Les tags vous permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Les ressources et les règles utilisées par chaque service utilisent les tags de différentes manières. Pour en savoir plus sur les tags, consultez la page Présentation des tags.
Certains services, tels qu'Identity and Access Management (IAM), sont des moteurs de règles qui acceptent les références par tags. Si vous pouvez associer un tag à une ressource de service et que le service de moteur de règles est compatible avec cette ressource, vous pouvez alors tirer parti de l'application conditionnelle des règles pour mieux contrôler votre hiérarchie de ressources. Chaque service de moteur de règles liste les ressources qu'il prend en charge dans la section Services de moteur de règles.
Les ressources qui ne sont pas explicitement compatibles avec les services de moteur de règles ne peuvent pas être ciblées directement pour l'application conditionnelle des règles. Au lieu de cela, la ressource de projet, de dossier ou d'organisation parente doit être taguée pour fournir un contrôle conditionnel.
Consultez la section appropriée lorsque vous associez des tags à vos ressources de service. Pour en savoir plus, consultez Créer et gérer des tags.
Services du moteur de règles
Les services suivants incluent des règles qui peuvent contenir des tags. Le fait de référencer des tags dans ces règles vous permet d'affiner leur fonctionnement sur les ressources compatibles de votre hiérarchie de ressources Google Cloud .
| ServiceGoogle Cloud | Types de ressources |
|---|---|
| Identity and Access Management (IAM) | |
| Service de règles d'administration | |
| Cloud privé virtuel (VPC) |
Les sections suivantes décrivent comment utiliser les tags avec les services du moteur de règles.
Identity and Access Management
Vous pouvez attribuer des rôles IAM de manière conditionnelle ou refuser des autorisations IAM de manière conditionnelle selon qu'une ressource est associée à un tag spécifique ou non.
Les ressources héritent des valeurs de tag de leur organisation, de leurs dossiers et de leur projet parents. Par conséquent, vous pouvez utiliser des tags pour gérer l'accès à n'importe quelle ressource Google Cloud .
Pour en savoir plus sur l'utilisation des tags avec IAM pour contrôler l'accès à vos ressources Google Cloud , consultez Tags et contrôle des accès.
Service de règles d'administration
Vous pouvez utiliser des règles d'administration avec des tags pour contrôler la manière dont vos contraintes de règles d'administration sont appliquées à certaines ressources. Les règles d'administration utilisant des contraintes gérées et personnalisées peuvent être appliquées de manière conditionnelle en référençant les tags associés aux ressources compatibles.
La plupart des anciennes contraintes gérées ne peuvent pas inclure de conditions impliquant des tags associés à des ressources de service. Pour obtenir la liste des anciennes contraintes gérées qui acceptent les conditions sur les tags associés aux ressources de service, consultez Définir le champ d'application des règles d'administration d'administration de l'organisation avec des tags.
Cloud privé virtuel
Vous pouvez utiliser des tags pour définir des sources et des cibles dans les stratégies de pare-feu réseau et les stratégies de pare-feu régionales. Vous pouvez également associer des tags à des instances de VM Compute Engine pour représenter différentes fonctions dans un réseau. Pour en savoir plus, consultez Tags Resource Manager pour les pare-feu.
Vous pouvez associer des tags aux ressources VPC suivantes pour les utiliser dans les stratégies IAM :
- Réseaux
- Sous-réseaux
- Routes
- Règles de pare-feu VPC
- Stratégies de pare-feu réseau
- Stratégies de pare-feu régionales
Pour en savoir plus, consultez Créer et gérer des tags pour les ressources de cloud privé virtuel.
Ressources de service compatibles
Vous pouvez associer des tags aux types de ressources Google Cloud suivants :