Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags erstellen und verwalten. Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Google Cloud Ressource angehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine unterstützte Ressource ein bestimmtes Tag hat.

Hinweise

Weitere Informationen zu Tags und ihrer Funktionsweise finden Sie in der Übersicht zu Tags.

Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Tags benötigen:

  • Tag-Betrachter (roles/resourcemanager.tagViewer) für die Ressourcen, an die die Tags angehängt sind
  • Tags auf Organisationsebene ansehen und verwalten: Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisation
  • Tag-Definitionen erstellen, aktualisieren und löschen: Tag-Administrator (roles/resourcemanager.tagAdmin) für die Ressource, für die Sie Tags erstellen, aktualisieren oder löschen
  • Tags an Ressourcen anhängen und von Ressourcen entfernen: Tag-Nutzer (roles/resourcemanager.tagUser) für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen oder von denen Sie ihn entfernen

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Ein neues Tag erstellen und definieren

Tags sind Schlüssel/Wert-Paare, die an eine Ressource in IhrerGoogle Cloud -Hierarchie angehängt werden. Zum Erstellen eines neuen Tags müssen Sie zuerst einen Tag-Schlüssel erstellen, der das von Ihnen erstellte Tag beschreibt. Sie können beispielsweise Produktions-, Test- und Entwicklungsumgebungen für Ressourcen in Ihrer Ressourcenhierarchie angeben, indem Sie einen Schlüssel mit dem Namen environment erstellen.

Anschließend können Sie die verschiedenen Werte erstellen, die der Schlüssel haben kann. Wenn Sie einen Tag-Schlüssel mit dem Namen environment erstellt haben, möchten Sie möglicherweise drei potenzielle Umgebungen angeben und einen Wert für jede der Umgebungen erstellen: production, development und test.

Schließlich können Sie diese Tags an Ressourcen anhängen, die mit der Verknüpfung der Schlüssel/Wert-Paare verbunden sind. Das Anhängen eines Tag-Schlüssels und -Werts an eine Ressource wird auch als Erstellen einer Tag-Bindung bezeichnet. Sie können beispielsweise test an mehrere Testumgebungsordner in Ihrer Organisation anhängen; in jedem Ordner wäre dann das Schlüssel/Wert-Paar environment: test enthalten.

Sie können auch Tag-Schlüssel erstellen, mit denen Nutzer Werte dynamisch angeben können, wenn sie einer Ressource eine Tag-Bindung hinzufügen. Diese werden als dynamische Tag-Werte (Vorschau) bezeichnet. Sie können Validierungsregeln für die dynamischen Tag-Werte konfigurieren, mit denen Sie bestimmte Formate, Werte oder Einschränkungen für die Tags erzwingen, die Nutzer beim Anhängen von Ressourcen erstellen.

Dynamische Tag-Werte sind nützlich, wenn es nicht praktikabel ist, jeden möglichen Tag-Wert vorab zu definieren. Attribute wie owner, application Id, service Id oder cost center können beispielsweise Tausende unterschiedlicher Werte haben. Das manuelle Vordefinieren und Verwalten solcher umfangreichen Listen von Tag-Werten ist mit einem erheblichen Verwaltungsaufwand verbunden.

Grenzwerte für Tag-Schlüssel und ‑Werte

Sie können in einer Organisation oder in einem Projekt maximal 1.000 Tag-Schlüssel erstellen. Diese Limits sind unabhängig. Tag-Schlüssel, die unter einem Projekt erstellt werden, werden beispielsweise nicht auf das Limit für den Organisationsknoten angerechnet. Wenn Sie dieses Standardlimit überschreiten müssen, können Sie eine Erhöhung auf 10.000 Tag-Schlüssel pro Organisation oder Projekt beantragen,indem Sie eine Supportanfrage senden.

Für vordefinierte Tag-Werte können Sie standardmäßig bis zu 1.000 Werte pro Tag-Schlüssel zuordnen. Dieses Limit kann auch durch eine Supportanfrage auf 10.000 Tag-Werte pro Schlüssel erhöht werden. Wenn Sie jedoch dynamische Tag-Werte verwenden, gibt es keine Obergrenze für die Anzahl der zulässigen unterschiedlichen Tag-Werte pro Tag-Schlüssel.

:
  • Dynamische Tag-Werte werden für die meisten Ressourcentypen unterstützt, die Tags akzeptieren, mit Ausnahme von Google Cloud Speicherressourcen und verwalteten Instanzen (MIG) von Google Compute Engine.
  • Dynamische Tag-Werte können nicht in IAM-Bedingungen (Identity and Access Management) oder in Einschränkungen des Organization Policy Service verwendet werden.
  • Tag-Schlüssel und Tag-Bindungen mit dynamischen Werten können nur mit der Google Cloud CLI und API erstellt und aktualisiert werden.

Tags erstellen

Zuerst müssen Sie einen Tag-Schlüssel erstellen.

Der shortName des Tag-Schlüssels darf maximal 256 Zeichen lang sein. Der zulässige Zeichensatz für shortName umfasst UTF-8-codierte Unicode-Zeichen mit Ausnahme von einfachen Anführungszeichen ('), doppelten Anführungszeichen ("), umgekehrten Schrägstrichen (\) und Schrägstrichen (/).

Nachdem der shortName erstellt wurde, kann er nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, unter dem Sie einen Tag-Schlüssel erstellen möchten.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie im Feld Tag-Schlüssel den Anzeigenamen Ihres Tag-Schlüssels ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  5. Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung des Tag-Schlüssels ein.

  6. Wenn Sie diesem Schlüssel Tag-Werte hinzufügen möchten, klicken Sie für jeden zu erstellenden Tag-Wert auf Wert hinzufügen.

  7. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  8. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  9. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

gcloud

Verwenden Sie zum Erstellen eines Tag-Schlüssels den Befehl gcloud resource-manager tags keys create:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisations- oder Projektressource für diesen Tag-Schlüssel. Beispiele: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Terraform

Bevor Sie Tag-Schlüssel mit Terraform erstellen, müssen Sie die Cloud Resource Manager API aktivieren.

Mit der Ressource google_tags_tag_key können Sie einen Tag-Schlüssel erstellen.

resource "google_tags_tag_key" "key" {
  parent = "<var>RESOURCE</var>"
  short_name = "<var>KEY_SHORT_NAME</var>"
  description = "<var>DESCRIPTION</var>"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie eine JSON-Darstellung des Schlüssels, um einen Tag-Schlüssel zu erstellen. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

JSON-Text anfordern:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID ist die ID der übergeordneten Organisations- oder Projektressource für diesen Tag-Schlüssel. Beispiele: organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Ressource einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Schlüssel mit dynamischen Schlüsselwerten erstellen

Wenn Sie Tag-Schlüssel erstellen möchten, die dynamische Werte unterstützen, verwenden Sie eine der folgenden Methoden:

gcloud 

gcloud alpha resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID \
    --allowed-values-regex=VALID_REGEX

Ersetzen Sie Folgendes:

  • SHORT_NAME: der Anzeigename für Ihren Tag-Schlüssel. Beispiel: environment.

  • RESOURCE_ID: Die ID der übergeordneten Organisations- oder Projektressource für diesen Tag-Schlüssel, z. B. organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

  • VALID_REGEX: Ein regulärer Ausdruck in RE2-Syntax, der das zulässige Format für Tag-Werte definiert, die dem neu erstellten Tag-Schlüssel zugeordnet sind (nur zum Validieren dynamischer Werte). Wenn Sie zulassen möchten, dass ein beliebiger Wert angegeben wird, verwenden Sie den regulären Ausdruck .*.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

allowedValuesRegex: '[abc]'
name: tagKeys/123456789012
shortName: environment
namespacedName: 123456789012/environment
parent: organizations/123456789012

Terraform

Bevor Sie Tag-Schlüssel mit Terraform erstellen, müssen Sie die Cloud Resource Manager API aktivieren.

Mit der Ressource google_tags_tag_key können Sie Tag-Schlüssel erstellen, die dynamische Werte unterstützen.

resource "google_tags_tag_key" "key" {
  parent = "organizations/123456789"
  short_name = "keyname"
  description = "For keyname resources."
  allowed_values_regex = "^[a-z]+$"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Ersetzen Sie Folgendes:

API

Wenn Sie einen Tag-Schlüssel erstellen möchten, der dynamische Tag-Werte unterstützt, erstellen Sie eine JSON-Darstellung des Schlüssels. Weitere Informationen zum Format eines Tag-Schlüssels finden Sie in der TagKey-Referenz.

Verwenden Sie dann die Methode tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/

JSON-Text der Anfrage:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
    "allowedValuesRegex": VALID_REGEX
}

Ersetzen Sie Folgendes:

  • RESOURCE_ID: Die ID der übergeordneten Organisations- oder Projektressource für diesen Tag-Schlüssel, z. B. organizations/123456789012, projects/test-project123 oder projects/234567890123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten.

  • SHORT_NAME: der Anzeigename für Ihren Tag-Schlüssel, z. B. environment.

  • DESCRIPTION: eine Beschreibung des Schlüssels, die nicht länger als 256 Zeichen sein darf.

  • VALID_REGEX: Ein regulärer Ausdruck, der das zulässige Format für Tag-Werte definiert, die dem neu erstellten Tag-Schlüssel zugeordnet sind.

Nachdem Sie den Schlüssel erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Ressource einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Schlüssel aufrufen

Informationen zu einem bestimmten Tag-Schlüssel erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Geltungsbereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.

  3. Alle Tags in der ausgewählten Organisation oder dem ausgewählten Projekt werden in der Liste angezeigt. Klicken Sie auf das Tag, für das Sie den Tag-Schlüssel sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys describe, um die Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012 oder project-id/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Bei Tags mit dynamischen Werten enthält die Antwort auch das Feld allowedValuesRegex, in dem der reguläre RE2-Ausdruck angezeigt wird, der zum Validieren aller dynamischen Tag-Werte verwendet wird, die eingegeben werden, wenn das Tag auf eine Ressource angewendet wird.

API

Verwenden Sie die Methode tagKeys.get, um Informationen zu einem bestimmten Tag-Schlüssel aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, zu dem Sie Informationen aufrufen möchten. Beispiel: tagKeys/123456789012.

Verwenden Sie die Methode tagKeys.getNamespaced, um Informationen zu einem bestimmten Tag-Schlüssel anhand seines Namespace-Namens aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME ist der Namespace-Name des Tag-Schlüssels im Format parentNamespace/tagKeyShortName.

Bei Tags mit dynamischen Werten enthält die Antwort auch das Feld allowedValuesRegex, in dem der reguläre RE2-Ausdruck angezeigt wird, der zum Validieren aller dynamischen Tag-Werte verwendet wird, die eingegeben werden, wenn das Tag auf eine Ressource angewendet wird.

Tag-Werte hinzufügen

Nachdem Sie einen Tag-Schlüssel erstellt haben, können Sie akzeptierte Werte für den Schlüssel hinzufügen.

Der Wert des Parameters shortName in Ihrem Tag muss die folgenden Anforderungen erfüllen:

  • Eine shortName darf maximal 256 Zeichen lang sein.

  • Ein shortName muss mit einem alphanumerischen Zeichen beginnen.

  • Ein shortName kann UTF-8-codierte Unicode-Zeichen enthalten, mit Ausnahme von einfachen Anführungszeichen ('), doppelten Anführungszeichen ("), Backslashes (\) und Schrägstrichen (/).

  • Ein shortName kann nach dem Erstellen nicht mehr geändert werden und muss innerhalb desselben Namespace eindeutig sein.

Console

So erstellen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, unter dem Sie einen Tag-Wert erstellen möchten.

  3. Klicken Sie in der Liste der Tags auf den Tag, dem Sie einen neuen Wert hinzufügen möchten.

  4. Klicken Sie auf Wert hinzufügen.

  5. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

  6. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung Ihres Tag-Werts ein.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Erstellen eines Tag-Werts den Befehl gcloud resource-manager tags values create. Sie müssen den Schlüssel angeben, unter dem dieser Wert erstellt wird:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Wobei:

  • TAGVALUE_SHORTNAME ist der Kurzname des neuen Tag-Werts. Beispiel: production.

  • TAGKEY_NAME ist der permanente ID- oder Namespace-Name des übergeordneten Tag-Schlüssels. Beispiel: tagKeys/4567890123.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

Terraform

Verwenden Sie die Ressource google_tags_tag_value:

Bevor Sie Tag-Werte mit Terraform erstellen, müssen Sie die Cloud Resource Manager API aktivieren.

Im folgenden Beispiel werden Tag-Werte mit den Namen prod und sales erstellt:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env1"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department1"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

Führen Sie die Schritte in den folgenden Abschnitten aus, um Ihre Terraform-Konfiguration auf ein Google Cloud -Projekt anzuwenden.

Cloud Shell vorbereiten

  1. Rufen Sie Cloud Shell auf.

  2. Legen Sie das Standardprojekt Google Cloud fest, auf das Sie Ihre Terraform-Konfigurationen anwenden möchten.

    Sie müssen diesen Befehl nur einmal pro Projekt und in jedem beliebigen Verzeichnis ausführen.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Umgebungsvariablen werden überschrieben, wenn Sie in der Terraform-Konfigurationsdatei explizite Werte festlegen.

Verzeichnis vorbereiten

Jede Terraform-Konfigurationsdatei muss ein eigenes Verzeichnis haben (auch als Stammmodul bezeichnet).

  1. Erstellen Sie in Cloud Shell ein Verzeichnis und eine neue Datei in diesem Verzeichnis. Der Dateiname muss die Erweiterung .tf haben, z. B. main.tf. In dieser Anleitung wird die Datei als main.tf bezeichnet. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Wenn Sie einer Anleitung folgen, können Sie den Beispielcode in jedem Abschnitt oder Schritt kopieren.

    Kopieren Sie den Beispielcode in das neu erstellte main.tf.

    Kopieren Sie optional den Code aus GitHub. Dies wird empfohlen, wenn das Terraform-Snippet Teil einer End-to-End-Lösung ist.

  3. Prüfen und ändern Sie die Beispielparameter, die auf Ihre Umgebung angewendet werden sollen.
  4. Speichern Sie die Änderungen.
  5. Initialisieren Sie Terraform. Dies ist nur einmal für jedes Verzeichnis erforderlich. 
    terraform init

    Fügen Sie optional die Option -upgrade ein, um die neueste Google-Anbieterversion zu verwenden: 

    terraform init -upgrade

Änderungen anwenden

  1. Prüfen Sie die Konfiguration und prüfen Sie, ob die Ressourcen, die Terraform erstellen oder aktualisieren wird, Ihren Erwartungen entsprechen: 
    terraform plan

    Korrigieren Sie die Konfiguration nach Bedarf.

  2. Wenden Sie die Terraform-Konfiguration an. Führen Sie dazu den folgenden Befehl aus und geben Sie yes an der Eingabeaufforderung ein: 
    terraform apply

    Warten Sie, bis Terraform die Meldung „Apply complete“ anzeigt.

  3. Öffnen Sie Ihr Google Cloud Projekt, um die Ergebnisse aufzurufen. Rufen Sie in der Google Cloud Console Ihre Ressourcen in der Benutzeroberfläche auf, um sicherzustellen, dass Terraform sie erstellt oder aktualisiert hat.

API

Wenn Sie einen Tag-Wert erstellen möchten, erstellen Sie eine JSON-Darstellung des Werts. Weitere Informationen zum Format eines Tag-Werts finden Sie in der Referenz zu TagValue.

Verwenden Sie dann die Methode tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

JSON-Text anfordern:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des übergeordneten Tag-Schlüssels. Beispiel:tagKeys/4567890123.

  • SHORT_NAME ist der Anzeigename für Ihren Tag-Wert. Beispiel: environment.

  • DESCRIPTION ist eine Beschreibung des Werts und darf nicht länger als 256 Zeichen sein.

Nachdem Sie den Wert erstellt haben, finden Sie den eindeutigen, für Menschen lesbaren Anzeigenamen namespacedName, der innerhalb der übergeordneten Ressource einen Namespace hat, sowie eine global eindeutige permanente ID namens name.

Tag-Werte zu dynamischen Tag-Schlüsseln hinzufügen

Geben Sie für Tag-Schlüssel, die dynamische Tag-Werte unterstützen, den Tag-Wert an, wenn Sie das Tag an eine Ressource anhängen. Das System validiert den dynamischen Wert anhand des regulären Ausdrucks, der für diesen Tag-Schlüssel definiert ist. Wenn der von Ihnen angegebene Wert nicht mit dem konfigurierten regulären Ausdruck übereinstimmt, erhalten Sie einen Validierungsfehler.

Ressourcen übernehmen dynamische Tag-Wert-Bindungen von ihren übergeordneten Ressourcen.

Tag-Schlüssel, die dynamische Tag-Werte unterstützen, dürfen keine vordefinierten Tag-Werte haben.

Tag-Werte abrufen

Informationen zu einem bestimmten Tag-Wert erhalten Sie mithilfe der permanenten ID oder des Namespace-Namens, der beim Erstellen angezeigt wurde. Das gilt nur für vordefinierte Tag-Werte, nicht für dynamische Tag-Werte.

Console

So rufen Sie ein erstelltes Tag auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Geltungsbereichsauswahl die Organisation oder das Projekt aus, das Ihr Tag enthält.

  3. Alle Tags, die Sie unter dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt. Klicken Sie auf das Tag, dessen Tag-Werte Sie sehen möchten.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values describe, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/4567890123 oder 123456789012/environment/production.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Verwenden Sie die Methode tagValues.get, um die Informationen zu einem bestimmten Tag-Wert aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tag-Werts. Beispiel: tagValues/4567890123.

Verwenden Sie die Methode tagValues.getNamespaced, um die Informationen zu einem bestimmten Tag-Wert anhand seines Namespace-Namens aufzurufen:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME: Der Namespace-Name des Tag-Werts im parentNamespace/tagKeyShortName/tagValueShortName-Format.

Wenn Sie mit der Google Cloud CLI auf Tags verweisen, können Sie entweder den Namespace-Namen oder die permanente ID für Tag-Schlüssel und -Werte verwenden. Beim Aufrufen der API (mit Ausnahme von getNamespaced) sollte nur die permanente ID verwendet werden. Weitere Informationen zu den Arten von Kennzeichnungen, die ein Tag verwendet, finden Sie unter Tag-Definitionen und Kennzeichnungen.

Vorhandene Tags aktualisieren

Sie können ein vorhandenes Tag ändern, indem Sie den Schlüssel oder die zugehörigen Werte aktualisieren. Sie können eine Tag-Beschreibung aktualisieren, aber nicht den Kurznamen. Bei Tags mit dynamischen Werten können Sie sowohl die Beschreibung als auch das Feld allowed_values_regex aktualisieren, in dem das zulässige Format für Tag-Werte definiert wird, die dem Tag-Schlüssel zugeordnet sind. Änderungen am Feld „allowed_values_regex“ werden nicht rückwirkend angewendet und wirken sich nicht auf vorhandene Tag-Bindungen für den Tag-Schlüssel aus.

Console

So aktualisieren Sie die Beschreibung eines Tag-Schlüssels:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  5. Aktualisieren Sie die Beschreibung des Tag-Schlüssels.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels den Befehl gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Wobei:

  • TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Schlüssels, der aktualisiert werden soll. Beispiel: tagKeys/123456789012.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Verwenden Sie zum Ändern einer Beschreibung des Tag-Schlüssels die Methode tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

JSON-Text anfordern:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGKEY_NAME ist die permanente ID des Tag-Schlüssels, z. B. tagKeys/123456789012.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Sie können auch die Beschreibung von Tag-Werten ändern.

Console

So aktualisieren Sie die Beschreibung eines Tag-Werts:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das den Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel für den zu aktualisierenden Wert auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie neben dem Tag-Wert, den Sie aktualisieren möchten, auf Aktionen und dann auf Details ansehen.

  5. Klicken Sie oben auf dem Bildschirm neben Beschreibung auf Bearbeiten.

  6. Aktualisieren Sie die Beschreibung des Tag-Werts.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Ändern einer Beschreibung des Tag-Werts den Befehl gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der aktualisiert werden soll: Beispiel: tagValues/4567890123.

  • NEW_DESCRIPTION ist ein String mit maximal 256 Zeichen, der als neue Beschreibung verwendet werden soll.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Verwenden Sie zum Ändern der Beschreibung eines Tag-Werts den Befehl tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

JSON-Text der Anfrage:

{
    "description": DESCRIPTION,
}

Wobei:

  • TAGVALUE_NAME ist der permanente ID-Name des Tag-Werts. Beispiel: tagValues/4567890123.

  • DESCRIPTION ist eine Beschreibung des Schlüssels und darf nicht länger als 256 Zeichen sein.

Tag-Schlüssel auflisten

Sie können alle Tag-Schlüssel, die einer bestimmten Organisations- oder Projektressource zugeordnet sind, mit der Google Cloud -Console, der gcloud CLI oder mit einem Aufruf der API auflisten.

Console

So rufen Sie alle Tags auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, die bzw. das Ihre Tags enthält.

  3. Alle Tags, die Sie unter dieser Organisation oder diesem Projekt erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys list, um eine Liste aller Tag-Schlüssel zurückzugeben, die unter einer Organisations- oder Projektressource erstellt wurden:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID ist die ID der Organisations- oder Projektressource, für die Sie angehängte Tag-Schlüssel suchen möchten.

  • Eine Organisations- oder Projekt-ID sollte im Format organizations/ORGANIZATION_ID oder projects/PROJECT_NAME angegeben werden, z. B. organizations/123456789012 und projects/test-project123. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten. Informationen zum Abrufen Ihrer Projekt-ID finden Sie unter Projekte erstellen und verwalten. Sie sollten eine Antwort ähnlich der folgenden erhalten:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Um eine Liste aller Tag-Schlüssel für eine bestimmte Ressource zurückzugeben, verwenden Sie die Methode tagKeys.list, wobei die übergeordnete Ressource in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID ist die ID der Organisations- oder Projektressource, für die Sie angehängte Tag-Schlüssel suchen möchten. Beispiele: organizations/123456789012 und projects/test-project123.

Tag-Werte auflisten

Sie können alle Tag-Werte, die einem bestimmten Tag-Schlüssel zugeordnet sind, über dieGoogle Cloud -Konsole, die gcloud CLI oder einen Aufruf der API auflisten.

Mit diesem Befehl werden nur die vordefinierten Tag-Werte abgerufen, nicht die dynamischen Tag-Werte.

Console

Gehen Sie so vor, um alle einem Tag-Schlüssel angehängten Tag-Werte anzuzeigen:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, die bzw. das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der die zu suchenden Tag-Werte enthält, auf Aktionen und dann auf Details ansehen.

  4. Alle Tag-Werte, die Sie unter diesem Tag-Schlüssel erstellt haben, werden in der Liste angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags values list, um eine Liste aller Tag-Werte zurückzugeben, die an einen Schlüssel angehängt sind:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, für den Sie die angehängten Werte suchen möchten. Beispiel: tagKeys/123456789012 oder 1234567/environment.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Wenn eine Liste aller mit einem Schlüssel verknüpften Tag-Werte zurückgegeben werden soll, verwenden Sie die Methode tagValues.list, wobei der übergeordnete Tag-Schlüssel in der Abfrage angegeben ist:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME ist der permanente ID-Name des Tag-Schlüssels. Beispiel: tagKeys/123456789012.

Zugriff auf Tags verwalten

Sie können Nutzern mithilfe der Google Cloud Konsole bestimmten Zugriff zum Verwalten von Tags und Anhängen von Tag-Werten an Ressourcen gewähren. Unter Erforderliche Berechtigungen finden Sie eine Liste der Rollen, die mit Tags verknüpft sind, sowie die darin enthaltenen Berechtigungen.

Tag-Schlüssel

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das den Tag-Schlüssel enthält, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie auf das Kästchen neben dem Tag, für das Sie den Zugriff verwalten möchten.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tag-Werte

So verwalten Sie den Zugriff von Nutzern auf einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das den Tag-Schlüssel enthält, für den Sie den Zugriff verwalten möchten.

  3. Klicken Sie neben dem Tag-Schlüssel für den Wert, für den Sie den Zugriff verwalten möchten, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie auf Zugriff verwalten.

  5. Klicken Sie zum Hinzufügen einer Rolle zu einem Hauptkonto auf Hauptkonto hinzufügen.

    1. Geben Sie in das Textfeld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem Sie eine neue Rolle zuweisen möchten.

    2. Wählen Sie im Drop-down-Menü Rolle auswählen eine Rolle aus. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Klicken Sie auf Speichern.

  6. Zum Bearbeiten der Rolle des Hauptkontos klicken Sie auf Bearbeiten neben dem Hauptkonto, das Sie bearbeiten möchten.

    1. Sie können alle Rollen ändern, die den Hauptkonten auf diesem Tag zugewiesen sind. Klicken Sie dazu auf das Drop-down-Menü Rolle und wählen Sie eine neue Rolle aus.

    2. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.

    3. Wenn Sie eine Rolle aus dem Hauptkonto für dieses Tag löschen möchten, klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    4. Klicken Sie auf Speichern.

  7. Zum Löschen der Rolle des Hauptkontos klicken Sie neben der Rolle, die Sie löschen möchten, auf Rolle löschen.

    1. Klicken Sie auf Entfernen.

Tags an Ressourcen anhängen

Nachdem ein Tag erstellt und der entsprechende Zugriff auf das Tag und die Ressource gewährt wurde, kann das Tag als Schlüssel/Wert-Paar an eine Google Cloud Ressource angehängt werden. Pro Schlüssel kann genau ein Wert an eine Ressource angehängt werden. Wenn beispielsweise environment: development angehängt ist, können environment: production oder environment: test nicht angehängt werden. An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft. Im folgenden Workflow wird beschrieben, wie Sie einer Organisations-, Ordner- oder Projektressource ein Tag zuweisen. Informationen zum Anhängen von Tags an einen anderen Ressourcentyp finden Sie in der Dokumentation für diese Ressource unter Dienste, die Tags unterstützen.

Console

So hängen Sie ein Tag an eine Organisations-, Ordner- oder Projektressource an:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, an das Sie ein Tag anhängen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags auf Bereich auswählen.

  5. Wählen Sie die Organisation oder das Projekt aus, die bzw. das Ihre Tags enthält, und klicken Sie dann auf Öffnen.

  6. Wählen Sie im Bereich Tags die Option Tag hinzufügen aus.

  7. Wählen Sie im Feld Schlüssel den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  8. Wählen Sie im Feld Wert den Wert für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.

  9. Wenn Sie weitere Tags anhängen möchten, klicken Sie auf Tag hinzufügen und wählen Sie für jedes Tag den Schlüssel und den Wert aus.

  10. Klicken Sie auf Speichern.

  11. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

  12. Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die neuen Tags werden auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll. Beispiel: tagValues/4567890123 oder 12345678/environment/production. Geben Sie für Tags mit dynamischen Werten nur den Namespace-Namen an, da dynamische Tag-Werte keine ID haben.

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie ein Tag an eine globale Ressource anhängen, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Wenn Sie ein Tag an eine Ressource anhängen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Bindung erstellen, die die permanente ID oder den Namespace-Namen des Tag-Werts und die permanente ID der Ressource enthält. Weitere Informationen zum Format einer Tag-Bindung finden Sie in der Referenz zu TagBinding.

Wenn Sie das Tag an eine globale Ressource wie eine Organisation anhängen, verwenden Sie die Methode tagBindings.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Wenn Sie das Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, verwenden Sie die Methode tagBindings.create mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

JSON-Text der Anfrage:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

ODER

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//cloudresourcemanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an projects/7890123456 anhängen möchten, lautet die vollständige ID: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME: Der Namespace-Name des angehängten Tag-Werts im parentNamespace/tagKeyShortName/tagValueShortName-Format. Tags mit dynamischen Werten können nur mit dem Namespace-Namen angehängt werden, da dynamische Tag-Werte keine ID haben.

Alle an eine Ressource angehängten Tags auflisten

Sie können eine Liste aller Tags abrufen, die mit einer Ressource verknüpft sind, unabhängig davon, ob sie übernommen oder direkt angehängt wurden.

Console

So können Sie alle Tags aufrufen, die an eine Ressource angehängt sind oder von ihr übernommen wurden:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Suchen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt in der Liste der Ressourcen.

  3. Die an die Ressource angehängten Tags werden in der Spalte Tags angezeigt. Übernommene Tags werden mit Übernommen gekennzeichnet.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die direkt an eine Ressource angehängt sind: Wenn Sie das --effective-Flag hinzufügen, wird auch eine Liste der Tags zurückgegeben, die von dieser Ressource übernommen wurden.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie die Tags auflisten, die an eine globale Ressource angehängt sind, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag an eine regionale Ressource wie eine Compute Engine-Instanz anhängen, müssen Sie den Standort angeben. Beispiel: us-central1.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Für vordefinierte Tags:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2FPROJECT_NUMBER%2Flocations%2FLOCATION%2Fresources%2FRESOURCE_ID/tagValues/TAG_VALUE_ID
parent: //cloudresourcemanager.googleapis.com/projects/123456789012/locations/us-central1/example-resource/res-01
tagValue: tagValues/987654321098
tagValueNamespacedName: 961309089256/environment/production

Bei Tags mit dynamischen Werten:

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2FPROJECT_NUMBER%2Flocations%2FLOCATION%2Fresources%2FRESOURCE_ID/tagKeys/TAG_KEY_ID
parent: //cloudresourcemanager.googleapis.com/projects/123456789012/locations/us-central1/example-resource/res-01
tagValueNamespacedName: your-org-id/environment/staging

Bei Tags mit dynamischen Werten ist das Feld tagValue nicht in der Antwort enthalten. Nur tagValueNamespacedName wird ausgefüllt.

Wenn Sie dem tags bindings list-Befehl das --effective-Flag hinzufügen, wird auch eine Liste aller Tags zurückgegeben, die von dieser Ressource übernommen wurden. Sie sollten eine Antwort ähnlich der folgenden erhalten:

Für vordefinierte Tags:

inherited: true
namespacedTagKey: 433637338589/environment
namespacedTagValue: 433637338589/environment/production
tagKey: tagKeys/162008917964
tagKeyParentName: organizations/433637338589
tagValue: tagValues/281482214193975

Bei Tags mit dynamischen Werten:

inherited: true
namespacedTagKey: my-sample-org/dynamic-key
namespacedTagValue: my-sample-org/dynamic-key/staging
tagKey: tagKeys/281476834141096
tagKeyParentName: projects/357710452272

Sind alle in einer Ressource ausgewerteten Tags direkt angehängt, ist das inherited-Feld falsch und wird ausgelassen.

API

Um eine Liste der Tag-Bindungen zu erhalten, die direkt mit einer globalen Ressource wie einer Organisation verbunden sind, verwenden Sie die Methode tagBindings.list, wobei Sie die übergeordnete Ressource in der Abfrage angeben:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wenn Sie die Tag-Bindungen auflisten möchten, die an eine regionale Ressource wie Compute Engine-Instanzen angehängt sind, verwenden Sie die Methode tagBindings.list mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Wobei:

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Bei Erfolg sollte der Antworttext eine Liste von TagBinding-Objekten enthalten. Beispiel:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
tagValueNamespacedName: example-org/cost-center/1000
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Bei Tags mit dynamischen Werten ist das Feld tagValue nicht in der Antwort enthalten. Nur tagValueNamespacedName wird ausgefüllt.

Tags von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Console

So trennen Sie ein Tag von einer Organisations-, Ordner- oder Projektressource:

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Klicken Sie auf die Organisation, den Ordner oder das Projekt, von dem Sie ein Tag trennen möchten.

  3. Klicken Sie auf Tags.

  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf Element löschen.

  5. Klicken Sie auf Speichern.

  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

  7. Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden. Die aktualisierte Liste der Tags wird auf der Seite Ressourcen verwalten in der Spalte Tags angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456. Geben Sie für Tags mit dynamischen Werten nur den Namespace-Namen an, da dynamische Tag-Werte keine ID haben.

  • RESOURCE_ID ist die vollständige ID der Ressource. Beispiel: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Bindung löschen, die an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Bindung löschen, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, müssen Sie den Standort angeben. Beispiel: us-central1.

API

Verwenden Sie die Methode tagBindings.delete, um eine Tag-Bindung zu löschen, die an eine globale Ressource wie eine Organisation angehängt ist:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wenn Sie eine Tag-Bindung löschen möchten, die an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagBindings.delete mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Wobei:

  • TAGBINDINGS_NAME ist die permanente ID der TagBinding. Für vordefinierte Tags lautet das Format tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456. Bei Tags mit dynamischen Werten lautet das Format tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagKeys/12345678.

  • LOCATION ist der regionale Endpunkt für Ihre Ressource. Beispiel: us-central1.

Erzwingen von Pflicht-Tags für Ressourcen

Wenn Sie obligatorische Tags für Ressourcen erzwingen möchten, erstellen Sie eine benutzerdefinierte Organisationsrichtlinie und legen Sie die Richtlinie für eine Organisations-, Ordner- oder Projektressource fest, um die benutzerdefinierte Einschränkung zu erzwingen.

Weitere Informationen zur Erzwingung von Tags finden Sie unter Erzwingung von Pflicht-Tags mithilfe von Organisationsrichtlinien.

Benutzerdefinierte Einschränkung zum Erzwingen von Tags einrichten

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf die Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Organisation aus, in der Sie die benutzerdefinierte Einschränkung erzwingen möchten.

  4. Richten Sie eine benutzerdefinierte Einschränkung mit den folgenden Parametern ein:

    • Erzwingungsmethode: Govern tags
    • Ressourcentyp: Der vollständig qualifizierte Name der Google Cloud-REST-Ressource, für die Sie obligatorische Tags erzwingen möchten, z. B. file.googleapis.com/Instance.
    • Bedingung: Eine CEL-Bedingung (Common Expression Language), die die Tag-Schlüssel angibt, die für die Ressource erzwungen werden sollen, z. B. resource.hasDirectTagKey("1234567890/owner"), um eine Tag-Bindung für den Tag-Schlüssel 1234567890/owner zu erzwingen. Die CEL-Funktion resource.hasDirectTagKey berücksichtigt nur Tags, die direkt auf eine Ressource angewendet werden, und keine Tags, die von übergeordneten Elementen in der Ressourcenhierarchie übernommen wurden.
    • Aktion: Allow oder Deny.
      • Zulassen: Wenn die angegebene Bedingung erfüllt ist, ist die Aktion zum Erstellen oder Aktualisieren der Ressource zulässig.
      • Verweigern: Wenn die angegebene Bedingung erfüllt ist, wird die Aktion zum Erstellen oder Aktualisieren der Ressource blockiert.

  5. Klicken Sie auf Einschränkung erstellen.

gcloud

Erstellen Sie eine YAML-Datei für die benutzerdefinierte Einschränkung:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- GOVERN_TAGS
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Dabei gilt:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 1234567890.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.enforceMandatoryTags.

  • RESOURCE_NAME: Der vollständig qualifizierte Name derGoogle Cloud REST-Ressource, für die Sie obligatorische Tags erzwingen möchten, z. B. file.googleapis.com/Instance.

  • CONDITION: Eine CEL-Bedingung (Common Expression Language), die die Tag-Schlüssel angibt, die Sie für die Ressource erzwingen möchten, z. B. resource.hasDirectTagKey("1234567890/owner"), um eine Tag-Bindung für den Tag-Schlüssel 1234567890/owner zu erzwingen.

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

    Die Aktion „Verweigern“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource blockiert wird, wenn die angegebene Bedingung erfüllt ist.

    Die Aktion „Zulassen“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource zulässig ist, wenn die angegebene Bedingung erfüllt ist. Das bedeutet auch, dass jeder andere Fall als der in der Bedingung explizit aufgeführte blockiert wird.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Beschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Beschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird. Dieses Feld hat eine maximale Länge von 2.000 Zeichen.

Richten Sie die benutzerdefinierte Beschränkung ein, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen.

Nachdem Sie die benutzerdefinierte Einschränkung definiert haben, können Sie die Änderungen an der Organisationsrichtlinie testen und analysieren und die Einschränkung erzwingen.

Tag-Werte mit Tag-Holds schützen

Ein Tag-Hold ist eine Ressource, die Sie erstellen können, um einen Tag-Wert vor dem Löschen zu schützen. Wenn ein Tag-Wert einen Tag-Vorbehalt hat, kann er von Nutzern erst gelöscht werden, wenn der Tag-Vorbehalt gelöscht wurde.

Tag-Holds können nicht auf dynamische Tag-Werte angewendet werden.

Tag-Zurückbehaltungen erstellen

Sie können ein Tag-Hold manuell mit der gcloud CLI oder der API erstellen.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds create, um eine Tag-Zurückstellung zu erstellen:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, für den diese Tag-Zurückstellung erstellt werden soll. Beispiel: tagValues/567890123456.

  • HOLDER_NAME ist der Name der Ressource, an die der Tag-Wert angehängt wird. Muss weniger als 200 Zeichen lang sein.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Zurückhaltung für eine globale Ressource wie einGoogle Cloud Projekt erstellen, sollten Sie dieses Flag weglassen. Wenn Sie ein Tag-Hold für eine regionale oder zonale Ressource erstellen, müssen Sie den Standort angeben, z. B. us-central1.

API

Wenn Sie eine Tag-Zurückstellung für einen Tag-Wert erstellen möchten, müssen Sie zuerst eine JSON-Darstellung einer Tag-Zurückstellung erstellen. Diese JSON-Referenz muss einen Verweis auf die Ressource enthalten, an die der Tag-Wert angehängt ist. Weitere Informationen zum Format eines Tag-Holds finden Sie in der Referenz zu TagHolds.

Wenn Sie eine Tag-Zurückstellung für einen Tag-Wert erstellen, der an eine globale Ressource wie eine Organisation angehängt ist, verwenden Sie die Methode tagHolds.create mit dem globalen Endpunkthostnamen:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Wenn Sie eine Tag-Sperre für einen Tag-Wert erstellen, der an eine regionale Ressource wie eine Compute Engine-Instanz angehängt ist, verwenden Sie die Methode tagHolds.create mit dem regionalen Endpunkt, in dem sich Ihre Ressource befindet.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

JSON-Text der Anfrage:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des angehängten Tag-Werts. Beispiel: tagValues/4567890123.

  • HOLDER_NAME ist der Name der Ressource, an die der Tag-Wert angehängt wird. Muss weniger als 200 Zeichen lang sein.

  • ORIGIN_NAME ist ein optionaler String, der den Ursprung dieser Anfrage darstellt. Dieses Feld sollte für Menschen verständliche Informationen enthalten, um die Herkünfte voneinander zu unterscheiden. Muss weniger als 200 Zeichen lang sein.

Tag-Sperren auflisten

Sie können alle Tag-Zurückstellungen für einen bestimmten Tag-Wert mit der gcloud CLI oder der API auflisten.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds list, um Tag-Zurückstellungen aufzulisten, die einem Tag-Wert untergeordnet sind:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/567890123456.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie nach global erstellten Tag-Holds suchen, sollten Sie dieses Flag weglassen. Wenn Sie nach Tag-Holds für eine regionale oder zonale Ressource suchen, müssen Sie den Standort angeben, z. B. us-central1.

API

Verwenden Sie die GET-Methode tagHolds, um eine Liste der Tag-Holds für einen Tag-Wert abzurufen. Geben Sie dazu den übergeordneten Tag-Wert in der URL an:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Wobei:

  • TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts. Beispiel: tagValues/567890123456.

Tag-Holds entfernen

Sie können Tag-Reservierungen, die für einen bestimmten Tag-Wert erstellt wurden, mit der gcloud CLI oder der API entfernen.

Bei einigen Ressourcen werden Tag-Holds zu einem Tag-Wert hinzugefügt, der an diese Ressource angehängt ist. Wenn Sie ein Tag an eine solche Ressource anhängen, wird für die Ressource eine Tag-Sperre erstellt, die verhindert, dass Nutzer den angehängten Tag-Wert löschen.

Sie können eine Tag-Zurückstellung mit der gcloud CLI oder der API löschen.

gcloud

Verwenden Sie den gcloud CLI-Befehl gcloud resource-manager tags holds delete, um eine Tag-Zurückstellung zu löschen:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Wobei:

  • TAGHOLD_NAME ist der Namespace-Name des Tag-Holds, den Sie mit dem list-Befehl finden können. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION ist der Standort Ihrer Ressource. Wenn Sie eine Tag-Zurückstellung löschen, die unter einem Tag-Wert liegt, der an eine globale Ressource angehängt ist, z. B. einen Ordner oder ein Projekt, sollten Sie dieses Flag weglassen. Wenn Sie eine Tag-Zurückstellung löschen, die aus einem regionalen oder zonalen Prozess erstellt wurde, müssen Sie den Standort angeben, z. B. us-central1.

API

Verwenden Sie die Methode tagHolds.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Wobei:

  • TAGVALUE_NAME ist die permanente ID des Tag-Werts, dem die zu löschende Tag-Sperre angehängt ist. Beispiel: tagValues/567890123456.

  • TAGHOLD_NAME ist der Namespace-Name des Tag-Holds, den Sie löschen möchten. Sie können ihn mit dem list-Befehl ermitteln. Beispiel: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Tags löschen

Zum Löschen eines Tags müssen Sie jede seiner definierenden Komponenten löschen. Zuerst müssen Sie alle Tag-Bindungen löschen, die dieses Tag an Ressourcen in Ihrer Hierarchie anhängen. Eine Anleitung zum Löschen von Tag-Bindungen finden Sie unter Tag von einer Ressource trennen.

Wenn das Tag von einer anderen Ressource verwendet wird oder ein Nutzer manuell eine Tag-Zurückhaltung erstellt hat, müssen Sie möglicherweise Tag-Zurückhaltungen entfernen und Tag-Bindungen löschen, bevor Sie die Tag-Werte löschen können. Informationen zum Entfernen von Tag-Sperren finden Sie unter Tag-Sperren entfernen.

Wenn keine weiteren Tag-Bindungen für die Tag-Werte vorhanden sind, die Sie löschen möchten, können Sie die Werte löschen.

Console

So löschen Sie einen Tag-Wert:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das den Tag-Wert enthält.

  3. Klicken Sie neben dem Tag-Schlüssel, der den zu löschenden Tag-Wert enthält, auf Aktionen und dann auf Details ansehen.

  4. Klicken Sie in der Liste der Tag-Werte, die mit diesem Tag-Schlüssel verknüpft sind, auf den Tag-Wert, den Sie löschen möchten.

  5. Klicken Sie auf das Kästchen neben dem Tag-Wert, den Sie löschen möchten, und dann auf Werte löschen.

  6. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tag values delete, um eine Tag-Bindung zu löschen:

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME ist die permanente ID oder der Namespace-Name des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

API

Verwenden Sie die Methode tagValues.delete, um einen Tag-Wert zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME ist die permanente ID des Tag-Werts, den Sie löschen möchten. Beispiel: tagValues/567890123456.

Nachdem alle mit einem Schlüssel verknüpften Tag-Werte gelöscht wurden, können Sie den Schlüssel löschen. Bei Tags mit dynamischen Werten müssen alle zugehörigen Bindungen gelöscht werden, bevor der Tag-Schlüssel gelöscht werden kann.

Console

So löschen Sie einen Tag-Schlüssel:

  1. Öffnen Sie in der Google Cloud Console die Seite Tags.

    Zur Seite „Tags“

  2. Wählen Sie oben auf der Seite in der Bereichsauswahl die Organisation oder das Projekt aus, das Ihren Tag-Schlüssel enthält.

  3. Klicken Sie auf das Kästchen neben dem Tag-Schlüssel, den Sie löschen möchten.

  4. Klicken Sie auf Tags löschen.

  5. Klicken Sie auf Bestätigen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags keys delete, um einen Tag-Schlüssel zu löschen:

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME ist die permanente ID oder der Namespace-Name des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

API

Verwenden Sie die Methode tagKeys.delete, um einen Tag-Schlüssel zu löschen:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME ist die permanente ID des Tag-Schlüssels, den Sie löschen möchten. Beispiel: tagKeys/123456789012.

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.

Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Bedingungen und Tags für Identity and Access Management

Mit Tags und Bedingungen für die Identitäts- und Zugriffsverwaltung können Sie Nutzern in Ihrer Hierarchie bedingte Rollen zuweisen. Dadurch sind Ressourcen für Nutzer erst wieder zugänglich, wenn ein Tag angehängt wird, das mit einer bedingten Richtlinie verknüpft ist. Beispielsweise können Sie festlegen, dass Ihre Entwickler einer Ressource eine Kostenstelle zuweisen müssen, bevor sie sie verwenden können.

  1. Erstellen Sie ein Tag, mit dem Sie Ressourcen mit etwas verknüpfen können, das Aufschluss darüber gibt, ob auf die Ressourcen eine angemessene Governance angewendet wurde. Sie können beispielsweise ein Tag mit dem Schlüssel costCenter und den Werten 0001, 0002 usw. erstellen, um die Ressourcen den verschiedenen Kostenstellen in Ihrem Unternehmen zuzuordnen.

  2. Erstellen Sie eine benutzerdefinierte Rolle auf Organisationsebene, mit der Nutzer den Ressourcen, für die Sie Tags benötigen, Tags hinzufügen können. Dadurch werden diese Berechtigungen den angegebenen Hauptkonten an einer beliebigen Stelle in Ihrer Organisation gewährt.

    Eine benutzerdefinierte Rolle, die Nutzern das Hinzufügen von Tags zu Projekten ermöglicht, enthält beispielsweise die folgenden Berechtigungen:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Wenn Sie Projekte für Ihre Entwickler erstellen, weisen Sie ihnen diese benutzerdefinierte Rolle für das Projekt zu.

  4. Weisen Sie Ihren Entwicklern weitere Rollen zu, die die Berechtigungen enthalten, damit sie die gewünschten Aktionen innerhalb des Projekts ausführen können. Wenn Sie Nutzern Rollen für das Projekt zuweisen, sollten die Rollen immer bedingt gewährt werden, damit das Tag costCenter angehängt werden muss.

    resource.hasTagKey('123456789012/costCenter')

Jedes Mal, wenn ein Projekt erstellt wird, müssen Ihre Entwickler das costCenter-Tag an das Projekt anhängen, bevor sie die darin enthaltenen Aktionen ausführen können, die von der Zulassungsrichtlinie gewährt werden.

Organisationsrichtlinien und Tags

Mit Tags und der bedingten Erzwingung von Organisationsrichtlinien können Sie die Ressourcen in Ihrer Hierarchie zentral steuern. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

System-Tags

System-Tags sind von Google verwaltete Tags, die Google Cloud Dienste an Ressourcen binden können. Diese System-Tags können wie jede andere Tag-Bindung für die Ressource angezeigt und verwendet werden, aber sie können nicht bearbeitet oder aus der Ressource entfernt werden. Systemtag-Schlüssel haben das Präfix system: in ihrem Kurznamen und werden in einem Tag-Namespace verwaltet, der mit dem Präfix google beginnt.

Tag-Schlüssel (Namespace-Name) Tag-Werte Beschreibung
google/system:sdp-data-sensitivity HIGH, MODERATE, LOW, UNKNOWN Tags, die vom Sensitive Data Protection-Dienst automatisch an Ressourcen angehängt werden können, für die ein Profil erstellt wird, um die erkannte Vertraulichkeitsstufe der Ressource anzugeben. Weitere Informationen finden Sie unter Automatisches Tagging in der Konfiguration der Ermittlung aktivieren.

Unterstützte Dienste

Eine Liste der Dienste, die Tags unterstützen, finden Sie unter Dienste, die Tags unterstützen.