Tags erstellen und verwalten

Sie können Tags an die folgenden Cloud Router-Ressourcen anhängen:

  • Router

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource inGoogle Cloudangehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft.

Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Tags benötigen:

  • Tag-Betrachter (roles/resourcemanager.tagViewer) für die Ressourcen, an die die Tags angehängt sind
  • Tags auf Organisationsebene ansehen und verwalten: Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisation
  • Tag-Definitionen erstellen, aktualisieren und löschen: Tag-Administrator (roles/resourcemanager.tagAdmin) für die Ressource, für die Sie Tags erstellen, aktualisieren oder löschen
  • Tags an Ressourcen anhängen und von Ressourcen entfernen: Tag-Nutzer (roles/resourcemanager.tagUser) für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen oder von denen Sie ihn entfernen

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zum Anhängen von Tags an Cloud Router-Ressourcen benötigen Sie die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin).

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tag erstellen und Tag-Wert hinzufügen.

Tags beim Erstellen von Ressourcen hinzufügen

Sie können beim Erstellen regionaler Secrets Tags hinzufügen. Wenn Sie beim Erstellen von Ressourcen Tags hinzufügen, können Sie sofort wichtige Metadaten für Ihre Ressourcen angeben. Außerdem können Sie so Ressourcen besser organisieren, Kosten verfolgen und Richtlinien automatisch anwenden.

gcloud

Wenn Sie während der Ressourcenerstellung ein Tag an eine Ressource anhängen möchten, fügen Sie das --resource-manager-tags-Flag mit dem entsprechenden create-Befehl hinzu. Wenn Sie beispielsweise ein Tag an einen Router anhängen möchten, verwenden Sie den folgenden Befehl:

gcloud compute routers create ROUTER_NAME \
    --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Ersetzen Sie Folgendes:

  • ROUTER_NAME: der Name Ihres Routers
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels
  • TAGVALUE_ID: Die permanente numerische ID des angehängten Tag-Werts. Beispiel: 4567890123.

Um mehrere Tags anzugeben, trennen Sie die Tags durch ein Komma, z. B. TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Senden Sie eine POST-Anfrage an die folgende URL:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/{region}/routers

Geben Sie im Anfragetext den folgenden JSON-Code an:

      
    {
      "name": "ROUTER_NAME",
      "params": {
        "resourceManagerTags": {
          "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
        },
      }
      // Other fields omitted
    }

Ersetzen Sie Folgendes:

  • ROUTER_NAME: der Name Ihres Routers
  • TAGKEY_ID: Die numerische ID des Tag-Schlüssels
  • TAGVALUE_ID: Die permanente numerische ID des angehängten Tag-Werts. Beispiel: 4567890123.

Tags zu vorhandenen Ressourcen hinzufügen

So fügen Sie vorhandenen Cloud Router-Ressourcen ein Tag hinzu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.

    2. Zum Cloud Router

  2. Wählen Sie die Cloud Router-Ressource aus, der Sie ein Tag zuweisen möchten.
  3. Klicken Sie auf Tags.
  4. Wenn Ihre Organisation nicht im Bereich Tags angezeigt wird, klicken Sie auf Bereich auswählen. Wählen Sie Ihre Organisation aus und klicken Sie auf Öffnen.
  5. Klicken Sie auf Tag hinzufügen.
  6. Wählen Sie aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  7. Wählen Sie den Wert für das Tag, das Sie anhängen möchten, aus der Liste aus. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

    10. Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Wenn Sie ein Tag an eine Cloud Router-Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//compute.googleapis.com/). Sie müssen die numerischen IDs für die Ressourcen verwenden, nicht die Namen. Die Ressourcen-ID eines Routers in projects/7890123456 lautet beispielsweise so: //compute.googleapis.com/projects/7890123456/regions/REGION/routers/{resource-id}
  • LOCATION: Der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, lassen Sie dieses Flag weg. Wenn Sie ein Tag an eine regionale oder zonale Ressource anhängen, müssen Sie den Standort angeben, z. B. us-central1 (Region) oder us-central1-a (Zone).

An Ressourcen angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an die Cloud Router-Ressource angehängt oder von ihr übernommen wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.

    2. Zum Cloud Router

  2. Wählen Sie die Ressource aus, um die Details aufzurufen. Tags werden in der Zeile Tags angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//compute.googleapis.com/). Sie müssen die numerischen IDs für die Ressourcen verwenden, nicht die Namen. Die Ressourcen-ID eines Routers in projects/7890123456 lautet beispielsweise so: //compute.googleapis.com/projects/7890123456/regions/REGION/routers/{resource-id}
  • LOCATION: Der Standort Ihrer Ressource. Wenn Sie ein Tag aufrufen, das an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, lassen Sie dieses Flag weg. Wenn Sie ein Tag aufrufen, das an eine regionale oder zonale Ressource angehängt ist, müssen Sie den Standort angeben, z. B. us-central1 (Region) oder us-central1-a (Zone).

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: 
//compute.googleapis.com/projects/7890123456/regions/REGION/routers/{resource-id}

Tags von Ressourcen trennen

Sie können Tags, die direkt an eine Cloud Router-Ressource angehängt wurden, trennen. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.

    2. Zum Cloud Router

  2. Wählen Sie die Cloud Router-Ressource aus, aus der Sie ein Tag entfernen möchten.
  3. Klicken Sie auf Tags.
  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf Element löschen.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Ersetzen Sie dabei Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID: die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//compute.googleapis.com/). Sie müssen die numerischen IDs für die Ressourcen verwenden, nicht die Namen. Die Ressourcen-ID eines Routers in projects/7890123456 lautet beispielsweise so: //compute.googleapis.com/projects/7890123456/regions/REGION/routers/{resource-id}
  • LOCATION: Der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, lassen Sie dieses Flag weg. Wenn Sie ein Tag an eine regionale oder zonale Ressource anhängen, müssen Sie den Standort angeben, z. B. us-central1 (Region) oder us-central1-a (Zone).

Tag-Schlüssel und -Werte löschen

Achten Sie beim Entfernen eines Tag-Schlüssels oder einer Wertedefinition darauf, dass das Tag von der Cloud Router-Ressource getrennt ist. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte