Dienste, die Tags unterstützen

Mit Tags können Sie Anmerkungen für Ressourcen erstellen und in einigen Fällen Richtlinien bedingt zulassen oder ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Die von den einzelnen Diensten verwendeten Ressourcen und Richtlinien verwenden Tags auf unterschiedliche Weise. Weitere Informationen zu Tags finden Sie in der Tag-Übersicht.

Einige Dienste wie Identity and Access Management (IAM) sind Richtlinien-Engines, die Referenzen nach Tags unterstützen. Wenn Sie einer Dienstressource ein Tag zuweisen können und der Richtlinien-Engine-Dienst diese Ressource unterstützt, können Sie die bedingte Durchsetzung von Richtlinien nutzen, um Ihre Ressourcenhierarchie besser zu steuern. Jeder Richtlinien-Engine-Dienst listet die unterstützten Ressourcen im Abschnitt Richtlinien-Engine-Dienste auf.

Ressourcen, die nicht explizit von Richtlinien-Engine-Diensten unterstützt werden, können nicht direkt für die bedingte Erzwingung von Richtlinien verwendet werden. Stattdessen sollte die übergeordnete Projekt-, Ordner- oder Organisationsressource getaggt werden, um eine bedingte Steuerung zu ermöglichen.

Sehen Sie sich den entsprechenden Abschnitt unten an, wenn Sie Tags an Ihre Serviceressourcen anhängen. Weitere Informationen finden Sie unter Tags erstellen und verwalten.

Richtlinien-Engine-Dienste

Die folgenden Dienste enthalten Richtlinien, die Tags umfassen können. Wenn Sie in diesen Richtlinien auf Tags verweisen, können Sie genau festlegen, wie sie für unterstützte Ressourcen in Ihrer Google Cloud Ressourcenhierarchie funktionieren.

Google Cloud -Dienst	Ressourcentypen
Identitäts- und Zugriffsverwaltung	Zulassungs- und Ablehnungsrichtlinien
Organisationsrichtliniendienst	Organisationsrichtlinien Ressourcen, die Tags unterstützen
Virtual Private Cloud (VPC)	Netzwerk-Firewallrichtlinien VM-Instanzen Secure Web Proxy-Instanzen

In den folgenden Abschnitten wird beschrieben, wie Sie Tags mit Policy Engine-Diensten verwenden können.

Identity and Access Management

Sie können IAM-Rollen bedingt zuweisen oder IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Ressourcen übernehmen Tag-Werte von ihrer übergeordneten Organisation, ihren Ordnern und ihrem Projekt. Mit Tags können Sie den Zugriff auf jede Google Cloud -Ressource verwalten.

Weitere Informationen zur Verwendung von Tags mit IAM zur Steuerung des Zugriffs auf Ihre Google Cloud -Ressourcen finden Sie unter Tags und Zugriffssteuerung.

Organisationsrichtliniendienst

Sie können Organisationsrichtlinien mit Tags verwenden, um zu steuern, wie die Einschränkungen für Organisationsrichtlinien auf bestimmte Ressourcen angewendet werden. Organisationsrichtlinien können bedingt erzwungen werden, indem auf Tags verwiesen wird, die an unterstützte Ressourcen angehängt sind.

Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Virtual Private Cloud

Sie können Tags verwenden, um Quellen und Ziele in Netzwerk-Firewallrichtlinien und regionalen Firewallrichtlinien zu definieren. Sie können auch Tags an Compute Engine-VM-Instanzen anhängen, um verschiedene Funktionen in einem Netzwerk darzustellen. Weitere Informationen finden Sie unter Resource Manager-Tags für Firewalls.

Sie können Tags an die folgenden VPC-Ressourcen anhängen, um sie in IAM-Richtlinien zu verwenden:

• Netzwerke
• Subnetzwerke
• Routen
• VPC-Firewallregeln
• Netzwerk-Firewallrichtlinien
• Regionale Firewallrichtlinien

Weitere Informationen finden Sie unter Tags für Virtual Private Cloud-Ressourcen erstellen und verwalten.

Unterstützte Serviceressourcen

Sie können Tags an die folgenden Arten von Google Cloud Ressourcen anhängen:

Google Cloud -Dienst	Ressourcentypen
AlloyDB for PostgreSQL	Cluster Sicherungen
API Gateway	APIs Gateways
API Hub	APIs API-Bereitstellungen
Artifact Registry	Repositories (Vorabversion)
BigQuery	Datasets Tables Aufrufe
Bigtable	Instanzen
Google Cloud Armor	Network Edge Security Services Sicherheitsrichtlinien
Zertifikatmanager	Zertifikate Zertifikatszuordnungen Vertrauenskonfigurationen Konfigurationen der Zertifikatsausstellung DNS-Autorisierungen
Certificate Authority Service	CA-Pools Zertifikatsvorlagen
Cloud Billing	Tags auf Ressourcenebene im BigQuery-Export von Cloud Billing ansehen
Cloud Data Fusion	Instanzen (Vorschau)
Cloud Deploy	Bereitstellungspipelines (Vorschau) Ziele (Vorabversion)
Cloud Domains	Registrierungen
Cloud Key Management Service (Cloud KMS)	Schlüsselanhänger
Cloud Load Balancing	Back-End-Buckets Back-End-Dienste Weiterleitungsregeln Systemdiagnosen Netzwerk-Endpunktgruppen SSL-Richtlinien SSL-Zertifikate gRPC-Zielproxys HTTP(S)-Zielproxys Zielinstanzen Zielpools SSL-Zielproxys TCP-Zielproxys URL-Zuordnungen Zonale Instanzgruppen
Cloud Logging	Log-Buckets
Cloud Router	Router
Cloud Interconnect	Interconnects Interconnect-Anhänge
Cloud VPN	Externe VPN-Gateways VPN-Gateways VPN-Tunnel Ziel-VPN-Gateways
Cloud Run	Dienste Jobs (Vorabversion)
Cloud SQL	Instanzen
Cloud Storage	Buckets
Cloud Workstations	Cluster
Transcoder API	Job JobTemplate
Compute Engine	Bilder Instanzen Regionale nichtflüchtige Speicher Snapshots Zonale nichtflüchtige Speicher
Dataproc	Cluster
Dataproc Metastore	Dienste Föderationen
Datastore	Datenbanken
Datastream	Konfigurationen für private Verbindungen Verbindungsprofile Streams
Cloud DNS	Richtlinien
Filestore	Sicherungen Instanzen Snapshots
Firestore	Datenbanken
Google Distributed Cloud	BareMetalCluster BareMetalAdminCluster VMWareCluster VMWareAdminCluster
Google Kubernetes Engine (GKE)	Cluster
Identity and Access Management	Dienstkonten
Managed Service for Microsoft Active Directory (Managed Microsoft AD)	Domains
Memorystore for Redis	Instanzen
Pub/Sub	Themen Abos Snapshots
reCAPTCHA Enterprise	Schlüssel
Resource Manager	Organisationen Ordner Projekte
Secret Manager	Secrets
Spanner	Instanzen
Google Cloud VMware Engine	Private Cloud Private Verbindung Netzwerke Netzwerk-Peering Netzwerkrichtlinie
VPC	Netzwerke Subnetzwerke Routen VPC-Firewallregeln
Workflows	Workflows