En este documento se describe cómo usar etiquetas para aplicar de forma condicional políticas de Gestión de Identidades y Accesos (IAM) a clústeres de Cloud Workstations.
Una etiqueta es un par clave-valor que puedes adjuntar directamente a un clúster de Cloud Workstations. Un clúster de Cloud Workstations también puede heredar una etiqueta de otrosGoogle Cloud recursos. Puedes aplicar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes conceder de forma condicional el rol Creador de Cloud Workstations a una entidad en cualquier clúster de Cloud Workstations con la etiqueta environment:dev.
Para obtener más información sobre el uso de etiquetas en la jerarquía de recursos, consulta el artículo Descripción general de las etiquetas. Google Cloud
Antes de empezar
Debe asignar roles de gestión de identidades y accesos que den a los usuarios los permisos necesarios para realizar cada tarea de este documento. También debe crear claves y valores de etiquetas para asociarlos a los recursos.
Roles obligatorios
Los siguientes roles proporcionan los permisos necesarios para etiquetar recursos de Cloud Workstations:
Asociar una etiqueta a un clúster de Cloud Workstations
Para obtener los permisos que necesitas para adjuntar una etiqueta a un clúster de Cloud Workstations, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Para crear un clúster de Cloud Workstations, sigue estos pasos:
Administrador de Cloud Workstations (
roles/workstations.admin) en tu proyecto -
Para crear etiquetas, sigue estos pasos:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) en tu proyecto -
Para gestionar las etiquetas, sigue estos pasos:
Usuario de etiqueta (
roles/resourcemanager.tagUser) en el valor de la etiqueta y el clúster de Cloud Workstations
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para asociar una etiqueta a un clúster de Cloud Workstations. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para adjuntar una etiqueta a un clúster de Cloud Workstations, se necesitan los siguientes permisos:
-
workstations.workstationClusters.createTagBindingen el clúster -
resourcemanager.tagValueBindings.createen el valor de la etiqueta -
workstations.workstationClusters.createen el clúster para adjuntar una etiqueta al crear un clúster -
workstations.workstationClusters.updateen el clúster para adjuntar una etiqueta al actualizar un clúster
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Quitar una etiqueta de un clúster de Cloud Workstations
Para obtener los permisos que necesitas para quitar una etiqueta de un clúster de Cloud Workstations, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Para quitar una etiqueta de un clúster de Cloud Workstations, sigue estos pasos:
Administrador de Cloud Workstations (
roles/workstations.admin) en tu proyecto -
Para gestionar las etiquetas, sigue estos pasos:
Etiqueta de usuario (
roles/resourcemanager.tagUser) en el valor de la etiqueta y el clúster de Cloud Workstations -
Para eliminar etiquetas, sigue estos pasos:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) en tu proyecto
Estos roles predefinidos contienen los permisos necesarios para quitar una etiqueta de un clúster de Cloud Workstations. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para quitar una etiqueta de un clúster de Cloud Workstations, se necesitan los siguientes permisos:
-
workstations.workstationClusters.deleteTagBindingen el clúster -
resourcemanager.tagValueBindings.deleteen el valor de la etiqueta -
workstations.workstationClusters.updateen el clúster para quitar una etiqueta al actualizar un clúster
Lista de etiquetas asociadas a un clúster de Cloud Workstations
Para obtener los permisos que necesitas para enumerar las etiquetas asociadas a un clúster de Cloud Workstations, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Para enumerar las etiquetas asociadas a un clúster de Cloud Workstations, siga estos pasos:
Administrador de Cloud Workstations (
roles/workstations.admin) en su proyecto -
Para enumerar las etiquetas, haz lo siguiente:
Visor de etiquetas (
roles/resourcemanager.tagViewer) en el valor de la etiqueta y el clúster de Cloud Workstations
Estos roles predefinidos contienen los permisos necesarios para enumerar las etiquetas asociadas a un clúster de Cloud Workstations. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para enumerar las etiquetas asociadas a un clúster de Cloud Workstations, se necesitan los siguientes permisos:
-
resourcemanager.tagKeys.listen el elemento superior de la clave de la etiqueta -
resourcemanager.tagKeys.geten la clave de etiqueta -
resourcemanager.tagValues.listen el elemento superior del valor de la etiqueta -
resourcemanager.tagValues.geten el valor de la etiqueta -
workstations.workstationClusters.listTagBindingsen el clúster -
workstations.workstationClusters.listEffectiveTagsen el clúster
Crear claves y valores de etiquetas
Para poder adjuntar una etiqueta, primero debes crearla y configurar su valor. Para crear claves y valores de etiquetas, consulte los artículos Crear una etiqueta y Añadir valores de etiquetas.
Etiquetar clústeres de Cloud Workstations
En las siguientes secciones se describe cómo adjuntar etiquetas a clústeres de Cloud Workstations nuevos y ya creados, cómo enumerar las etiquetas adjuntas a un clúster de Cloud Workstations y cómo separar etiquetas de un clúster de Cloud Workstations.
Asignar etiquetas al crear un clúster de Cloud Workstations
Después de crear una etiqueta, puedes asociarla a un nuevo clúster de Cloud Workstations. Por cada clave de etiqueta, puedes asociar un valor de etiqueta a un clúster de Cloud Workstations. Puedes adjuntar un máximo de 50 etiquetas a cada clúster de Cloud Workstations.
Consola
En la Google Cloud consola, ve a la página Cloud Workstations.
Haz clic en la sección Gestión de clústeres.
Haz clic en Crear.
Introduce la información de tu nuevo clúster de Cloud Workstations. Para obtener más información, consulta Crear un clúster de estaciones de trabajo.
En la sección Etiquetas, selecciona las etiquetas que quieras añadir al nuevo clúster de Cloud Workstations.
Haz clic en Crear.
gcloud
Usa el comando gcloud workstations clusters create con la marca --tags:
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Haz los cambios siguientes:
WORKSTATIONS_CLUSTER_NAME: el nombre de tu clúster de Cloud Workstations.LOCATION: la región de tu clúster.TAG: la etiqueta que vas a asociar al nuevo clúster de Cloud Workstations. Las etiquetas se separan con comas. Por ejemplo,556741164180/env:prod,myProject/department:sales. Cada etiqueta debe tener el nombre de clave con espacio de nombres y el nombre corto del valor.WORKSTATIONS_PROJECT_ID: el ID de tu proyecto de estación de trabajo.
API
Llama al método workstationClusters.create.
Incluye las etiquetas en el campo tags de WorkstationCluster.
Asignar etiquetas a un clúster de Cloud Workstations
Después de crear una etiqueta, puedes adjuntarla a un clúster de Cloud Workstations. Por cada clave de etiqueta, puedes asociar un valor de etiqueta a un clúster de Cloud Workstations. Puedes adjuntar un máximo de 50 etiquetas a cada clúster de Cloud Workstations.
Consola
En la Google Cloud consola, ve a la página Cloud Workstations.
Haz clic en la sección Gestión de clústeres.
Haz clic en el clúster de Cloud Workstations al que quieras adjuntar la etiqueta.
Haz clic en Editar.
En la sección Etiquetas, selecciona las etiquetas que quieras añadir al clúster de Cloud Workstations.
Haz clic en Guardar.
gcloud
Para asociar una etiqueta a un clúster de Cloud Workstations mediante la línea de comandos, crea un recurso de enlace de etiquetas con el comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se va a adjuntar, comotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: la región del clúster de Cloud Workstations.
API
Llama al método workstationClusters.patch.
Incluye las etiquetas en el campo tags de WorkstationCluster.
Lista de etiquetas asociadas a un clúster de Cloud Workstations
Puedes enumerar las etiquetas que están asociadas directamente a un clúster de Cloud Workstations. En este proceso no se muestran las etiquetas que se heredan de los recursos superiores.
Consola
En la Google Cloud consola, ve a la página Cloud Workstations.
Haz clic en la sección Gestión de clústeres.
Haz clic en el clúster de Cloud Workstations del que quieras obtener la lista de etiquetas.
Las etiquetas se muestran en la sección Etiquetas.
gcloud
Para obtener una lista de las vinculaciones de etiquetas asociadas a un recurso, usa el comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
RESOURCE_ID: el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: la región del clúster de Cloud Workstations.
API
Llama al método v3.tagBindings.list.
Incluye el clúster de Cloud Workstations en el campo parent. Por ejemplo, //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Desasociar etiquetas de un clúster de Cloud Workstations
Para quitar una asociación de etiquetas de un clúster de Cloud Workstations, elimina la vinculación de etiquetas. Si necesitas eliminar una etiqueta, primero debes seguir estos pasos para desvincularla de tu clúster de Cloud Workstations.
Consola
En la Google Cloud consola, ve a la página Cloud Workstations.
Haz clic en la sección Gestión de clústeres.
Haz clic en el clúster de Cloud Workstations del que quieras separar la etiqueta.
Haz clic en Editar.
En la sección Etiquetas, quite las etiquetas que quiera desvincular del clúster de Cloud Workstations.
Haz clic en Guardar.
gcloud
Para quitar una asociación de etiquetas de un clúster de Cloud Workstations mediante la línea de comandos, elimina la vinculación de etiquetas con el comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Haz los cambios siguientes:
TAGVALUE_NAME: el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se va a adjuntar, comotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: la región del clúster de Cloud Workstations.
API
Llama al método workstationClusters.patch.
Quita las etiquetas del campo tags de WorkstationCluster.
Siguientes pasos
- Para obtener una descripción general de las etiquetas en Google Cloud, consulta Descripción general de las etiquetas.
- Para obtener más información sobre cómo usar las etiquetas, consulta el artículo Crear y gestionar etiquetas.
- Para obtener información sobre cómo controlar el acceso a los recursos de Cloud Workstations con las condiciones de IAM, consulta el artículo sobre el control de acceso con las condiciones de IAM.