Questo documento descrive come utilizzare i tag per applicare in modo condizionale le policy di Identity and Access Management (IAM) ai cluster Cloud Workstations.
Un tag è una coppia chiave-valore che puoi collegare direttamente a un cluster Cloud Workstations. Un cluster Cloud Workstations può anche
ereditare un tag da altre
Google Cloud risorse. Puoi applicare le policy in modo condizionale a seconda che una risorsa abbia un tag specifico. Ad esempio, potresti concedere in modo condizionale il ruolo Cloud Workstations Creator a un'entità su qualsiasi cluster Cloud Workstations con il tag environment:dev.
Per saperne di più sull'utilizzo dei tag nella Google Cloud gerarchia delle risorse, consulta Introduzione ai tag.
Prima di iniziare
Devi concedere i ruoli IAM che forniscono agli utenti le autorizzazioni necessarie per eseguire ogni attività descritta in questo documento. Devi anche creare chiavi e valori dei tag da collegare alle risorse.
Ruoli obbligatori
I seguenti ruoli forniscono le autorizzazioni necessarie per taggare le risorse Cloud Workstations:
Collega un tag a un cluster Cloud Workstations
Per ottenere le autorizzazioni necessarie per collegare un tag a un cluster Cloud Workstations, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per creare un cluster Cloud Workstations:
Cloud Workstations Admin (
roles/workstations.admin) sul tuo progetto -
Per creare tag:
Tag Administrator (
roles/resourcemanager.tagAdmin) sul tuo progetto -
Per gestire i tag:
Tag User (
roles/resourcemanager.tagUser) sul valore del tag e sul cluster Cloud Workstations
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per collegare un tag a un cluster Cloud Workstations. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per collegare un tag a un cluster Cloud Workstations sono necessarie le seguenti autorizzazioni:
-
workstations.workstationClusters.createTagBindingsul cluster -
resourcemanager.tagValueBindings.createsul valore del tag -
workstations.workstationClusters.createsul cluster per collegare un tag durante la creazione di un cluster -
workstations.workstationClusters.updatesul cluster per collegare un tag durante l'aggiornamento di un cluster
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Rimuovi un tag da un cluster Cloud Workstations
Per ottenere le autorizzazioni necessarie per rimuovere un tag da un cluster Cloud Workstations, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per rimuovere un tag da un cluster Cloud Workstations:
Cloud Workstations Admin (
roles/workstations.admin) sul tuo progetto -
Per gestire i tag:
Tag User (
roles/resourcemanager.tagUser) sul valore del tag e sul cluster Cloud Workstations -
Per eliminare i tag:
Tag Administrator (
roles/resourcemanager.tagAdmin) sul tuo progetto
Questi ruoli predefiniti contengono le autorizzazioni necessarie per rimuovere un tag da un cluster Cloud Workstations. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per rimuovere un tag da un cluster Cloud Workstations sono necessarie le seguenti autorizzazioni:
-
workstations.workstationClusters.deleteTagBindingsul cluster -
resourcemanager.tagValueBindings.deletesul valore del tag -
workstations.workstationClusters.updatesul cluster per rimuovere un tag durante l'aggiornamento di un cluster
Elenca i tag collegati a un cluster Cloud Workstations
Per ottenere le autorizzazioni necessarie per elencare i tag collegati a un cluster Cloud Workstations, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per elencare i tag collegati a un cluster Cloud Workstations:
Cloud Workstations Admin (
roles/workstations.admin) sul tuo progetto -
Per elencare i tag:
Tag Viewer (
roles/resourcemanager.tagViewer) sul valore del tag e sul cluster Cloud Workstations
Questi ruoli predefiniti contengono le autorizzazioni necessarie per elencare i tag collegati a un cluster Cloud Workstations. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per elencare i tag collegati a un cluster Cloud Workstations sono necessarie le seguenti autorizzazioni:
-
resourcemanager.tagKeys.listsul parent della chiave tag -
resourcemanager.tagKeys.getsulla chiave tag -
resourcemanager.tagValues.listsul parent del valore del tag -
resourcemanager.tagValues.getsul valore del tag -
workstations.workstationClusters.listTagBindingssul cluster -
workstations.workstationClusters.listEffectiveTagssul cluster
Crea chiavi e valori dei tag
Prima di poter allegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi e valori dei tag, consulta Creazione di un tag e Aggiunta di valori tag.
Taggare i cluster Cloud Workstations
Le sezioni seguenti descrivono come collegare i tag ai cluster Cloud Workstations nuovi ed esistenti, elencare i tag collegati a un cluster Cloud Workstations e scollegare i tag da un cluster Cloud Workstations.
Collega i tag quando crei un nuovo cluster Cloud Workstations
Dopo aver creato un tag, puoi collegarlo a un nuovo cluster Cloud Workstations. Per ogni chiave tag, puoi collegare un valore tag a un cluster Cloud Workstations. Per ogni cluster Cloud Workstations, puoi collegare al massimo 50 tag.
Console
Nella Google Cloud console, vai alla pagina Cloud Workstations.
Fai clic sulla sezione Gestione cluster.
Fai clic su Crea.
Inserisci le informazioni per il nuovo cluster Cloud Workstations. Per maggiori dettagli, vedi Creare un cluster di workstation.
Nella sezione Tag, seleziona i tag che vuoi aggiungere al nuovo cluster Cloud Workstations.
Fai clic su Crea.
gcloud
Utilizza il
gcloud workstations clusters create comando
con il --tags flag:
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Sostituisci quanto segue:
WORKSTATIONS_CLUSTER_NAME: il nome del cluster Cloud Workstations.LOCATION: la regione del cluster.TAG: il tag che stai collegando al nuovo cluster Cloud Workstations. Più tag sono separati da virgole. Ad esempio,556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome della chiave con spazio dei nomi e il nome breve del valore.WORKSTATIONS_PROJECT_ID: l'ID del progetto della workstation.
API
Chiama il
workstationClusters.create metodo.
Includi i tag nel campo tags di WorkstationCluster.
Collega i tag a un cluster Cloud Workstations esistente
Dopo aver creato un tag, puoi collegarlo a un cluster Cloud Workstations esistente. Per ogni chiave tag, puoi collegare un valore tag a un cluster Cloud Workstations. Per ogni cluster Cloud Workstations, puoi collegare al massimo 50 tag.
Console
Nella Google Cloud console, vai alla pagina Cloud Workstations.
Fai clic sulla sezione Gestione cluster.
Fai clic sul cluster Cloud Workstations a cui vuoi collegare il tag.
Fai clic su Modifica.
Nella sezione Tag, seleziona i tag che vuoi aggiungere al cluster Cloud Workstations.
Fai clic su Salva.
gcloud
Per collegare un tag a un cluster Cloud Workstations utilizzando la riga di comando, crea una
risorsa di associazione tag utilizzando il
gcloud resource-manager tags bindings create comando:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Sostituisci quanto segue:
TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore del tag da collegare, ad esempiotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: l'ID completo del cluster Cloud Workstations, incluso il nome di dominio dell'API (//workstations.googleapis.com/) per identificare il tipo di risorsa. Ad esempio,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: la regione del cluster Cloud Workstations.
API
Chiama il
workstationClusters.patch metodo.
Includi i tag nel campo tags di WorkstationCluster.
Elenca i tag collegati a un cluster Cloud Workstations
Puoi elencare i tag collegati direttamente a un cluster Cloud Workstations. Questa procedura non elenca i tag ereditati dalle risorse padre.
Console
Nella Google Cloud console, vai alla pagina Cloud Workstations.
Fai clic sulla sezione Gestione cluster.
Fai clic sul cluster Cloud Workstations per il quale vuoi elencare i tag.
I tag sono visibili nella sezione Tag.
gcloud
Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il
gcloud resource-manager tags bindings list comando:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Sostituisci quanto segue:
RESOURCE_ID: l'ID completo del cluster Cloud Workstations, incluso il nome di dominio dell'API (//workstations.googleapis.com/) per identificare il tipo di risorsa. Ad esempio,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: la regione del cluster Cloud Workstations.
API
Chiama il
v3.tagBindings.list metodo.
Includi il cluster Cloud Workstations nel campo parent. Ad esempio, //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Scollega i tag da un cluster Cloud Workstations
Puoi rimuovere un'associazione di tag da un cluster Cloud Workstations eliminando l'associazione di tag. Se devi eliminare un tag, devi prima scollegarlo dal cluster Cloud Workstations seguendo questi passaggi.
Console
Nella Google Cloud console, vai alla pagina Cloud Workstations.
Fai clic sulla sezione Gestione cluster.
Fai clic sul cluster Cloud Workstations da cui vuoi scollegare il tag.
Fai clic su Modifica.
Nella sezione Tag, rimuovi i tag che vuoi scollegare dal cluster Cloud Workstations.
Fai clic su Salva.
gcloud
Per rimuovere un'associazione di tag da un cluster Cloud Workstations utilizzando la riga di comando, elimina l'
associazione di tag utilizzando il
gcloud resource-manager tags bindings delete comando:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Sostituisci quanto segue:
TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore del tag da collegare, ad esempiotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: l'ID completo del cluster Cloud Workstations, incluso il nome di dominio dell'API (//workstations.googleapis.com/) per identificare il tipo di risorsa. Ad esempio,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: la regione del cluster Cloud Workstations.
API
Chiama il
workstationClusters.patch metodo.
Rimuovi i tag nel campo tags di WorkstationCluster.
Passaggi successivi
- Per una panoramica dei tag in Google Cloud, consulta Introduzione ai tag.
- Per saperne di più su come utilizzare i tag, consulta Creare e gestire i tag.
- Per informazioni su come controllare l'accesso alle risorse Cloud Workstations con le condizioni IAM, consulta Controllo dell'accesso con le condizioni IAM.