Ce document explique comment utiliser des tags pour appliquer des stratégies Identity and Access Management (IAM) de manière conditionnelle aux clusters Cloud Workstations.
Un tag est une paire clé-valeur que vous pouvez associer directement à un cluster Cloud Workstations. Un cluster Cloud Workstations peut également
hériter d'un tag d'autres
Google Cloud ressources. Vous pouvez appliquer des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique. Par exemple, vous pouvez accorder de manière conditionnelle le rôle "Créateur Cloud Workstations" à un compte principal sur n'importe quel cluster Cloud Workstations doté du tag environment:dev.
Pour en savoir plus sur l'utilisation des tags dans la Google Cloud hiérarchie des ressources, consultez la page Présentation des tags.
Avant de commencer
Vous devez attribuer des rôles IAM qui accordent aux utilisateurs les autorisations nécessaires pour effectuer chaque tâche décrite dans ce document. Vous devez également créer des clés et des valeurs de tags à associer aux ressources.
Rôles requis
Les rôles suivants fournissent les autorisations nécessaires pour taguer les ressources Cloud Workstations :
Associer un tag à un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour associer un tag à un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour créer un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour créer des tags:
Administrateur de tags (
roles/resourcemanager.tagAdmin) sur votre projet -
Pour gérer les tags:
Utilisateur de tags (
roles/resourcemanager.tagUser) sur la valeur du tag et le cluster Cloud Workstations
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour associer un tag à un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour associer un tag à un cluster Cloud Workstations :
-
workstations.workstationClusters.createTagBindingsur le cluster -
resourcemanager.tagValueBindings.createsur la valeur du tag -
workstations.workstationClusters.createsur le cluster pour associer un tag lors de la création d'un cluster -
workstations.workstationClusters.updatesur le cluster pour associer un tag lors de la mise à jour d'un cluster
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Supprimer un tag d'un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour supprimer un tag d'un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour supprimer un tag d'un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour gérer les tags:
Utilisateur de tags (
roles/resourcemanager.tagUser) sur la valeur du tag et le cluster Cloud Workstations -
Pour supprimer des tags:
Administrateur de tags (
roles/resourcemanager.tagAdmin) sur votre projet
Ces rôles prédéfinis contiennent les autorisations requises pour supprimer un tag d'un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour supprimer un tag d'un cluster Cloud Workstations :
-
workstations.workstationClusters.deleteTagBindingsur le cluster -
resourcemanager.tagValueBindings.deletesur la valeur du tag -
workstations.workstationClusters.updatesur le cluster pour supprimer un tag lors de la mise à jour d'un cluster
Répertorier les tags associés à un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour répertorier les tags associés à un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour répertorier les tags associés à un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour répertorier les tags :
Lecteur de tags (
roles/resourcemanager.tagViewer) sur la valeur du tag et le cluster Cloud Workstations
Ces rôles prédéfinis contiennent les autorisations requises pour répertorier les tags associés à un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour répertorier les tags associés à un cluster Cloud Workstations :
-
resourcemanager.tagKeys.listsur le parent de la clé de tag -
resourcemanager.tagKeys.getsur la clé de tag -
resourcemanager.tagValues.listsur le parent de la valeur du tag -
resourcemanager.tagValues.getsur la valeur du tag -
workstations.workstationClusters.listTagBindingssur le cluster -
workstations.workstationClusters.listEffectiveTagssur le cluster
Créer des clés et des valeurs de tags
Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tags, consultez les sections Créer un tag et Ajouter des valeurs de tags.
Tagger les clusters Cloud Workstations
Les sections suivantes expliquent comment associer des tags à des clusters Cloud Workstations nouveaux et existants, lister les tags associés à un cluster Cloud Workstations et dissocier les tags d'un cluster Cloud Workstations.
Associer des tags lors de la création d'un cluster Cloud Workstations
Une fois que vous avez créé un tag, vous pouvez l'associer à un nouveau cluster Cloud Workstations. Pour chaque clé de tag, vous pouvez associer une valeur de tag à un cluster Cloud Workstations. Pour chaque cluster Cloud Workstations, vous pouvez associer au maximum 50 tags.
Console
Dans la Google Cloud console, accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur Créer.
Saisissez les informations de votre nouveau cluster Cloud Workstations. Pour en savoir plus, consultez la page Créer un cluster de stations de travail.
Dans la section Tags, sélectionnez les tags que vous souhaitez ajouter au nouveau cluster Cloud Workstations.
Cliquez sur Créer.
gcloud
Exécutez la commande gcloud workstations clusters create avec l'option --tags :
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Remplacez les éléments suivants :
WORKSTATIONS_CLUSTER_NAME: nom de votre cluster Cloud Workstations.LOCATION: région de votre cluster.TAG: tag que vous associez au nouveau cluster Cloud Workstations. Si vous utilisez plusieurs tags, séparez-les par une virgule. Exemple :556741164180/env:prod,myProject/department:sales. Chaque tag doit porter le nom de l'espace de noms associé à la clé et le nom court de la valeur.WORKSTATIONS_PROJECT_ID: ID de votre projet de stations de travail.
API
Appelez la
workstationClusters.create méthode.
Incluez les tags dans le champ tags de WorkstationCluster.
Associer des tags à un cluster Cloud Workstations existant
Une fois que vous avez créé un tag, vous pouvez l'associer à un cluster Cloud Workstations existant. Pour chaque clé de tag, vous pouvez associer une valeur de tag à un cluster Cloud Workstations. Pour chaque cluster Cloud Workstations, vous pouvez associer au maximum 50 tags.
Console
Dans la Google Cloud console, accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations auquel vous souhaitez associer le tag.
Cliquez sur Modifier.
Dans la section Tags, sélectionnez les tags que vous souhaitez ajouter au cluster Cloud Workstations.
Cliquez sur Enregistrer.
gcloud
Pour associer un tag à un cluster Cloud Workstations à l'aide de la ligne de commande, créez une
ressource de liaison de tag à l'aide de la
gcloud resource-manager tags bindings create commande :
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom de l'espace de noms de la valeur du tag à associer, tel quetagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: ID complet du cluster Cloud Workstations, avec le nom de domaine de l'API (//workstations.googleapis.com/) permettant de déterminer le type de ressource. Exemple ://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: région du cluster Cloud Workstations.
API
Appelez la
workstationClusters.patch méthode.
Incluez les tags dans le champ tags de WorkstationCluster.
Répertorier les tags associés à un cluster Cloud Workstations
Vous pouvez lister les tags directement associés à un cluster Cloud Workstations. Ce processus ne liste pas les tags hérités des ressources parentes.
Console
Dans la Google Cloud console, accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations pour lequel vous souhaitez lister les tags.
Les tags sont visibles dans la section Tags.
gcloud
Pour obtenir la liste des liaisons de tags associées à une ressource, exécutez la commande gcloud resource-manager tags bindings list :
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
RESOURCE_ID: ID complet du cluster Cloud Workstations, avec le nom de domaine de l'API (//workstations.googleapis.com/) permettant de déterminer le type de ressource. Exemple ://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: région du cluster Cloud Workstations.
API
Appelez la
v3.tagBindings.list méthode.
Incluez le cluster Cloud Workstations dans le champ parent. Exemple : //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Dissocier des tags d'un cluster Cloud Workstations
Vous pouvez supprimer une association de tag d'un cluster Cloud Workstations en supprimant la liaison de tag. Si vous devez supprimer un tag, vous devez d'abord le dissocier de votre cluster Cloud Workstations en procédant comme suit.
Console
Dans la Google Cloud console, accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations duquel vous souhaitez dissocier le tag.
Cliquez sur Modifier.
Dans la section Tags, supprimez les tags que vous souhaitez dissocier du cluster Cloud Workstations.
Cliquez sur Enregistrer.
gcloud
Pour supprimer une association de tag d'un cluster Cloud Workstations à l'aide de la ligne de commande, supprimez la
liaison de tag à l'aide de la
gcloud resource-manager tags bindings delete commande :
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom de l'espace de noms de la valeur du tag à associer, tel quetagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: ID complet du cluster Cloud Workstations, avec le nom de domaine de l'API (//workstations.googleapis.com/) permettant de déterminer le type de ressource. Exemple ://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: région du cluster Cloud Workstations.
API
Appelez la
workstationClusters.patch méthode.
Supprimez les tags dans le champ tags de WorkstationCluster.
Étape suivante
- Pour obtenir une présentation des tags dans Google Cloud, consultez la page Présentation des tags.
- Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.
- Pour en savoir plus sur le contrôle des accès aux ressources Cloud Workstations avec des conditions IAM, consultez la page Contrôle des accès avec des conditions IAM.