Neste guia, descrevemos como criar e gerenciar tags em secrets regionais. É possível usar tags para agrupar secrets relacionados do Secret Manager e armazenar metadados sobre esses recursos com base nas tags deles.
Sobre as tags
Uma tag é um par de chave-valor que pode ser anexado a um recurso no Google Cloud. É possível usar tags para permitir ou negar políticas condicionalmente com base no fato de um recurso ter uma tag específica ou não. Por exemplo, é possível conceder condicionalmente papéis do Identity and Access Management (IAM) com base no fato de um recurso ter uma tag específica ou não. Para mais informações sobre tags, consulte Visão geral de tags.
As tags são anexadas aos recursos criando um recurso de vinculação de tags que vincula o valor ao recurso Google Cloud .
Permissões necessárias
Para receber as permissões necessárias para gerenciar tags, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Leitor de tags (
roles/resourcemanager.tagViewer) nos recursos a que as tags estão anexadas -
Visualizar e gerenciar tags no nível da organização:
Leitor da organização (
roles/resourcemanager.organizationViewer) na organização -
Criar, atualizar e excluir definições de tags:
Administrador de tags (
roles/resourcemanager.tagAdmin) no recurso em que você está criando, atualizando ou excluindo tags -
Anexar e remover tags de recursos:
Usuário da tag (
roles/resourcemanager.tagUser) no valor da tag e nos recursos a que você está anexando ou removendo o valor da tag
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Para anexar tags a secrets do Secret Manager, você precisa do papel Administrador do Secret Manager (roles/secretmanager.admin).
Criar chaves e valores de tags
Antes de anexar uma tag, é preciso criá-la e configurar o valor dela. Para criar chaves e valores de tag, consulte Como criar uma tag e Como adicionar um valor de tag.
Adicionar tags durante a criação de recursos
É possível adicionar tags ao criar secrets regionais. Ao adicionar tags durante a criação de recursos, você fornece instantaneamente metadados essenciais para eles e também ajuda na organização, no rastreamento de custos e na aplicação automatizada de políticas.
Console
- Acesse a página Secret Manager no console Google Cloud .
- Na página Secret Manager, clique na guia Secrets regionais.
- Selecione a opção para criar um novo secret regional.
- Clique em Gerenciar tags.
- Se a organização não aparecer no painel Gerenciar tags, clique em Selecionar escopo. Adicione tags definidas no nível da organização ou do projeto e insira o ID delas.
- Clique em Adicionar tag.
- Selecione na lista a chave da tag que você quer anexar. Para filtrar a lista, digite palavras-chave.
- Selecione na lista o valor da tag que você quer anexar. Para filtrar a lista, digite palavras-chave.
- Clique em Salvar. A seção Tags é atualizada com as informações das tags.
- Crie seu secret regional. O novo Secret regional é criado com as tags fornecidas.
gcloud
Para adicionar tags durante a criação de um secret regional, execute o seguinte comando:
gcloud secrets create SECRET_ID --location=LOCATION --tags=TAG_KEY=TAG_VALUE
Substitua:
- SECRET_ID: o identificador exclusivo do secret
- LOCATION: o local do secret
- TAG_KEY: o ID permanente ou o nome do namespace da chave de tag anexada, por exemplo, tagKeys/567890123456
- TAG_VALUE: o ID permanente ou o nome do namespace do valor da tag anexado. Por exemplo, tagValues/567890123456
Especifique várias tags separando-as por vírgula, por exemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2
API
Envie uma solicitação POST para o seguinte URL:
https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_IDForneça o seguinte JSON no corpo da solicitação:
{"tags": {"TAGKEY_NAME": "TAGVALUE_NAME"}}
Substitua:
- LOCATION: o local do secret
- PROJECT_ID: o ID do projeto
- SECRET_ID: o identificador exclusivo do secret
- TAGKEY_NAME: o ID permanente ou o nome do namespace da chave de tag anexada, por exemplo, tagKeys/567890123456
- TAGVALUE_NAME: o ID permanente ou o nome do namespace do valor da tag anexado. Por exemplo, tagValues/567890123456
Adicionar tags a recursos atuais
Para adicionar uma tag a segredos regionais, siga estas etapas:
Console
- Acesse a página Secret Manager no console Google Cloud .
- Selecione o secret regional a que você quer anexar uma tag.
- Clique em Tags.
- Se a organização não aparecer no painel Tags, clique em Selecionar escopo. Selecione sua organização e clique em Abrir.
- Clique em Adicionar tag.
- Selecione na lista a chave da tag que você quer anexar. Para filtrar a lista, digite palavras-chave.
- Selecione na lista o valor da tag que você quer anexar. Você pode filtrar a lista digitando palavras-chave.
- Clique em Salvar.
- Na caixa de diálogo Confirmar, clique em Confirmar para anexar a tag.
Uma notificação confirma que suas tags foram atualizadas.
gcloud
Para anexar uma tag a um secret regional, crie um
recurso de vinculação de tag usando o
comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
TAGVALUE_NAMEé o ID permanente ou o nome do namespace do valor da tag anexado; por exemplo:tagValues/567890123456.-
RESOURCE_IDé o ID completo do recurso, incluindo o nome de domínio da API para identificar o tipo de recurso (//secretmanager.googleapis.com/). Por exemplo, para anexar uma tag aprojects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID, o ID completo é//secretmanager.googleapis.com/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID. LOCATION: a localização do recurso. Se você estiver anexando uma tag a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver anexando uma tag a um recurso regional ou zonal, especifique o local, por exemplo:us-central1(região) ouus-central1-a(zona).
Listar tags anexadas a recursos
É possível ver uma lista de vinculações de tags diretamente anexadas ou herdadas pelo segredo regional.
Console
- Acesse a página Secret Manager no console Google Cloud .
- As tags aparecem na coluna Tags do segredo regional.
gcloud
Para ver uma lista de vinculações de tags anexadas a um recurso, use o
comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
-
RESOURCE_IDé o ID completo do recurso, incluindo o nome de domínio da API para identificar o tipo de recurso (//secretmanager.googleapis.com/). Por exemplo, para anexar uma tag aprojects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID, o ID completo é//secretmanager.googleapis.com/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID. LOCATION: a localização do recurso. Se você estiver visualizando uma tag anexada a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver visualizando uma tag anexada a um recurso regional ou zonal, especifique o local, por exemplo:us-central1(região) ouus-central1-a(zona).
Você receberá uma resposta semelhante a esta:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //secretmanager.googleapis.com/projects/production-1/locations/us-central1/secrets/database-pwd
Remover tags de recursos
É possível desanexar tags que foram anexadas diretamente a um secret regional. As tags herdadas podem ser substituídas anexando uma tag com a mesma chave e um valor diferente, mas não podem ser removidas.
Console
- Acesse a página Secret Manager no console Google Cloud .
- Selecione o secret regional de que você quer remover uma tag.
- Clique em Tags.
- No painel Tags, ao lado da tag que você quer remover, clique em Excluir item.
- Clique em Salvar.
- Na caixa de diálogo Confirmar, clique em Confirmar para remover a tag.
Uma notificação confirma que suas tags foram atualizadas.
gcloud
Para excluir uma vinculação de tag, use o
comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
TAGVALUE_NAMEé o ID permanente ou o nome do namespace do valor da tag anexado; por exemplo:tagValues/567890123456.-
RESOURCE_IDé o ID completo do recurso, incluindo o nome de domínio da API para identificar o tipo de recurso (//secretmanager.googleapis.com/). Por exemplo, para anexar uma tag aprojects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID, o ID completo é//secretmanager.googleapis.com/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID. LOCATION: a localização do recurso. Se você estiver anexando uma tag a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver anexando uma tag a um recurso regional ou zonal, especifique o local, por exemplo:us-central1(região) ouus-central1-a(zona).
Excluir chaves e valores de tags
Ao remover uma chave de tag ou uma definição de valor, verifique se a tag está separada do secret regional. Você precisa excluir os anexos de tag, chamados de vinculações de tag, antes de excluir a definição da tag. Para excluir chaves e valores de tags, consulte Como excluir tags.
Condições e tags do Identity and Access Management
Você pode usar tags e condições do IAM para conceder vinculações de papéis condicionalmente aos usuários na sua hierarquia. Alterar ou excluir a tag anexada a um recurso removerá o acesso do usuário a esse recurso se uma política do IAM com vinculações de papéis condicionais tiver sido aplicada. Para mais informações, consulte Condições e tags do Identity and Access Management.
A seguir
- Veja os outros serviços que têm suporte a tags.
- Consulte Tags e controle de acesso para ver como usar tags com o IAM.