approuvées dans la console Google Cloud ou via d'autres clients.

  • Contrôlez l'accès aux ressources gérées par l'équipe : utilisez des tags par équipe et des attributions de rôles IAM conditionnelles pour vous assurer que seuls les membres d'une équipe spécifique peuvent modifier ou supprimer les tableaux de bord et les règles d'alerte gérés par l'équipe.

Protéger les ressources gérées par Terraform

Cette section explique comment utiliser des tags et des stratégies de refus IAM pour que les tableaux de bord et les règles d'alerte tagués ne puissent être modifiés ou supprimés qu'à l'aide d'un compte de service configuré pour utiliser Terraform.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer des tags et des stratégies de refus IAM pour votre projet, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet ou votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Protéger des ressources à l'aide d'une règle de refus

Console Google Cloud

  1. Créez un tag indiquant que la ressource est gérée par Terraform. Par exemple, créez une clé de tag edit_restriction avec une valeur de tag terraform_only.

  2. Créez une stratégie de refus IAM qui refuse les autorisations de mise à jour et de suppression à tous les comptes principaux, à l'exception de votre compte de service Terraform, lorsque la ressource possède le tag edit_restriction:terraform_only.

    La stratégie de refus doit contenir les configurations suivantes :

    • Autorisations à refuser :
      • monitoring.dashboards.update
      • monitoring.dashboards.delete
      • monitoring.alertPolicies.update
      • monitoring.alertPolicies.delete
    • Condition : la ressource doit avoir le tag edit_restriction:terraform_only.
    • Exemption : ajoutez l'identifiant principal du compte de service Terraform à la liste des exceptions de la règle de refus.

  3. Créez le tableau de bord ou la règle d'alerte que vous souhaitez protéger, puis associez le tag à la ressource.

Terraform

Pour configurer des restrictions à l'aide de Terraform, procédez comme suit :

  1. Installez et configurez Terraform pour votre projet.
  2. Créez la clé et la valeur du tag.
  3. Créez la stratégie de refus IAM.
  4. Créez la règle d'alerte ou le tableau de bord que vous souhaitez protéger. Pour en savoir plus, consultez Créer des règles d'alerte à l'aide de Terraform et Créer des tableaux de bord à l'aide de Terraform.
  5. Associez le tag à la ressource. Pour associer un tag à un tableau de bord ou à une règle d'alerte à l'aide de Terraform, créez une ressource de liaison de tag à l'aide de google_tags_tag_binding.

Par exemple, la configuration Terraform suivante effectue les opérations suivantes :

  • Crée une clé et une valeur de tag.
  • Crée une règle de refus.
  • Crée une règle d'alerte.
  • Associe un tag à la règle d'alerte.

Notez que vous ne pouvez pas créer une ressource et y associer un tag dans la même commande. Vous devez créer la ressource et la liaison de tag séparément.

# Create the tag key.
resource "google_tags_tag_key" "lock_key" {
  parent     = "projects/PROJECT_ID"
  short_name = "edit_restriction"
}

# Create the tag value.
resource "google_tags_tag_value" "restricted_value" {
  parent     = "tagKeys/${google_tags_tag_key.lock_key.name}"
  short_name = "terraform_only"
}

# Define the IAM deny policy.
resource "google_iam_deny_policy" "terraform_lock" {
  parent       = urlencode(
    "cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
  )
  name         = "terraform-exclusive-lock"
  display_name = "Deny modifications except for Terraform service account"

  rules {
    deny_rule {
      denied_principals = ["principalSet://goog/public:all"]

      # Exempt the Terraform service account.
      exception_principals = [
        join("", [
          "principal://iam.googleapis.com/projects/-/",
          "serviceAccounts/TERRAFORM_SERVICE_ACCOUNT_EMAIL"
        ])
      ]

      denied_permissions = [
        "monitoring.googleapis.com/alertPolicies.update",
        "monitoring.googleapis.com/alertPolicies.delete",
        "monitoring.googleapis.com/dashboards.update",
        "monitoring.googleapis.com/dashboards.delete"
      ]

      denial_condition {
        title      = "is_restricted_resource"
        expression = join("", [
          "resource.matchTag(",
          "'PROJECT_ID/edit_restriction', ",
          "'terraform_only')"
        ])
      }
    }
  }
}

# Create the alerting policy.
resource "google_monitoring_alert_policy" "protected_policy" {
  display_name = "Restricted Alert Policy"
  combiner     = "OR"
  conditions {
    display_name = "High CPU"
    condition_threshold {
      filter     = join(" AND ", [
        "metric.type=\"compute.googleapis.com/instance/cpu/utilization\"",
        "resource.type=\"gce_instance\""
      ])
      duration   = "60s"
      comparison = "COMPARISON_GT"
      threshold_value = 0.9
    }
  }
}

# Bind the tag to the alerting policy.
resource "google_tags_tag_binding" "policy_binding" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_alert_policy.protected_policy.name
  ])
  tag_value = google_tags_tag_value.restricted_value.id
}

Configurer l'accès limité à l'équipe

Supposons que vous soyez administrateur d'un projet qui surveille les applications de plusieurs équipes. Vous souhaitez que les membres de l'équipe puissent créer des tableaux de bord et des règles d'alerte, mais qu'ils ne puissent modifier que les ressources de leur propre équipe. Vous ne souhaitez pas accorder aux membres de l'équipe le rôle général d'éditeur Monitoring (roles/monitoring.editor), car il leur permet de modifier toutes les ressources de surveillance du projet.

Cette section explique comment utiliser des tags pour accorder à un membre de l'équipe les autorisations nécessaires pour modifier uniquement les tableaux de bord et les règles d'alerte appartenant à l'équipe.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer des tags et des rôles IAM pour votre projet, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet ou votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Appliquer des tags spécifiques à l'équipe

Console Google Cloud

  1. Créez un tag pour chaque équipe. Créez une clé de tag, puis créez des valeurs de tag pour cette clé. Par exemple, si vous créez une clé de tag nommée owner avec les valeurs team_a et team_b, vous obtenez deux tags : owner:team_a et owner:team_b. Enregistrez l'ID de clé et l'ID de valeur de chaque tag.

  2. Créez un rôle personnalisé nommé "Créateur de règles de tableaux de bord et d'alertes" et ajoutez les autorisations suivantes :

    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create

    Ce rôle vous permet de créer des tableaux de bord et des règles d'alerte, et d'appliquer des tags.

  3. Attribuez les rôles suivants à tous les membres de l'équipe :

    • Créateur de tableaux de bord et de règles d'alerte (rôle personnalisé que vous avez créé)
    • Lecteur Monitoring (roles/monitoring.viewer)
    • Lecteur de tags (roles/resourcemanager.tagViewer)

  4. Pour chaque équipe, accordez aux membres les rôles suivants avec une condition IAM associée :

    • Utilisateur de tags (roles/resourcemanager.tagUser), qui vous permet d'appliquer le tag de votre équipe aux ressources.
    • Éditeur Monitoring (roles/monitoring.editor), qui vous permet de modifier les tableaux de bord et les règles d'alerte associés au tag de votre équipe.

    Ajoutez la condition IAM aux attributions de rôle comme suit :

    • Type de condition : Tag
    • Opérateur : has value ID
    • keyID : KEY_ID
    • valueID : TEAM_VALUE_ID

    Recherchez l'ID de clé et l'ID de valeur de la balise dans Resource Manager. Pour en savoir plus, consultez Accès aux ressources taguées.

  5. Créez le tableau de bord ou la règle d'alerte pour lesquels vous souhaitez restreindre l'accès, puis associez le tag à la ressource.

Terraform

Pour configurer l'accès à l'équipe à l'aide de Terraform, procédez comme suit :

  1. Installez et configurez Terraform pour votre projet.
  2. Créez la clé et la valeur de tag pour chaque équipe.
  3. Créez un rôle personnalisé et ajoutez les autorisations suivantes :
    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create
  4. Attribuez le rôle personnalisé, le rôle Lecteur Monitoring (roles/monitoring.viewer) et le rôle Lecteur de tags (roles/resourcemanager.tagViewer) à tous les membres.
  5. Pour chaque équipe, accordez le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) et le rôle "Éditeur de surveillance" (roles/monitoring.editor) avec une liaison conditionnelle basée sur la valeur du tag de l'équipe.
  6. Créez la règle d'alerte ou le tableau de bord dont vous souhaitez restreindre l'accès. Pour en savoir plus, consultez Créer des tableaux de bord à l'aide de Terraform et Créer des règles d'alerte à l'aide de Terraform.
  7. Associez le tag à la ressource. Pour associer un tag à un tableau de bord ou à une règle d'alerte à l'aide de Terraform, créez une ressource de liaison de tag à l'aide de google_tags_tag_binding.

Par exemple, la configuration Terraform suivante effectue les opérations suivantes :

  • Crée une clé et une valeur de tag.
  • Crée un rôle personnalisé.
  • Applique les liaisons IAM qui accordent les rôles et les autorisations conditionnelles requis.
  • Crée un tableau de bord.
  • Associe un tag au tableau de bord pour établir la propriété de l'équipe.

Notez que vous ne pouvez pas créer une ressource et y associer un tag dans la même commande. Vous devez créer la ressource et la liaison de tag séparément.

# Create the tag key.
resource "google_tags_tag_key" "res_tag_key" {
  parent      = "projects/PROJECT_ID"
  short_name  = "owner"
  description = "Identifies the team that owns the resource"
}

# Create the tag value.
# Note: You must create a tag value resource for each team.
resource "google_tags_tag_value" "team_a_value" {
  parent      = "tagKeys/${google_tags_tag_key.res_tag_key.name}"
  short_name  = "team_a"
  description = "Team A ownership tag value"
}

# Create the custom Creator role.
resource "google_project_iam_custom_role" "creator_role" {
  role_id     = "dashboardAndPolicyCreator"
  title       = "Dashboard and Alerting Policy Creator"
  permissions = [
    "monitoring.alertPolicies.create",
    "monitoring.alertPolicies.createTagBinding",
    "monitoring.dashboards.create",
    "monitoring.dashboards.createTagBinding",
    "resourcemanager.tagValueBindings.create"
  ]
}

# Grant the Custom Creator role to all members.
resource "google_project_iam_binding" "creator_grant" {
  project = "PROJECT_ID"
  role    = join("/", [
    "projects",
    "PROJECT_ID",
    "roles",
    google_project_iam_custom_role.creator_role.role_id
  ])
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Monitoring Viewer role to all members.
resource "google_project_iam_binding" "viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.viewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag Viewer role to all members.
resource "google_project_iam_binding" "tag_viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagViewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag User role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "tag_user_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagUser"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Tag User only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Grant the Monitoring Editor role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "editor_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.editor"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Monitoring Editor only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Create the dashboard.
resource "google_monitoring_dashboard" "example_dashboard" {
  dashboard_json = jsonencode({
    "displayName": "System Health Overview",
    "gridLayout": { "columns": "2", "widgets": [] }
  })
}

# Apply the tag binding to the dashboard to give team A ownership.
resource "google_tags_tag_binding" "dashboard_tag" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_dashboard.example_dashboard.id
  ])
  tag_value = google_tags_tag_value.team_a_value.id
}

Gérer les tags dans les tableaux de bord et les règles d'alerte

Vous pouvez associer, lister et supprimer des tags sur les tableaux de bord et les règles d'alerte à l'aide de la console Google Cloud ou de la CLI gcloud.

Avant de commencer

Pour obtenir les autorisations nécessaires pour gérer les tags sur les ressources Cloud Monitoring, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet ou votre organisation :

  • Lecteur Monitoring (roles/monitoring.viewer)
  • Lecteur de tags (roles/resourcemanager.tagViewer)
  • Un rôle personnalisé avec les autorisations minimales nécessaires pour les opérations de tag dont vous avez besoin et le type de ressource sur lequel vous en avez besoin. Pour en savoir plus, développez la section Autorisations requises.

Pour afficher les autorisations requises pour chaque opération de tag lorsque vous configurez votre rôle personnalisé, développez la section Autorisations requises :

Autorisations requises

Pour chaque opération de tag répertoriée, les autorisations suivantes sont requises :

  • Associez des tags aux tableaux de bord :
    • resourcemanager.tagValueBindings.create
    • monitoring.dashboards.createTagBinding
  • Associez des tags aux règles d'alerte :
    • resourcemanager.tagValueBindings.create
    • monitoring.alertPolicies.createTagBinding
  • Supprimer des tags de tableaux de bord :
    • resourcemanager.tagValueBindings.delete
    • monitoring.dashboards.deleteTagBinding
  • Supprimez les tags des règles d'alerte :
    • resourcemanager.tagValueBindings.delete
    • monitoring.alertPolicies.deleteTagBinding

Associer des tags

Pour associer un tag à un tableau de bord ou à une règle d'alerte, procédez comme suit :

Console Google Cloud

Sélectionnez le type de ressource auquel vous souhaitez associer des tags :

Tableaux de bord

  1. Dans la console Google Cloud , accédez à la page  Tableaux de bord :

    Accéder à la page Tableaux de bord

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez le tableau de bord auquel vous souhaitez associer un tag.
  3. Cliquez sur Balises.
  4. Dans la boîte de dialogue, dans la section Tags directs, recherchez le tag en sélectionnant l'organisation ou le projet dans lequel il a été créé. Par exemple, pour utiliser un tag créé au niveau du projet, sélectionnez Sélectionner le projet actuel comme champ d'application.

    Vous pouvez également rechercher manuellement l'ID du projet, de l'organisation ou du tag en sélectionnant l'option Saisie manuelle.

  5. Sélectionnez la paire clé-valeur appropriée, puis cliquez sur Enregistrer.
  6. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Confirmer pour finaliser vos modifications.

Règles d'alerte

  1. Dans la console Google Cloud , accédez à la page  Règles :

    Accéder à Règles d'alerte

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez la règle d'alerte à laquelle vous souhaitez associer un tag.
  3. Cliquez sur Balises.
  4. Dans la boîte de dialogue, dans la section Tags directs, recherchez le tag en sélectionnant l'organisation ou le projet dans lequel il a été créé. Par exemple, pour utiliser un tag créé au niveau du projet, sélectionnez Sélectionner le projet actuel comme champ d'application.

    Vous pouvez également rechercher manuellement l'ID du projet, de l'organisation ou du tag en sélectionnant l'option Saisie manuelle.

  5. Sélectionnez la paire clé-valeur appropriée, puis cliquez sur Enregistrer.
  6. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Confirmer pour finaliser vos modifications.

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • TAG_VALUE_ID : ID permanent ou nom de l'espace de noms de la valeur de tag. Exemple :tagValues/4567890123 Pour en savoir plus sur les identifiants de tag, consultez Définitions et identifiants de tags.
  • PARENT : nom complet de la ressource parente. Par exemple, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID ou //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Exécutez la commande resource-manager tags bindings create  :

Linux, macOS ou Cloud Shell

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings create `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings create ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT

Vous devriez obtenir un résultat semblable à celui-ci :

'@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding
name: tagBindings/%2F%2Fmonitoring.googleapis.com%2Fprojects%2F1234567890%2FalertPolicies%2F0987654321/tagValues/1029384756
parent: //monitoring.googleapis.com/projects/1234567890/alertPolicies/0987654321
tagValue: tagValues/1029384756
tagValueNamespacedName: my-project/owner/team_a

Afficher les tags

Pour afficher les tags associés à un tableau de bord ou à une règle d'alerte, procédez comme suit :

Console Google Cloud

Sélectionnez le type de ressource pour lequel vous souhaitez afficher les tags :

Tableaux de bord

  1. Dans la console Google Cloud , accédez à la page  Tableaux de bord :

    Accéder à la page Tableaux de bord

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez le tableau de bord pour lequel vous souhaitez afficher les tags.
  3. Cliquez sur Balises. Une boîte de dialogue s'ouvre et liste tous les tags associés.

Règles d'alerte

  1. Dans la console Google Cloud , accédez à la page  Règles :

    Accéder à Règles d'alerte

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez la règle d'alerte pour laquelle vous souhaitez afficher les tags.
  3. Cliquez sur Balises. Une boîte de dialogue s'ouvre et liste tous les tags associés.

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • PARENT : nom complet de la ressource parente. Par exemple, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID ou //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Exécutez la commande resource-manager tags bindings list  :

Linux, macOS ou Cloud Shell

gcloud resource-manager tags bindings list \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings list `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings list ^
    --parent=PARENT

Pour afficher les tags hérités par la ressource, ajoutez l'option --effective. L'ajout de cet indicateur renvoie une réponse semblable à la suivante :

  namespacedTagKey: my-project/owner
  namespacedTagValue: my-project/owner/team_a
  tagKey: tagKeys/5647382910
  tagValue: tagValues/1029384756
  inherited: true

Si tous les tags sont explicitement associés à la ressource et qu'aucun tag n'est hérité, le champ inherited est omis.

Supprimer des tags d'une ressource

Pour supprimer un tag associé à un tableau de bord ou à une règle d'alerte, vous devez supprimer la liaison de tag. La suppression d'un tag d'une ressource n'entraîne pas la suppression du tag. Pour savoir comment supprimer un tag, consultez Supprimer des tags.

Console Google Cloud

Sélectionnez le type de ressource dont vous souhaitez supprimer les tags :

Tableaux de bord

  1. Dans la console Google Cloud , accédez à la page  Tableaux de bord :

    Accéder à la page Tableaux de bord

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez le tableau de bord dont vous souhaitez supprimer un tag.
  3. Cliquez sur Balises.
  4. Dans la boîte de dialogue, pointez sur le tag à supprimer, puis cliquez sur Supprimer l'élément. Cliquez sur Enregistrer pour enregistrer vos modifications.
  5. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Confirmer pour finaliser vos modifications.

Règles d'alerte

  1. Dans la console Google Cloud , accédez à la page  Règles :

    Accéder à Règles d'alerte

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Sélectionnez la règle d'alerte dont vous souhaitez supprimer un tag.
  3. Cliquez sur Balises.
  4. Dans la boîte de dialogue, pointez sur le tag à supprimer, puis cliquez sur Supprimer l'élément. Cliquez sur Enregistrer pour enregistrer vos modifications.
  5. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Confirmer pour finaliser vos modifications.

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • TAG_VALUE_ID : ID permanent ou nom de l'espace de noms de la valeur de tag. Exemple :tagValues/4567890123 Pour en savoir plus sur les identifiants de tag, consultez Définitions et identifiants de tags.
  • PARENT : nom complet de la ressource parente. Par exemple, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID ou //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Exécutez la commande resource-manager tags bindings delete  :

Linux, macOS ou Cloud Shell

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings delete `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings delete ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT
 La réponse est vide.

Limites

Vous ne pouvez pas filtrer les tableaux de bord ni les règles d'alerte par tags associés. Si vous souhaitez répertorier les ressources associées à un tag spécifique, nous vous recommandons d'ajouter un libellé avec le tag et de filtrer par libellé. Pour savoir comment ajouter des libellés, consultez Annoter des alertes avec des libellés et Ajouter ou supprimer des libellés dans des tableaux de bord.