Menggunakan Tag untuk mengontrol akses ke resource

Dokumen ini menjelaskan cara menggunakan Tag untuk mengontrol akses ke dasbor Cloud Monitoring dan kebijakan pemberitahuan Anda. Tag adalah key-value pair yang Anda buat dan lampirkan ke resource. Dengan menggabungkan tag dengan kondisi Identity and Access Management (IAM) atau kebijakan penolakan, Anda dapat membatasi siapa yang dapat mengedit atau menghapus dasbor dan kebijakan pemberitahuan tertentu.

Pola kontrol akses

Anda dapat menerapkan kontrol akses untuk dasbor dan kebijakan pemberitahuan menggunakan salah satu pola berikut:

  • Mengontrol akses ke resource yang dikelola Terraform: Gunakan tag dan kebijakan penolakan IAM agar resource yang diberi tag hanya dapat diedit oleh Terraform. Resource yang dikelola Terraform dilindungi dari perubahan manual yang tidak disetujui di Google Cloud konsol atau melalui klien lain.

  • Mengontrol akses ke resource yang dikelola tim: Gunakan tag per tim dan pemberian peran IAM bersyarat untuk memastikan bahwa hanya anggota tim tertentu yang dapat mengedit atau menghapus dasbor dan kebijakan pemberitahuan yang dikelola tim.

Melindungi resource yang dikelola Terraform

Bagian ini menjelaskan cara menggunakan tag dan kebijakan penolakan IAM sehingga dasbor dan kebijakan pemberitahuan yang diberi tag hanya dapat diedit atau dihapus menggunakan akun layanan yang dikonfigurasi untuk menggunakan Terraform.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi tag dan kebijakan penolakan IAM untuk project Anda, minta administrator Anda untuk memberi Anda peran IAM berikut pada project atau organisasi Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Melindungi resource menggunakan kebijakan penolakan

Konsol Google Cloud

  1. Buat tag yang menunjukkan bahwa resource dikelola oleh Terraform. Misalnya, buat kunci tag edit_restriction dengan nilai tag terraform_only.

  2. Buat kebijakan penolakan IAM yang menolak izin update dan hapus untuk semua principal, kecuali akun layanan Terraform Anda, saat resource memiliki tag edit_restriction:terraform_only.

    Kebijakan penolakan harus berisi konfigurasi berikut:

    • Izin yang akan ditolak:
      • monitoring.dashboards.update
      • monitoring.dashboards.delete
      • monitoring.alertPolicies.update
      • monitoring.alertPolicies.delete
    • Kondisi: Resource harus memiliki tag edit_restriction:terraform_only.
    • Pengecualian: Tambahkan ID akun utama untuk akun layanan Terraform ke daftar pengecualian aturan penolakan.

  3. Buat dasbor atau kebijakan pemberitahuan yang ingin Anda lindungi, lalu lampirkan tag ke resource.

Terraform

Untuk mengonfigurasi batasan menggunakan Terraform, lakukan hal berikut:

  1. Instal dan konfigurasi Terraform untuk project Anda.
  2. Buat kunci tag dan nilai tag.
  3. Buat kebijakan penolakan IAM.
  4. Buat kebijakan pemberitahuan atau dasbor yang ingin Anda lindungi. Untuk mengetahui detailnya, lihat Membuat kebijakan pemberitahuan menggunakan Terraform dan Membuat dasbor menggunakan Terraform.
  5. Ikat tag ke resource. Untuk melampirkan tag ke dasbor atau kebijakan pemberitahuan menggunakan Terraform, buat resource binding tag menggunakan google_tags_tag_binding.

Misalnya, konfigurasi Terraform berikut melakukan hal berikut:

  • Membuat kunci dan nilai tag.
  • Membuat kebijakan penolakan.
  • Membuat kebijakan pemberitahuan.
  • Mengikat tag ke kebijakan pemberitahuan.

Perhatikan bahwa Anda tidak dapat membuat resource dan mengikat tag ke resource tersebut dalam perintah yang sama; Anda harus membuat resource dan binding tag secara terpisah.

# Create the tag key.
resource "google_tags_tag_key" "lock_key" {
  parent     = "projects/PROJECT_ID"
  short_name = "edit_restriction"
}

# Create the tag value.
resource "google_tags_tag_value" "restricted_value" {
  parent     = "tagKeys/${google_tags_tag_key.lock_key.name}"
  short_name = "terraform_only"
}

# Define the IAM deny policy.
resource "google_iam_deny_policy" "terraform_lock" {
  parent       = urlencode(
    "cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
  )
  name         = "terraform-exclusive-lock"
  display_name = "Deny modifications except for Terraform service account"

  rules {
    deny_rule {
      denied_principals = ["principalSet://goog/public:all"]

      # Exempt the Terraform service account.
      exception_principals = [
        join("", [
          "principal://iam.googleapis.com/projects/-/",
          "serviceAccounts/TERRAFORM_SERVICE_ACCOUNT_EMAIL"
        ])
      ]

      denied_permissions = [
        "monitoring.googleapis.com/alertPolicies.update",
        "monitoring.googleapis.com/alertPolicies.delete",
        "monitoring.googleapis.com/dashboards.update",
        "monitoring.googleapis.com/dashboards.delete"
      ]

      denial_condition {
        title      = "is_restricted_resource"
        expression = join("", [
          "resource.matchTag(",
          "'PROJECT_ID/edit_restriction', ",
          "'terraform_only')"
        ])
      }
    }
  }
}

# Create the alerting policy.
resource "google_monitoring_alert_policy" "protected_policy" {
  display_name = "Restricted Alert Policy"
  combiner     = "OR"
  conditions {
    display_name = "High CPU"
    condition_threshold {
      filter     = join(" AND ", [
        "metric.type=\"compute.googleapis.com/instance/cpu/utilization\"",
        "resource.type=\"gce_instance\""
      ])
      duration   = "60s"
      comparison = "COMPARISON_GT"
      threshold_value = 0.9
    }
  }
}

# Bind the tag to the alerting policy.
resource "google_tags_tag_binding" "policy_binding" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_alert_policy.protected_policy.name
  ])
  tag_value = google_tags_tag_value.restricted_value.id
}

Mengonfigurasi akses yang dicakup tim

Misalkan Anda adalah administrator untuk proyek yang memantau aplikasi untuk beberapa tim. Anda ingin anggota tim dapat membuat dasbor dan kebijakan pemberitahuan, tetapi hanya mengedit resource tim mereka sendiri. Anda tidak ingin memberikan peran Monitoring Editor yang luas kepada anggota tim (roles/monitoring.editor) karena peran tersebut memberikan izin untuk mengedit semua resource pemantauan dalam project.

Bagian ini menggambarkan cara Anda dapat menggunakan tag untuk memberi anggota tim izin yang diperlukan untuk mengedit hanya dasbor dan kebijakan pemberitahuan milik tim.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi tag dan peran IAM untuk project Anda, minta administrator untuk memberi Anda peran IAM berikut di project atau organisasi Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menerapkan tag khusus tim

Konsol Google Cloud

  1. Buat tag untuk setiap tim. Buat kunci tag baru, lalu buat nilai tag untuk kunci tersebut. Misalnya, jika Anda membuat kunci tag bernama owner dengan nilai team_a dan team_b, Anda akan mendapatkan dua tag: owner:team_a dan owner:team_b. Mencatat ID kunci tag dan ID nilai untuk setiap tag.

  2. Buat peran khusus bernama "Dashboard and Alerting Policy Creator" dan tambahkan izin berikut:

    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create

    Peran ini memungkinkan Anda membuat dasbor dan kebijakan pemberitahuan serta menerapkan tag.

  3. Berikan peran berikut kepada semua anggota tim:

    • Pembuat Dasbor dan Kebijakan Pemberitahuan (peran khusus yang Anda buat)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Tag Viewer (roles/resourcemanager.tagViewer)

  4. Untuk setiap tim, berikan peran berikut kepada anggota tim dengan Kondisi IAM yang dilampirkan:

    • Tag User (roles/resourcemanager.tagUser), yang memungkinkan Anda menerapkan tag tim Anda ke resource.
    • Editor Monitoring (roles/monitoring.editor), yang memungkinkan Anda mengedit dasbor dan kebijakan pemberitahuan yang memiliki tag tim Anda.

    Tambahkan Kondisi IAM ke pemberian peran sebagai berikut:

    • Jenis Kondisi: Tag
    • Operator: has value ID
    • keyID: KEY_ID
    • valueID: TEAM_VALUE_ID

    Temukan ID kunci tag dan ID nilai di Resource Manager. Untuk mengetahui informasi selengkapnya, lihat Akses ke resource yang diberi tag.

  5. Buat dasbor atau kebijakan pemberitahuan yang aksesnya ingin Anda batasi, lalu lampirkan tag ke resource.

Terraform

Untuk mengonfigurasi akses yang tercakup dalam tim menggunakan Terraform, lakukan hal berikut:

  1. Instal dan konfigurasi Terraform untuk project Anda.
  2. Buat kunci tag dan nilai tag untuk setiap tim.
  3. Buat peran khusus dan tambahkan izin berikut:
    • monitoring.alertPolicies.create
    • monitoring.alertPolicies.createTagBinding
    • monitoring.dashboards.create
    • monitoring.dashboards.createTagBinding
    • resourcemanager.tagValueBindings.create
  4. Berikan peran kustom, peran Monitoring Viewer (roles/monitoring.viewer), dan peran Tag Viewer (roles/resourcemanager.tagViewer) kepada semua anggota.
  5. Untuk setiap tim, berikan peran Tag User (roles/resourcemanager.tagUser) dan peran Editor Pemantauan (roles/monitoring.editor) dengan binding bersyarat berdasarkan nilai tag tim.
  6. Buat kebijakan pemberitahuan atau dasbor yang aksesnya ingin Anda batasi. Untuk mengetahui detailnya, lihat Membuat dasbor menggunakan Terraform dan Membuat kebijakan pemberitahuan menggunakan Terraform.
  7. Ikat tag ke resource. Untuk melampirkan tag ke dasbor atau kebijakan pemberitahuan menggunakan Terraform, buat resource binding tag menggunakan google_tags_tag_binding.

Misalnya, konfigurasi Terraform berikut melakukan hal berikut:

  • Membuat kunci dan nilai tag.
  • Membuat peran khusus.
  • Menerapkan binding IAM yang memberikan peran dan izin bersyarat yang diperlukan.
  • Membuat dasbor.
  • Mengikat tag ke dasbor untuk menetapkan kepemilikan tim.

Perhatikan bahwa Anda tidak dapat membuat resource dan mengikat tag ke resource tersebut dalam perintah yang sama; Anda harus membuat resource dan binding tag secara terpisah.

# Create the tag key.
resource "google_tags_tag_key" "res_tag_key" {
  parent      = "projects/PROJECT_ID"
  short_name  = "owner"
  description = "Identifies the team that owns the resource"
}

# Create the tag value.
# Note: You must create a tag value resource for each team.
resource "google_tags_tag_value" "team_a_value" {
  parent      = "tagKeys/${google_tags_tag_key.res_tag_key.name}"
  short_name  = "team_a"
  description = "Team A ownership tag value"
}

# Create the custom Creator role.
resource "google_project_iam_custom_role" "creator_role" {
  role_id     = "dashboardAndPolicyCreator"
  title       = "Dashboard and Alerting Policy Creator"
  permissions = [
    "monitoring.alertPolicies.create",
    "monitoring.alertPolicies.createTagBinding",
    "monitoring.dashboards.create",
    "monitoring.dashboards.createTagBinding",
    "resourcemanager.tagValueBindings.create"
  ]
}

# Grant the Custom Creator role to all members.
resource "google_project_iam_binding" "creator_grant" {
  project = "PROJECT_ID"
  role    = join("/", [
    "projects",
    "PROJECT_ID",
    "roles",
    google_project_iam_custom_role.creator_role.role_id
  ])
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Monitoring Viewer role to all members.
resource "google_project_iam_binding" "viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.viewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag Viewer role to all members.
resource "google_project_iam_binding" "tag_viewer_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagViewer"
  members = ["group:ALL_MEMBERS_GROUP_EMAIL"]
}

# Grant the Tag User role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "tag_user_grant" {
  project = "PROJECT_ID"
  role    = "roles/resourcemanager.tagUser"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Tag User only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Grant the Monitoring Editor role with a condition.
# Note: You have to configure this team-specific binding for each team.
resource "google_project_iam_binding" "editor_grant" {
  project = "PROJECT_ID"
  role    = "roles/monitoring.editor"
  members = ["group:TEAM_A_GROUP_EMAIL"]

  condition {
    title       = "restrict_to_team_a"
    description = "Allow Monitoring Editor only for team_a tag"
    expression  = join("", [
      "resource.matchTagId('",
      google_tags_tag_key.res_tag_key.name,
      "', '",
      google_tags_tag_value.team_a_value.id,
      "')"
    ])
  }
}

# Create the dashboard.
resource "google_monitoring_dashboard" "example_dashboard" {
  dashboard_json = jsonencode({
    "displayName": "System Health Overview",
    "gridLayout": { "columns": "2", "widgets": [] }
  })
}

# Apply the tag binding to the dashboard to give team A ownership.
resource "google_tags_tag_binding" "dashboard_tag" {
  parent    = join("", [
    "//monitoring.googleapis.com/",
    google_monitoring_dashboard.example_dashboard.id
  ])
  tag_value = google_tags_tag_value.team_a_value.id
}

Mengelola tag pada dasbor dan kebijakan pemberitahuan

Anda dapat melampirkan, membuat daftar, dan menghapus tag pada dasbor dan kebijakan pemberitahuan menggunakan konsol Google Cloud atau CLI gcloud.

Sebelum memulai

Untuk mendapatkan izin yang Anda perlukan untuk mengelola tag pada resource Cloud Monitoring, minta administrator Anda untuk memberi Anda peran IAM berikut pada project atau organisasi Anda:

  • Monitoring Viewer (roles/monitoring.viewer)
  • Tag Viewer (roles/resourcemanager.tagViewer)
  • Peran khusus dengan izin minimum yang diperlukan untuk operasi tag yang Anda butuhkan dan jenis resource yang Anda butuhkan. Untuk mengetahui informasi selengkapnya, luaskan bagian Izin yang diperlukan.

Untuk melihat izin yang diperlukan untuk setiap operasi tag saat Anda menyiapkan peran kustom, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Untuk setiap operasi tag yang tercantum, izin berikut diperlukan:

  • Melampirkan tag ke dasbor:
    • resourcemanager.tagValueBindings.create
    • monitoring.dashboards.createTagBinding
  • Lampirkan tag ke kebijakan pemberitahuan:
    • resourcemanager.tagValueBindings.create
    • monitoring.alertPolicies.createTagBinding
  • Menghapus tag dari dasbor:
    • resourcemanager.tagValueBindings.delete
    • monitoring.dashboards.deleteTagBinding
  • Menghapus tag dari kebijakan pemberitahuan:
    • resourcemanager.tagValueBindings.delete
    • monitoring.alertPolicies.deleteTagBinding

Lampirkan tag

Untuk melampirkan tag ke dasbor atau kebijakan pemberitahuan, lakukan hal berikut:

Konsol Google Cloud

Pilih jenis resource yang ingin Anda lampirkan tag:

Dasbor

  1. Di konsol Google Cloud , buka halaman  Dashboards:

    Buka Dasbor

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih dasbor yang ingin Anda lampiri tag.
  3. Klik Tag.
  4. Dalam dialog, di bagian Tag langsung, temukan tag dengan memilih organisasi atau project tempat tag dibuat. Misalnya, untuk menggunakan tag yang dibuat di tingkat project, pilih Pilih project saat ini sebagai cakupan.

    Anda juga dapat menelusuri project, organisasi, atau ID tag secara manual dengan memilih opsi Entri Manual.

  5. Pilih pasangan nilai kunci yang sesuai, lalu klik Simpan.
  6. Dialog yang mengonfirmasi perubahan Anda akan muncul. Klik Konfirmasi untuk menyelesaikan perubahan Anda.

Kebijakan pemberitahuan

  1. Di konsol Google Cloud , buka halaman  Kebijakan:

    Buka Kebijakan Pemberitahuan

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih kebijakan pemberitahuan yang ingin Anda lampiri tag.
  3. Klik Tag.
  4. Dalam dialog, di bagian Tag langsung, temukan tag dengan memilih organisasi atau project tempat tag dibuat. Misalnya, untuk menggunakan tag yang dibuat di tingkat project, pilih Pilih project saat ini sebagai cakupan.

    Anda juga dapat menelusuri project, organisasi, atau ID tag secara manual dengan memilih opsi Entri Manual.

  5. Pilih pasangan nilai kunci yang sesuai, lalu klik Simpan.
  6. Dialog yang mengonfirmasi perubahan Anda akan muncul. Klik Konfirmasi untuk menyelesaikan perubahan Anda.

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • TAG_VALUE_ID: ID permanen atau nama dengan namespace dari nilai tag. Contoh, tagValues/4567890123. Untuk mengetahui informasi selengkapnya tentang ID tag, lihat Definisi dan ID tag.
  • PARENT: Nama resource induk yang sepenuhnya memenuhi syarat. Misalnya, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID atau //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Jalankan perintah resource-manager tags bindings create:

Linux, macOS, atau Cloud Shell

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings create `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings create ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT

Anda akan melihat respons seperti berikut:

'@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding
name: tagBindings/%2F%2Fmonitoring.googleapis.com%2Fprojects%2F1234567890%2FalertPolicies%2F0987654321/tagValues/1029384756
parent: //monitoring.googleapis.com/projects/1234567890/alertPolicies/0987654321
tagValue: tagValues/1029384756
tagValueNamespacedName: my-project/owner/team_a

Lihat tag

Untuk melihat tag yang dilampirkan ke dasbor atau kebijakan pemberitahuan, lakukan langkah berikut:

Konsol Google Cloud

Pilih jenis resource yang ingin Anda lihat tag-nya:

Dasbor

  1. Di konsol Google Cloud , buka halaman  Dashboards:

    Buka Dasbor

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih dasbor yang ingin Anda lihat tag-nya.
  3. Klik Tag. Dialog akan terbuka, mencantumkan semua tag yang dilampirkan.

Kebijakan pemberitahuan

  1. Di konsol Google Cloud , buka halaman  Kebijakan:

    Buka Kebijakan Pemberitahuan

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih kebijakan pemberitahuan yang ingin Anda lihat tag-nya.
  3. Klik Tag. Dialog akan terbuka, mencantumkan semua tag yang dilampirkan.

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PARENT: Nama resource induk yang sepenuhnya memenuhi syarat. Misalnya, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID atau //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Jalankan perintah resource-manager tags bindings list:

Linux, macOS, atau Cloud Shell

gcloud resource-manager tags bindings list \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings list `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings list ^
    --parent=PARENT

Untuk melihat tag yang diwarisi oleh resource, tambahkan flag --effective. Menambahkan tanda ini akan menampilkan respons yang mirip dengan berikut ini:

  namespacedTagKey: my-project/owner
  namespacedTagValue: my-project/owner/team_a
  tagKey: tagKeys/5647382910
  tagValue: tagValues/1029384756
  inherited: true

Jika semua tag dilampirkan secara eksplisit ke resource dan tidak ada tag yang diwarisi, kolom inherited akan dihilangkan.

Menghapus tag dari resource

Untuk menghapus tag yang dilampirkan ke dasbor atau kebijakan pemberitahuan, Anda harus menghapus binding tag. Menghapus tag dari resource tidak akan menghapus tag tersebut. Untuk petunjuk tentang cara menghapus tag, lihat Menghapus tag.

Konsol Google Cloud

Pilih jenis resource yang ingin Anda hapus tagnya:

Dasbor

  1. Di konsol Google Cloud , buka halaman  Dashboards:

    Buka Dasbor

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih dasbor yang ingin Anda hapus tag-nya.
  3. Klik Tag.
  4. Pada dialog, arahkan pointer ke tag yang akan dihapus, lalu klik Hapus item. Klik Simpan untuk menyimpan perubahan Anda.
  5. Dialog yang mengonfirmasi perubahan Anda akan muncul. Klik Konfirmasi untuk menyelesaikan perubahan Anda.

Kebijakan pemberitahuan

  1. Di konsol Google Cloud , buka halaman  Kebijakan:

    Buka Kebijakan Pemberitahuan

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih kebijakan pemberitahuan yang ingin Anda hapus tag-nya.
  3. Klik Tag.
  4. Pada dialog, arahkan pointer ke tag yang akan dihapus, lalu klik Hapus item. Klik Simpan untuk menyimpan perubahan Anda.
  5. Dialog yang mengonfirmasi perubahan Anda akan muncul. Klik Konfirmasi untuk menyelesaikan perubahan Anda.

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • TAG_VALUE_ID: ID permanen atau nama dengan namespace dari nilai tag. Contoh, tagValues/4567890123. Untuk mengetahui informasi selengkapnya tentang ID tag, lihat Definisi dan ID tag.
  • PARENT: Nama resource induk yang sepenuhnya memenuhi syarat. Misalnya, //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/dashboards/DASHBOARD_ID atau //monitoring.googleapis.com/projects/PROJECT_ID_OR_NUMBER/alertPolicies/POLICY_ID.

Jalankan perintah resource-manager tags bindings delete:

Linux, macOS, atau Cloud Shell

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=PARENT

Windows (PowerShell)

gcloud resource-manager tags bindings delete `
    --tag-value=TAG_VALUE_ID `
    --parent=PARENT

Windows (cmd.exe)

gcloud resource-manager tags bindings delete ^
    --tag-value=TAG_VALUE_ID ^
    --parent=PARENT
 Responsnya kosong.

Batasan

Anda tidak dapat memfilter dasbor atau kebijakan pemberitahuan berdasarkan tag terlampir. Jika Anda ingin mencantumkan resource yang dilampirkan dengan tag tertentu, sebaiknya lampirkan label bersama dengan tag dan filter menurut label. Untuk mengetahui informasi tentang cara menambahkan label, lihat Anotasi pemberitahuan dengan label dan Menambahkan atau menghapus label ke dasbor.