שליטה בגישה וארגון של מכונות וירטואליות באמצעות תגים

בדף הזה מוסבר איך אפשר להשתמש בתגים כדי לנהל את הגישה למופעי Spanner. Google Cloud

Google Cloud תג הוא צמד מפתח/ערך שאפשר לצרף למשאבי Google Cloud , כמו פרויקטים או מופעים של Spanner. אתם יכולים להשתמש בתגים כדי לקבץ ולארגן את המכונות הווירטואליות, וכדי להגדיר באופן מותנה כללי מדיניות לניהול זהויות והרשאות גישה (IAM) בהתאם לתגים. אפשר ליצור ולנהל תגי מופע של Spanner באמצעות Google Cloud CLI או מסוףGoogle Cloud . אחרי שיוצרים את התגים, אפשר ליצור קישור בין תגים כדי לצרף את התג למשאבים. Google Cloud הקישורים בין התגים עוברים בירושה לצאצאים של המשאב בהתאם לGoogle Cloud היררכיית המשאבים. לדוגמה, אם מצרפים תג לפרויקט, כל המופעים בפרויקט הזה יקבלו את התג בירושה. אפשר גם להשתמש בתוויות כדי לארגן את המשאבים ב- Google Cloud , אבל אי אפשר להשתמש בתוויות כדי להגדיר תנאים במדיניות IAM.

לסקירה כללית על התגים

תרחישים נפוצים לשימוש בתגי מכונות Spanner

דוגמאות לתרחישי שימוש נפוצים בתגים:

  • תגי IAM: תפקידי IAM שמבוססים על תג ספציפי שמוגדר למכונה. הנוכחות או היעדר של ערך תג הם התנאי למדיניות IAM הזו, והם עוזרים לשלוט בגישה למופע Spanner.

  • תגי מצב: אפשר ליצור תגים כדי לציין ולנהל את המצב של מופע. לדוגמה, state:active,‏ state:todelete ו-state:archive.

  • תגי סביבה: מציינים סביבות ייצור, בדיקה ופיתוח למופעים על ידי יצירת צמדי מפתח/ערך כמו env:prod,‏ env:dev ו-env:test.

איך יוצרים ומנהלים תגי מופעים של Spanner

תגים בנויים כצמדי מפתח/ערך. יוצרים מפתח תג במשאב של הארגון, ואז מצרפים ערכי תג למפתח התג (לדוגמה, מפתח תג environment עם הערכים prod ו-dev). לאחר מכן אפשר ליצור קשר בין התג לבין משאב Google Cloud , כמו פרויקט או מופע Spanner. חשוב לזכור שאי אפשר להקצות תג למסד נתונים.

ההרשאות הנדרשות

ההרשאות שנדרשות תלויות בפעולה שרוצים לבצע. מידע נוסף זמין במאמר ההרשאות הנדרשות במסמכי התיעוד של מנהל המשאבים.

יצירת מפתחות וערכים של תגים

כדי לצרף תג למופע, צריך קודם ליצור את התג ולהקצות לו ערך. במאמרים יצירת תג והוספת ערך תג מוסבר איך יוצרים מפתחות תגים וערכי תגים.

צירוף תג למופע

אחרי שיוצרים את הצמדים של מפתח/ערך של התג, אפשר ליצור קישור תג ולצרף אותו למופע Spanner.

המסוף

  1. נכנסים לדף Spanner Instances במסוף Google Cloud .

    כניסה לדף Spanner Instances

  2. מסמנים את התיבה לצד המופע שרוצים לצרף אליו תג.

  3. לוחצים על תגים.

  4. אם הארגון שלכם לא מופיע בחלונית תגים, לוחצים על בחירת היקף. בוחרים את הארגון ולוחצים על פתיחה.

  5. בחלונית Tags (תגים), לוחצים על Add tag (הוספת תג).

  6. בשדה Key, בוחרים את המפתח של התג שרוצים לצרף מהרשימה. אפשר להקליד מילות מפתח כדי לסנן את הרשימה.

  7. בשדה Value, בוחרים מהרשימה את הערך של התג שרוצים לצרף. אפשר להקליד מילות מפתח כדי לסנן את הרשימה.

  8. אם רוצים לצרף עוד תגים, לוחצים על Add Tag (הוספת תג) ובוחרים את המפתח והערך של כל תג.

  9. לוחצים על Save.

  10. בתיבת הדו-שיח אישור, לוחצים על אישור כדי לצרף את התג.

    התראה מאשרת שהתגים עודכנו.

gcloud

כדי ליצור קשר בין תג ולהוסיף אותו למופע, מריצים את הפקודה הבאה:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=TAG_VALUE_NAME
--location=LOCATION
  • PROJECT_ID: מזהה הפרויקט.
  • INSTANCE_ID: המזהה של המכונה.
  • TAG_VALUE_NAME: TAG_VALUE_NAME הוא המזהה הקבוע או מזהה מרחב השמות של ערך התג שיצורף. לדוגמה: ‫tagValues/4567890123 (מזהה קבוע) או 12345678/env/prod (מזהה מרחב שמות). מזהה מרחב השמות מורכב מהרכיבים הבאים:
    • ORG_ID: מזהה הארגון.
    • KEY_NAME: השם המוצג (המקוצר) של מפתח התג. לדוגמה, env.
    • VALUE_NAME: השם המוצג (המקוצר) של ערך התג. לדוגמה, prod.
  • LOCATION: המיקום של מופע משתנה בהתאם להגדרה שלו:
    • במקרה של מופע אזורי, המיקום של ההגדרה שלו. לדוגמה, us-east1.
    • במקרה של מופע בשני אזורים, מיקום המשאב עם 2 אותיות. לדוגמה, de עבור dual-region-germany1.
    • במקרה של מופע רב-אזורי, השם של ההגדרה שלו. לדוגמה, eur3 או nam-eur-asia1.

לדוגמה, כדי ליצור קישור תג במופע Spanner‏ my-instance עם צמד מפתח/ערך של תג env:prod, מריצים את הפקודה הבאה:

gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1

API

במאמר צירוף תגים למשאבים מוסבר איך ליצור קשר בין תג לבין מופע Spanner באמצעות API ל-REST או ל-RPC.

תנאים ותגים ב-IAM

אתם יכולים להשתמש בתגים ובתנאים של IAM כדי להעניק למשתמשים קישורי תפקידים באופן מותנה. אם מוחלת מדיניות IAM עם קישורי תפקידים מותנים, שינוי או מחיקה של התג שמצורף למשאב עלולים להסיר את גישת המשתמש למשאב הזה.

מידע נוסף זמין במאמר סקירה כללית על תנאי IAM.

המסוף

במאמר ניהול הגישה לתגים מוסבר איך להשתמש בתגים כדי להעניק למשתמשים קישורי תפקידים מותנים.

gcloud

כדי להחיל תנאי מבוסס-תגים על מדיניות IAM, מוודאים שיש לכם את ההרשאות הנדרשות, ואז מריצים את הפקודה הבאה:

gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
  • ORG_ID: מזהה הארגון.
  • ROLE: שם התפקיד שרוצים להקצות לחשבון המשתמש. שם התפקיד הוא הנתיב המלא של תפקיד מוגדר מראש, כמו roles/logging.viewer, או מזהה התפקיד של תפקיד בהתאמה אישית, כמו organizations/{ORG_ID}/roles/logging.viewer.
  • PRINCIPAL: חשבון המשתמש שרוצים להוסיף לו את קישור התפקידים. הכתובת אמורה להיות בפורמט user|group|serviceAccount:email או domain:domain. לדוגמה, user:test-user@gmail.com,‏ group:admins@example.com,‏ serviceAccount:test123@example.domain.com או domain:example.domain.com.
  • PROJECT_ID: מזהה הפרויקט.
  • KEY_NAME: השם המוצג (המקוצר) של מפתח התג. לדוגמה, env.
  • VALUE_NAME: השם המוצג (המקוצר) של ערך התג. לדוגמה, prod.

הפקודה הזו מוסיפה קישור למדיניות IAM למדיניות IAM של ארגון. קישור מדיניות מורכב מחבר, תפקיד ותנאי אופציונלי.

לדוגמה, כדי להעניק את התפקיד spanner.backupAdmin לחשבון user1@example.com באופן מותנה בכל משאבי הפרויקט 123456789012 עם התג env:prod, מריצים את הפקודה:

gcloud organizations add-iam-policy-binding my-organization
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')

הצגת רשימת תגים שמצורפים למופע

אפשר לראות רשימה של תגי קישור שמצורפים ישירות למופע או עוברים אליו בירושה.

המסוף

  1. נכנסים לדף Spanner Instances במסוף Google Cloud .

    כניסה לדף Spanner Instances

  2. מתחת לרשימת המכונות, מחפשים את העמודה Tags (תגים). התגים מוצגים בפורמט key:value.

gcloud

כדי לקבל רשימה של תגי tag bindings שמצורפים ישירות למשאב, משתמשים בפקודה gcloud resource-manager tags bindings list. אם מוסיפים את הדגל --effective, מקבלים גם את כל הקישורים לתגים שעברו בירושה מהמשאב הזה.

כדי להציג רשימה של כל התוויות שמשויכות למופע, מריצים את הפקודה הבאה:

gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
  • PROJECT_ID: מזהה הפרויקט.
  • INSTANCE_ID: המזהה של המכונה.
  • LOCATION: המיקום של מופע משתנה בהתאם להגדרה שלו:
    • במקרה של מופע אזורי, המיקום של ההגדרה שלו. לדוגמה, us-east1.
    • במקרה של מופע בשני אזורים, מיקום המשאב עם 2 אותיות. לדוגמה, de עבור dual-region-germany1.
    • במקרה של מופע רב-אזורי, השם של ההגדרה שלו. לדוגמה, eur3 או nam-eur-asia1.

API

כדי לראות רשימה של קישורי תגים שמצורפים ישירות למופע או עוברים בירושה ממנו באמצעות REST או RPC API, אפשר לעיין במאמר בנושא הצגת רשימה של כל התגים שמצורפים למשאב.

מחיקת קישור תגים

כשמסירים הגדרה של מפתח או ערך של תג, צריך לוודא שהתג מנותק מהמופע. כדי למחוק תג, צריך קודם למחוק את הקישורים הקיימים לתג.

המסוף

  1. נכנסים לדף Spanner Instances במסוף Google Cloud .

    כניסה לדף Spanner Instances

  2. מסמנים את התיבה לצד המופע שרוצים למחוק בו את הקישור של התג.

  3. לוחצים על תגים.

  4. בחלונית Tags (תגים), לצד התג שרוצים לנתק, לוחצים על Delete item (מחיקת הפריט).

  5. לוחצים על Save.

  6. בתיבת הדו-שיח אישור, לוחצים על אישור כדי לבטל את הקישור של התג.

    התראה מאשרת שהתגים עודכנו.

gcloud

כדי למחוק קישור תג, מריצים את הפקודה הבאה:

gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=TAG_VALUE_NAME
--location=LOCATION
  • PROJECT_ID: מזהה הפרויקט.
  • INSTANCE_ID: המזהה של המכונה.
  • TAG_VALUE_NAME: TAG_VALUE_NAME הוא המזהה הקבוע או מזהה מרחב השמות של ערך התג שיצורף. לדוגמה: ‫tagValues/4567890123 (מזהה קבוע) או 12345678/env/prod (מזהה מרחב שמות). מזהה מרחב השמות מורכב מהרכיבים הבאים:
    • ORG_ID: מזהה הארגון.
    • KEY_NAME: השם המוצג (המקוצר) של מפתח התג. לדוגמה, env.
    • VALUE_NAME: השם המוצג (המקוצר) של ערך התג. לדוגמה, prod.
  • LOCATION: המיקום של מופע משתנה בהתאם להגדרה שלו:
    • במקרה של מופע אזורי, המיקום של ההגדרה שלו. לדוגמה, us-east1.
    • במקרה של מופע בשני אזורים, מיקום המשאב עם 2 אותיות. לדוגמה, de עבור dual-region-germany1.
    • במקרה של מופע רב-אזורי, השם של ההגדרה שלו. לדוגמה, eur3 או nam-eur-asia1.

API

כדי לבטל את הצירוף של תג למשאב על ידי מחיקת משאב הקישור של התג באמצעות REST או RPC API, אפשר לעיין במאמר ביטול הצירוף של תג למשאב.

מחיקת תג

אחרי שמוחקים את הקישור של התג, אפשר למחוק את התג. במאמר מחיקת תגים מוסבר איך למחוק מפתחות וערכים של תגים.

המאמרים הבאים