שימוש בתגים כדי לשלוט בגישה למשאבים

במאמר הזה מוסבר איך משתמשים בתגים כדי לשלוט בגישה ללוחות הבקרה ולכללי ההתראות ב-Cloud Monitoring. תגים הם צמדי מפתח/ערך שאתם יוצרים ומצרפים למשאבים. באמצעות שילוב של תגים עם תנאים של ניהול זהויות והרשאות גישה (IAM) או עם כללי מדיניות הדחייה, אתם יכולים להגביל את האפשרות לערוך או למחוק לוחות בקרה ומדיניות התראות ספציפיים.

דפוסי בקרת גישה

אפשר להטמיע בקרת גישה ללוחות בקרה ולכללי מדיניות להתראות באמצעות אחד מהדפוסים הבאים:

  • שליטה בגישה למשאבים שמנוהלים על ידי Terraform: שימוש בתגים ובמדיניות של IAM לביטול הרשאות, כך שרק Terraform יוכל לערוך משאבים מתויגים. משאבים שמנוהלים על ידי Terraform מוגנים מפני שינויים ידניים ולא מאושרים ב Google Cloud מסוף או דרך לקוחות אחרים.

  • שליטה בגישה למשאבים שמנוהלים על ידי הצוות: כדי להבטיח שרק חברי צוות מסוים יוכלו לערוך או למחוק לוחות בקרה ומדיניות התראות שמנוהלים על ידי הצוות, אפשר להשתמש בתגיות לכל צוות ובהקצאות תפקידי IAM מותנות.

הגנה על משאבים שמנוהלים על ידי Terraform

בקטע הזה מוסבר איך להשתמש בתגים ובמדיניות דחייה של IAM כדי שרק חשבון שירות שהוגדר לשימוש ב-Terraform יוכל לערוך או למחוק לוחות בקרה ומדיניות התראות שתויגו.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות להגדרת תגים וכללי מדיניות של דחייה ב-IAM בפרויקט, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט או בארגון:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הגנה על משאבים באמצעות מדיניות דחייה

מסוף Google Cloud

  1. יוצרים תג שמציין שהמשאב מנוהל על ידי Terraform. לדוגמה, יוצרים מפתח תג edit_restriction עם ערך תג terraform_only.

  2. יוצרים מדיניות דחייה ב-IAM שדוחה את הרשאות העדכון והמחיקה לכל חשבונות המשתמשים, למעט חשבון השירות של Terraform, כשהמשאב כולל את התג edit_restriction:terraform_only.

    כללי מדיניות הדחייה חייבים לכלול את ההגדרות הבאות:

    • הרשאות שאפשר לסרב להן:
      • monitoring.dashboards.update
      • monitoring.dashboards.delete
      • monitoring.alertPolicies.update
      • monitoring.alertPolicies.delete
    • תנאי: למשאב צריך להיות התג edit_restriction:terraform_only.
    • Exemption: מוסיפים את מזהה החשבון הראשי של חשבון השירות של Terraform לרשימת ההחרגות של כלל הדחייה.

  3. יוצרים את לוח הבקרה או את מדיניות ההתראות שרוצים להגן עליהם, ואז מצרפים את התג למשאב.

Terraform

כדי להגדיר הגבלות באמצעות Terraform:

  1. מתקינים ומגדירים את Terraform לפרויקט.
  2. יוצרים את מפתח התג ואת ערך התג.
  3. יוצרים את מדיניות הדחייה ב-IAM.
  4. יוצרים את מדיניות ההתראות או את מרכז הבקרה שרוצים להגן עליהם. מידע נוסף מופיע במאמרים יצירת מדיניות התראות באמצעות Terraform ויצירת לוחות בקרה באמצעות Terraform.
  5. מקשרים את התג למשאב. כדי לצרף תג למרכז בקרה או למדיניות התראות באמצעות Terraform, צריך ליצור משאב של שיוך תג באמצעות google_tags_tag_binding.

לדוגמה, הגדרות Terraform הבאות מבצעות את הפעולות הבאות:

  • יוצרת מפתח וערך של תג.
  • יצירת מדיניות דחייה.
  • יצירת מדיניות התראות.
  • קישור תג למדיניות ההתראות.

שימו לב: אי אפשר ליצור משאב ולקשר אליו תג באותה פקודה. צריך ליצור את המשאב ואת קישור התג בנפרד.

# Create the tag key.
resource "google_tags_tag_key" "lock_key" {
  parent     = "projects/PROJECT_ID"
  short_name = "edit_restriction"
}

# Create the tag value.
resource "google_tags_tag_value" "restricted_value" {
  parent     = "tagKeys/${google_tags_tag_key.lock_key.name}"
  short_name = "terraform_only"
}

# Define the IAM deny policy.
resource "google_iam_deny_policy" "terraform_lock" {
  parent       = urlencode(
    "cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
  )
  name         = "terraform-exclusive-lock"
  display_name = "Deny modifications except for Terraform service account"

  rules {
    deny_rule {
      denied_principals = ["principalSet://goog/public:all"]

      # Exempt the Terraform service account.
      exception_principals = [
        join("", [
          "principal://iam.googleapis.com/projects/-/",
          "serviceAccounts/TERRAFORM_SERVICE_ACCOUNT_EMAIL"
        ])
      ]

      denied_permissions = [
        "monitoring.googleapis.com/alertPolicies.update",
        "monitoring.googleapis.com/alertPolicies.delete",
        "monitoring.googleapis.com/dashboards.update",
        "monitoring.googleapis.com/dashboards.delete"
      ]

      denial_condition {
        title      = "is_restricted_resource"
        expression = join("", [
          "resource.matchTag(",
          "'PROJECT_ID/edit_restriction', ",
          "'terraform_only')"
        ])
      }
    }
  }
}

# Create the alerting policy.
resource "google_monitoring_alert_policy" "protected_policy" {
  display_name = "Restricted Alert Policy"
  combiner     = "OR"
  conditions {
    display_name = "High CPU"
    condition_threshold {
      filter     = join(" AND ", [
        "metric.type=\"compute.googleapis.com/instance/cpu/utilization\"",
        "resource.type=\"gce_instance\""
      ])
      duration   = "60s"
      comparison = "COMPARISON_GT"
      threshold_value = 0.9
    }
  }
}

# Bind the tag to the alerting policy.
resource "google_tags_tag_binding" "policy_binding" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_alert_policy.protected_policy.name
  ])
  tag_value = google_tags_tag_value.restricted_value.id
}

הגדרת גישה בהיקף הצוות

נניח שאתם אדמינים של פרויקט שעוקב אחרי בקשות של כמה צוותים. אתם רוצים שחברי הצוות יוכלו ליצור מרכזי בקרה וכללי מדיניות להתראות, אבל לערוך רק את המשאבים של הצוות שלהם. לא כדאי להעניק לחברי הצוות את התפקיד הרחב 'עריכת ניטור' (roles/monitoring.editor), כי התפקיד הזה מעניק הרשאה לערוך את כל משאבי הניטור בפרויקט.

בקטע הזה מוסבר איך אפשר להשתמש בתגים כדי להעניק לחברי צוות את ההרשאות שנדרשות לעריכה רק של לוחות בקרה ומדיניות התראות שנמצאים בבעלות הצוות.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות להגדרת תגים ותפקידי IAM בפרויקט, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט או בארגון:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הוספת תגים ספציפיים לצוות

מסוף Google Cloud

  1. יוצרים תג לכל צוות. יוצרים מפתח תג חדש, ואז יוצרים ערכי תג למפתח הזה. לדוגמה, אם יוצרים מפתח תג בשם owner עם הערכים team_a ו-team_b, מקבלים שני תגים: owner:team_a ו-owner:team_b. צריך לתעד את מזהה מפתח התג ואת מזהה הערך של כל תג.

  2. יוצרים תפקיד בהתאמה אישית בשם Dashboard and Alerting Policy Creator (יוצר לוחות בקרה ומדיניות התראות) ומוסיפים את ההרשאות הבאות:

    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create

    התפקיד הזה מאפשר ליצור מרכזי בקרה וכללי מדיניות התראות ולהחיל תגים.

  3. מקצים את התפקידים הבאים לכל חברי הצוות:

    • מרכז הבקרה וכלי ליצירת מדיניות התראות (התפקיד בהתאמה אישית שיצרתם)
    • משתמש עם הרשאת צפייה (roles/monitoring.viewer)
    • הצגת תגים (roles/resourcemanager.tagViewer)

  4. לכל צוות, מקצים לחברי הצוות את התפקידים הבאים עם תנאי IAM מצורף:

    • Tag User (roles/resourcemanager.tagUser), שמאפשר להחיל את התג של הצוות על משאבים.
    • עורך המעקב (roles/monitoring.editor), שמאפשר לערוך לוחות בקרה ומדיניות התראות שכוללים את התג של הצוות.

    מוסיפים את תנאי ה-IAM להרשאות התפקיד באופן הבא:

    • סוג התנאי: Tag
    • אופרטור: has value ID
    • keyID: KEY_ID
    • valueID: TEAM_VALUE_ID

    מוצאים את מזהה מפתח התג ואת מזהה הערך ב-מנהל המשאבים. מידע נוסף זמין במאמר גישה למשאבים עם תגים.

  5. יוצרים את מרכז הבקרה או את מדיניות ההתראות שרוצים להגביל את הגישה אליהם, ואז מצרפים את התג למשאב.

Terraform

כדי להגדיר גישה בהיקף צוות באמצעות Terraform:

  1. מתקינים ומגדירים את Terraform לפרויקט.
  2. יוצרים את מפתח התג ואת ערך התג לכל צוות.
  3. יוצרים תפקיד בהתאמה אישית ומוסיפים את ההרשאות הבאות:
    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create
  4. מקצים לכל החברים את התפקיד המותאם אישית, את התפקיד 'צפייה ב-Monitoring' (roles/monitoring.viewer) ואת התפקיד 'צפייה בתגים' (roles/resourcemanager.tagViewer).
  5. לכל צוות, מעניקים את התפקיד Tag User (משתמש בתג) (roles/resourcemanager.tagUser) ואת התפקיד Monitoring Editor (עורך מעקב) (roles/monitoring.editor) עם קישור מותנה שמבוסס על ערך התג של הצוות.
  6. יוצרים את מדיניות ההתראות או את מרכז הבקרה שרוצים להגביל את הגישה אליהם. פרטים נוספים זמינים במאמרים יצירת מרכזי בקרה באמצעות Terraform ויצירת מדיניות התראות באמצעות Terraform.
  7. מקשרים את התג למשאב. כדי לצרף תג למרכז בקרה או למדיניות התראות באמצעות Terraform, צריך ליצור משאב של שיוך תג באמצעות google_tags_tag_binding.

לדוגמה, הגדרות Terraform הבאות מבצעות את הפעולות הבאות:

  • יוצרת מפתח וערך של תג.
  • יוצר תפקיד בהתאמה אישית.
  • הפעלת קישורי IAM שמעניקים תפקידים נדרשים והרשאות מותנות.
  • יצירת לוח בקרה.
  • קושרים תג למרכז הבקרה כדי לקבוע בעלות על הצוות.

שימו לב: אי אפשר ליצור משאב ולקשר אליו תג באותה פקודה. צריך ליצור את המשאב ואת קישור התג בנפרד.

# Create the tag key.
resource "google_tags_tag_key" "res_tag_key" {
  parent      = "projects/PROJECT_ID"
  short_name  = "owner"
  description = "Identifies the team that owns the resource"
}

# Create the tag value.
# Note: You must create a tag value resource for each team.
resource "google_tags_tag_value" "team_a_value" {
  parent      = "tagKeys/${google_tags_tag_key.res_tag_key.name}"
  short_name  = "team_a"
  description = "Team A ownership tag value"
}

# Create the custom Creator role.
resource "google_project_iam_custom_role" "creator_role" {
  role_id     = "dashboardAndPolicyCreator"
  title       = "Dashboard and Alerting Policy Creator"
  permissions = [
    "monitoring.alertPolicies.create",
    "monitoring.alertPolicies.createTagBinding",
    "monitoring.dashboards.create",
    "monitoring.dashboards.createTagBinding",
    "resourcemanager.tagValueBindings.create"
  ]
}

# Grant the Custom Creator role to all members.
resource "google_project_iam_binding" "creator_grant" {
  project = "PROJECT_ID"
  role    = join("/", [
    "projects",
    "PROJECT_ID",
    "roles",
    google_project_iam_custom_role.creator_role.role_id
  ])
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Monitoring Viewer role to all members.
resource "google_project_iam_binding" "viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.viewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag Viewer role to all members.
resource "google_project_iam_binding" "tag_viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagViewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag User role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "tag_user_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagUser"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Tag User only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Grant the Monitoring Editor role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "editor_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.editor"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Monitoring Editor only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Create the dashboard.
resource "google_monitoring_dashboard" "example_dashboard" {
  dashboard_json = jsonencode({
    "displayName": "System Health Overview",
    "gridLayout": { "columns": "2", "widgets": [] }
  })
}

# Apply the tag binding to the dashboard to give team A ownership.
resource "google_tags_tag_binding" "dashboard_tag" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_dashboard.example_dashboard.id
  ])
  tag_value = google_tags_tag_value.team_a_value.id
}

ניהול תגים בלוחות בקרה ובכללי מדיניות התראות

אתם יכולים לצרף, להציג ברשימה ולהסיר תגים בלוחות בקרה ובמדיניות התראות באמצעות מסוף Google Cloud או CLI של gcloud.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לניהול תגים במשאבי Cloud Monitoring, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט או בארגון:

  • צפייה ב-Monitoring (roles/monitoring.viewer)
  • Tag Viewer (roles/resourcemanager.tagViewer)
  • תפקיד מותאם אישית עם ההרשאות המינימליות שנדרשות לפעולות התגים שאתם צריכים ולסוג המשאב שבו אתם צריכים אותן. מידע נוסף זמין בקטע ההרשאות הנדרשות.

כדי לראות את ההרשאות שנדרשות לכל פעולה בתג כשמגדירים תפקיד בהתאמה אישית, מרחיבים את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

לכל פעולת תג שמופיעה ברשימה, נדרשות ההרשאות הבאות:

  • צירוף תגים ללוחות בקרה:
    • resourcemanager.tagValueBindings.create
    • monitoring.dashboards.createTagBinding
  • צירוף תגים לכללי מדיניות התראות:
    • resourcemanager.tagValueBindings.create
    • monitoring.alertPolicies.createTagBinding
  • הסרת תגים ממרכזי בקרה:
    • resourcemanager.tagValueBindings.delete
    • monitoring.dashboards.deleteTagBinding
  • הסרת תגים ממדיניות התראות:
    • resourcemanager.tagValueBindings.delete
    • monitoring.alertPolicies.deleteTagBinding

צירוף תגים

כדי לצרף תג למרכז בקרה או למדיניות התראות, מבצעים את הפעולות הבאות:

מסוף Google Cloud

בוחרים את סוג המשאב שרוצים לצרף אליו תגים:

מרכזי שליטה

  1. במסוף Google Cloud , עוברים לדף  Dashboards:

    עוברים אל מרכזי בקרה.

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את לוח הבקרה שאליו רוצים לצרף תג.
  3. לוחצים על תגים.
  4. בתיבת הדו-שיח, בקטע Direct tags (תגים ישירים), בוחרים את הארגון או הפרויקט שבהם נוצר התג כדי למצוא אותו. לדוגמה, כדי להשתמש בתג שנוצר ברמת הפרויקט, בוחרים באפשרות בחירת הפרויקט הנוכחי כהיקף.

    אפשר גם לחפש באופן ידני את הפרויקט, הארגון או מזהה התג על ידי בחירה באפשרות הזנה ידנית.

  5. בוחרים את צמד המפתח/הערך המתאים ולוחצים על שמירה.
  6. תופיע תיבת דו-שיח לאישור השינויים. לוחצים על אישור כדי לשמור את השינויים.

כללי מדיניות התראות

  1. נכנסים לדף  Policies במסוף Google Cloud :

    כניסה אל מדיניות ההתראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את מדיניות ההתראות שאליה רוצים לצרף תג.
  3. לוחצים על תגים.
  4. בתיבת הדו-שיח, בקטע Direct tags (תגים ישירים), בוחרים את הארגון או הפרויקט שבהם נוצר התג כדי למצוא אותו. לדוגמה, כדי להשתמש בתג שנוצר ברמת הפרויקט, בוחרים באפשרות בחירת הפרויקט הנוכחי כהיקף.

    אפשר גם לחפש באופן ידני את הפרויקט, הארגון או מזהה התג על ידי בחירה באפשרות הזנה ידנית.

  5. בוחרים את צמד המפתח/הערך המתאים ולוחצים על שמירה.
  6. תופיע תיבת דו-שיח לאישור השינויים. לוחצים על אישור כדי לשמור את השינויים.

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • TAG_VALUE_ID: המזהה הקבוע או השם ממרחב השמות של ערך התג. לדוגמה, tagValues/4567890123. מידע נוסף על מזהי תגים זמין במאמר הגדרות ומזהים של תגים.
  • PARENT: השם המלא של משאב האב. לדוגמה, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID או //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

מריצים את הפקודה resource-manager tags bindings create:

‫Linux,‏ macOS או Cloud Shell

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

‏Windows (PowerShell)

gcloud resource-manager tags bindings create `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows‏ (cmd.exe)

gcloud resource-manager tags bindings create ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT

אמורים לקבל תגובה שדומה לזו:

'@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding
name: tagBindings/%2F%2Fmonitoring.googleapis.com%2Fprojects%2F1234567890%2FalertPolicies%2F0987654321/tagValues/1029384756
parent: //monitoring.googleapis.com/projects/1234567890/alertPolicies/0987654321
tagValue: tagValues/1029384756
tagValueNamespacedName: my-project/owner/team_a

הצגת תגים

כדי לראות את התגים שמצורפים למרכז בקרה או למדיניות התראות:

מסוף Google Cloud

בוחרים את סוג המשאב שרוצים לראות את התגים שלו:

מרכזי שליטה

  1. במסוף Google Cloud , עוברים לדף  Dashboards:

    עוברים אל מרכזי בקרה.

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את לוח הבקרה שרוצים לראות את התגים שלו.
  3. לוחצים על תגים. תיפתח תיבת דו-שיח עם רשימה של כל התגים המצורפים.

כללי מדיניות התראות

  1. נכנסים לדף  Policies במסוף Google Cloud :

    כניסה אל מדיניות ההתראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את מדיניות ההתראות שרוצים לראות את התגים שלה.
  3. לוחצים על תגים. תיפתח תיבת דו-שיח עם רשימה של כל התגים המצורפים.

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • PARENT: השם המלא של משאב האב. לדוגמה, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID או //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

מריצים את הפקודה resource-manager tags bindings list:

‫Linux,‏ macOS או Cloud Shell

gcloud resource-manager tags bindings list \
    --parent=PARENT

‏Windows (PowerShell)

gcloud resource-manager tags bindings list `
    --parent=PARENT

Windows‏ (cmd.exe)

gcloud resource-manager tags bindings list ^
    --parent=PARENT

כדי לראות את התגים שהמשאב ירש, מוסיפים את הדגל --effective. הוספת הדגל הזה מחזירה תגובה שדומה לזו:

  namespacedTagKey: my-project/owner
  namespacedTagValue: my-project/owner/team_a
  tagKey: tagKeys/5647382910
  tagValue: tagValues/1029384756
  inherited: true

אם כל התגים מצורפים באופן מפורש למשאב ולא מתבצעת ירושה של תגים, השדה inherited מושמט.

הסרת תגים ממשאב

כדי להסיר תג שמצורף ללוח בקרה או למדיניות התראות, צריך למחוק את קישור התג. הסרת תג ממשאב לא מוחקת את התג. הוראות למחיקת תג מופיעות במאמר מחיקת תגים.

מסוף Google Cloud

בוחרים את סוג המשאב שממנו רוצים להסיר תגים:

מרכזי שליטה

  1. במסוף Google Cloud , עוברים לדף  Dashboards:

    עוברים אל מרכזי בקרה.

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את לוח הבקרה שממנו רוצים להסיר תג.
  3. לוחצים על תגים.
  4. בתיבת הדו-שיח, מעבירים את הסמן מעל התג שרוצים להסיר ולוחצים על מחיקת הפריט. לוחצים על שמירה כדי לשמור את השינויים.
  5. תופיע תיבת דו-שיח לאישור השינויים. לוחצים על אישור כדי לשמור את השינויים.

כללי מדיניות התראות

  1. נכנסים לדף  Policies במסוף Google Cloud :

    כניסה אל מדיניות ההתראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בוחרים את מדיניות ההתראות שממנה רוצים להסיר תג.
  3. לוחצים על תגים.
  4. בתיבת הדו-שיח, מעבירים את הסמן מעל התג שרוצים להסיר ולוחצים על מחיקת הפריט. לוחצים על שמירה כדי לשמור את השינויים.
  5. תופיע תיבת דו-שיח לאישור השינויים. לוחצים על אישור כדי לשמור את השינויים.

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • TAG_VALUE_ID: המזהה הקבוע או השם ממרחב השמות של ערך התג. לדוגמה, tagValues/4567890123. מידע נוסף על מזהי תגים זמין במאמר הגדרות ומזהים של תגים.
  • PARENT: השם המלא של משאב האב. לדוגמה, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID או //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

מריצים את הפקודה resource-manager tags bindings delete:

‫Linux,‏ macOS או Cloud Shell

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

‏Windows (PowerShell)

gcloud resource-manager tags bindings delete `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows‏ (cmd.exe)

gcloud resource-manager tags bindings delete ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT
 התשובה ריקה.

מגבלות

אי אפשר לסנן לוחות בקרה או מדיניות התראות לפי תגיות מצורפות. אם רוצים לראות רשימה של משאבים שמצורף אליהם תג ספציפי, מומלץ לצרף תווית לתג ולסנן לפי התווית. מידע על הוספת תוויות זמין במאמרים הוספת תוויות להתראות והוספה או הסרה של תוויות ממרכזי בקרה.