Creazione e gestione dei tag

Questa guida descrive come creare e gestire i tag. Un tag è una coppia chiave-valore che può essere collegata a una risorsa Google Cloud . Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri a seconda che una risorsa supportata abbia un tag specifico.

Prima di iniziare

Per saperne di più sui tag e sul loro funzionamento, consulta la Panoramica dei tag.

Autorizzazioni obbligatorie

Le autorizzazioni necessarie dipendono dall'azione che devi eseguire.

Per ottenere queste autorizzazioni, chiedi all'amministratore di concedere il ruolo suggerito al livello appropriato della gerarchia delle risorse.

Visualizzare i tag

Per visualizzare le definizioni dei tag e i tag collegati alle risorse, devi disporre del ruolo Visualizzatore tag (roles/resourcemanager.tagViewer) o di un altro ruolo che includa le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings per il tipo di risorsa appropriato. Ad esempio, compute.instances.listTagBindings per visualizzare i tag collegati alle istanze Compute Engine.
  • listEffectiveTags
    • per il tipo di risorsa appropriato. Ad esempio, compute.instances.listEffectiveTags per visualizzare tutti i tag collegati o ereditati dalle istanze Compute Engine.

Per visualizzare i tag a livello di organizzazione, devi disporre del ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) per la risorsa organizzazione.

Amministrare i tag

Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre del ruolo Amministratore tag (roles/resourcemanager.tagAdmin) o di un altro ruolo che includa le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Per amministrare i tag a livello di organizzazione, devi disporre del ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) per la risorsa organizzazione.

Gestire i tag sulle risorse

Per aggiungere e rimuovere i tag collegati alle risorse, devi disporre del ruolo Utente tag (roles/resourcemanager.tagUser) o di un altro ruolo con autorizzazioni equivalenti sia per il valore tag sia per le risorse a cui stai collegando il valore tag. Il ruolo Tagga utente include le seguenti autorizzazioni:

Autorizzazioni obbligatorie

  • Autorizzazioni richieste per la risorsa a cui stai collegando il valore del tag
    • Autorizzazione createTagBinding specifica per la risorsa, ad esempio compute.instances.createTagBinding per le istanze di Compute Engine.
    • Autorizzazione deleteTagBinding specifica per la risorsa, ad esempio compute.instances.deleteTagBinding per le istanze di Compute Engine.
  • Autorizzazioni richieste per il valore tag:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorizzazioni che consentono di visualizzare i progetti e le definizioni dei tag:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Creazione e definizione di un nuovo tag

I tag sono costituiti da una coppia chiave-valore e sono collegati a una risorsa nella tua gerarchiaGoogle Cloud . Per creare un nuovo tag, devi prima creare una chiave tag che descriva il tag che stai creando. Ad esempio, potresti voler specificare ambienti di produzione, test e sviluppo per le risorse nella gerarchia delle risorse creando una chiave con il nome environment.

Dopodiché, puoi creare i diversi valori che la chiave può assumere. Se hai creato una chiave tag denominata environment, potresti specificare che esistono tre potenziali ambienti e creare un valore per ciascuno: production,development e test.

Puoi creare un massimo di 1000 chiavi in una determinata organizzazione o progetto e un totale di 1000 valori per ogni chiave.

Infine, puoi collegare questi valori alle risorse nella gerarchia, che comporta l'associazione della coppia chiave-valore. Ad esempio, potresti collegare test a più cartelle dell'ambiente di test nella tua organizzazione e ognuna conterrà la coppia chiave-valore environment: test.

Creare un tag

Per iniziare, devi creare una chiave tag.

Il campo shortName della chiave del tag può avere una lunghezza massima di 256 caratteri. Il set di caratteri consentiti per shortName include caratteri Unicode codificati in UTF-8, ad eccezione di virgolette singole ('), virgolette doppie ("), barre rovesciate (\) e barre (/).

Una volta creato, il shortName non può essere modificato e deve essere univoco all'interno dello stesso spazio dei nomi.

Console

Per creare una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave tag.

  3. Fai clic su Crea.

  4. Nella casella Chiave tag, inserisci il nome visualizzato della chiave tag. Questo diventa parte del nome spazio dei nomi del tag.

  5. Nella casella Descrizione chiave tag, inserisci una descrizione della chiave tag.

  6. Se vuoi aggiungere valori tag a questa chiave, fai clic su Aggiungi valore per ogni valore tag che vuoi creare.

  7. Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome spazio dei nomi del tag.

  8. Nella casella Descrizione del valore tag, inserisci una descrizione del valore tag.

  9. Quando hai finito di aggiungere i valori dei tag, fai clic su Crea chiave tag.

gcloud

Per creare una chiave tag, utilizza il comando gcloud resource-manager tags keys create:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Dove:

  • SHORT_NAME è il nome visualizzato della chiave tag, ad esempio environment.

  • RESOURCE_ID è l'ID dell'organizzazione o della risorsa progetto padre per questa chiave tag; ad esempio: organizations/123456789012, projects/test-project123 o projects/234567890123. Per scoprire come ottenere l'ID organizzazione, consulta la pagina Creare e gestire le organizzazioni. Per scoprire come ottenere l'ID progetto, vedi Creazione e gestione dei progetti.

Dovresti ricevere una risposta simile alla seguente:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Terraform

Utilizza la risorsa google_tags_tag_key.

Prima di creare chiavi tag utilizzando Terraform, abilita l'API Cloud Resource Manager.

L'esempio seguente crea chiavi tag denominate env e department:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department"
}

Per applicare la configurazione di Terraform in un progetto Google Cloud , completa i passaggi nelle sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere la propria directory (chiamata anche modulo radice).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file viene denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    (Facoltativo) Copia il codice da GitHub. Questa operazione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Rivedi e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi effettuare questa operazione una sola volta per directory. 
    terraform init

    (Facoltativo) Per utilizzare l'ultima versione del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

    Attendi che Terraform visualizzi il messaggio "Apply complete!" (Applicazione completata).

  3. Apri il tuo Google Cloud progetto per visualizzare i risultati. Nella console Google Cloud , vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

API

Per creare una chiave tag, crea una rappresentazione JSON della chiave. Per ulteriori informazioni sul formato di una chiave tag, consulta la documentazione di riferimento di TagKey.

Dopodiché, utilizza il metodo tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Corpo JSON della richiesta:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Dove:

  • SHORT_NAME è il nome visualizzato della chiave tag, ad esempio environment.

  • RESOURCE_ID è l'ID dell'organizzazione o della risorsa progetto padre per questa chiave tag; ad esempio: organizations/123456789012, projects/test-project123 o projects/234567890123. Per scoprire come ottenere l'ID organizzazione, consulta la pagina Creare e gestire le organizzazioni. Per scoprire come ottenere l'ID progetto, vedi Creazione e gestione dei progetti.

  • DESCRIPTION è una descrizione della chiave e non può contenere più di 256 caratteri.

Dopo aver creato la chiave, puoi trovare il nome visualizzato univoco leggibile chiamato namespacedName, che si trova nello spazio dei nomi della risorsa principale, e un ID permanente univoco a livello globale chiamato name.

Visualizzare una chiave tag

Puoi trovare informazioni su una determinata chiave tag utilizzando l'ID permanente o il nome con spazio dei nomi visualizzato al momento della creazione.

Console

Per visualizzare un tag creato:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene il tag.

  3. Nell'elenco vengono visualizzati tutti i tag dell'organizzazione o del progetto selezionato. Fai clic sul tag per cui vuoi visualizzare la chiave tag.

gcloud

Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il comando gcloud resource-manager tags keys describe:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME è l'ID permanente o il nome con spazio dei nomi della chiave del tag per cui vuoi visualizzare le informazioni; ad esempio: tagKeys/123456789012 o project-id/environment.

Dovresti ricevere una risposta simile alla seguente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Per visualizzare le informazioni relative a una determinata chiave tag, utilizza il metodo tagKeys.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME è l'ID permanente della chiave del tag per cui vuoi visualizzare le informazioni; ad esempio: tagKeys/123456789012.

Per visualizzare le informazioni relative a una determinata chiave di tag utilizzando il nome con spazio dei nomi, utilizza il metodo tagKeys.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME è il nome con spazio dei nomi della chiave tag e ha il formato parentNamespace/tagKeyShortName.

Aggiunta di valori tag

Una volta creata una chiave tag, puoi aggiungere i valori accettati per la chiave.

Il shortName del valore del tag deve soddisfare i seguenti requisiti:

  • Un shortName può avere una lunghezza massima di 256 caratteri.

  • Un shortName deve iniziare con un carattere alfanumerico.

  • Un shortName può contenere caratteri Unicode codificati in UTF-8, ad eccezione di virgolette singole ('), virgolette doppie ("), barre rovesciate (\) e barre (/).

  • Un shortName non può essere modificato dopo la creazione e deve essere univoco all'interno dello stesso spazio dei nomi.

Console

Per creare un valore tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare un valore tag.

  3. Nell'elenco dei tag, fai clic sul tag a cui vuoi aggiungere un nuovo valore.

  4. Fai clic su Aggiungi valore.

  5. Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo diventa parte del nome spazio dei nomi del tag.

  6. Nella casella Descrizione del valore tag, inserisci una descrizione del valore tag.

  7. Fai clic su Salva.

gcloud

Per creare un valore tag, utilizza il comando gcloud resource-manager tags values create. Devi specificare la chiave in cui viene creato questo valore:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Dove:

  • TAGVALUE_SHORTNAME è il nome breve del nuovo valore tag, ad esempio production.

  • TAGKEY_NAME è l'ID permanente o il nome con spazio dei nomi della chiave tag principale; ad esempio: tagKeys/4567890123.

Dovresti ricevere una risposta simile alla seguente:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

Terraform

Utilizza la risorsa google_tags_tag_value.

Prima di creare valori dei tag utilizzando Terraform, abilita l'API Cloud Resource Manager.

Il seguente esempio crea valori tag denominati prod e sales:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env1"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department1"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

Per applicare la configurazione di Terraform in un progetto Google Cloud , completa i passaggi nelle sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere la propria directory (chiamata anche modulo radice).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file viene denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    (Facoltativo) Copia il codice da GitHub. Questa operazione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Rivedi e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi effettuare questa operazione una sola volta per directory. 
    terraform init

    (Facoltativo) Per utilizzare l'ultima versione del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

    Attendi che Terraform visualizzi il messaggio "Apply complete!" (Applicazione completata).

  3. Apri il tuo Google Cloud progetto per visualizzare i risultati. Nella console Google Cloud , vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

API

Per creare un valore tag, crea una rappresentazione JSON del valore. Per ulteriori informazioni sul formato di un valore di tag, consulta la documentazione di riferimento di TagValue.

Quindi, utilizza il metodo tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Corpo JSON della richiesta:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Dove:

  • TAGKEY_NAME è l'ID permanente della chiave tag principale; ad esempio:tagKeys/4567890123.

  • SHORT_NAME è il nome visualizzato del valore tag; ad esempio: environment.

  • DESCRIPTION è una descrizione del valore e non può contenere più di 256 caratteri. Dopo aver creato il valore, puoi trovare il nome visualizzato univoco leggibile chiamato namespacedName, che si trova nello spazio dei nomi della risorsa principale, e un ID permanente univoco a livello globale chiamato name.

Recupero dei valori dei tag

Puoi trovare informazioni su un determinato valore del tag utilizzando l'ID permanente o il nome con spazio dei nomi visualizzato al momento della creazione.

Console

Per visualizzare un tag creato:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene il tag.

  3. Nell'elenco vengono visualizzati tutti i tag che hai creato in questa organizzazione o in questo progetto. Fai clic sul tag di cui vuoi visualizzare i valori.

gcloud

Per visualizzare le informazioni relative a un determinato valore del tag, utilizza il comando gcloud resource-manager tags values describe:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore tag; ad esempio: tagValues/4567890123 o 123456789012/environment/production.

Dovresti ricevere una risposta simile alla seguente:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Per visualizzare le informazioni relative a un determinato valore del tag, utilizza il metodo tagValues.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME è l'ID permanente del valore del tag; ad esempio: tagValues/4567890123.

Per visualizzare le informazioni relative a un determinato valore del tag utilizzando il relativo nome con spazio dei nomi, utilizza il metodo tagValues.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME è il nome con spazio dei nomi del valore tag e ha il formato parentNamespace/tagKeyShortName/tagValueShortName.

Quando fai riferimento ai tag utilizzando Google Cloud CLI, puoi utilizzare il nome con spazio dei nomi o l'ID permanente per le chiavi e i valori dei tag. Le chiamate all'API ad eccezione di getNamespaced devono utilizzare solo l'ID permanente. Per ulteriori informazioni sui tipi di identificatori utilizzati da un tag, consulta Definizioni e identificatori dei tag.

Aggiornamento dei tag esistenti

Puoi modificare un tag esistente aggiornando la chiave o i valori associati. Puoi aggiornare la descrizione di un tag, ma non il nome breve.

Console

Per aggiornare la descrizione di una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave tag.

  3. Fai clic su Azioni accanto alla chiave del tag che vuoi aggiornare, quindi fai clic su Visualizza dettagli.

  4. Fai clic su Modifica accanto a Descrizione nella parte superiore dello schermo.

  5. Aggiorna la descrizione della chiave tag.

  6. Fai clic su Salva.

gcloud

Per modificare la descrizione di una chiave tag, utilizza il comando gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Dove:

  • TAGKEY_NAME è l'ID permanente o il nome con spazio dei nomi della chiave da aggiornare; ad esempio: tagKeys/123456789012.

  • NEW_DESCRIPTION è una stringa di massimo 256 caratteri da utilizzare come nuova descrizione.

Dovresti ricevere una risposta simile alla seguente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Per modificare la descrizione di una chiave tag, utilizza il metodo tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Corpo JSON della richiesta:

{
    "description": DESCRIPTION,
}

Dove:

  • TAGKEY_NAME è l'ID permanente della chiave tag; ad esempio: tagKeys/123456789012.

  • DESCRIPTION è una descrizione della chiave e non può contenere più di 256 caratteri.

Puoi anche modificare la descrizione dei valori dei tag.

Console

Per aggiornare la descrizione di un valore tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene il valore del tag.

  3. Fai clic su Azioni accanto alla chiave del tag per il valore che vuoi aggiornare, quindi fai clic su Visualizza dettagli.

  4. Fai clic su Azioni accanto al valore del tag che vuoi aggiornare, poi fai clic su Visualizza dettagli.

  5. Fai clic su Modifica accanto a Descrizione nella parte superiore dello schermo.

  6. Aggiorna la descrizione del valore del tag.

  7. Fai clic su Salva.

gcloud

Per modificare la descrizione di un valore tag, utilizza il comando gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore del tag da aggiornare; ad esempio: tagValues/4567890123.

  • NEW_DESCRIPTION è una stringa di massimo 256 caratteri da utilizzare come nuova descrizione.

Dovresti ricevere una risposta simile alla seguente:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Per modificare la descrizione di una chiave tag, utilizza il comando tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Corpo JSON della richiesta:

{
    "description": DESCRIPTION,
}

Dove:

  • TAGVALUE_NAME è il nome dell'ID permanente del valore del tag; ad esempio: tagValues/4567890123.

  • DESCRIPTION è una descrizione della chiave e non può contenere più di 256 caratteri.

Chiavi dei tag della scheda

Puoi elencare tutte le chiavi tag associate a una determinata risorsa di organizzazione o progetto utilizzando la console Google Cloud , gcloud CLI o con una chiamata all'API.

Console

Per visualizzare tutti i tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene i tag.

  3. Nell'elenco vengono visualizzati tutti i tag che hai creato in questa organizzazione o in questo progetto.

gcloud

Per restituire un elenco di tutte le chiavi tag create in un'organizzazione o in una risorsa di progetto, utilizza il comando gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID è l'ID della risorsa dell'organizzazione o del progetto per cui vuoi trovare le chiavi tag associate.

  • Un ID organizzazione o progetto deve essere fornito nel formato organizations/ORGANIZATION_ID o projects/PROJECT_NAME; ad esempio: organizations/123456789012 e projects/test-project123. Per scoprire come ottenere l'ID organizzazione, vedi Creare e gestire le organizzazioni. Per scoprire come ottenere l'ID progetto, vedi Creazione e gestione dei progetti. Dovresti ricevere una risposta simile alla seguente:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Per restituire un elenco di tutte le chiavi tag per una determinata risorsa, utilizza il metodo tagKeys.list, con la risorsa padre specificata nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID è l'ID della risorsa dell'organizzazione o del progetto per cui vuoi trovare le chiavi tag associate; ad esempio: organizations/123456789012 e projects/test-project123.

Elencare i valori dei tag

Puoi elencare tutti i valori dei tag associati a una determinata chiave tag utilizzando la consoleGoogle Cloud , gcloud CLI o una chiamata all'API.

Console

Per visualizzare tutti i valori dei tag associati a una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave tag.

  3. Fai clic su Azioni accanto alla chiave tag contenente i valori tag che vuoi trovare, quindi fai clic su Visualizza dettagli.

  4. Nell'elenco vengono visualizzati tutti i valori dei tag che hai creato in questa chiave tag.

gcloud

Per restituire un elenco di tutti i valori dei tag collegati a una chiave, utilizza il comando gcloud resource-manager tags values list:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME è l'ID permanente o il nome con spazio dei nomi della chiave tag per cui vuoi trovare i valori allegati; ad esempio: tagKeys/123456789012 o 1234567/environment.

Dovresti ricevere una risposta simile alla seguente:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Per restituire un elenco di tutti i valori dei tag associati a una chiave, utilizza il metodo tagValues.list, con la chiave del tag principale specificata nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME è il nome dell'ID permanente della chiave tag; ad esempio: tagKeys/123456789012.

Gestione dell'accesso ai tag

Puoi concedere agli utenti un accesso specifico per gestire i tag e collegarli alle risorse utilizzando la console Google Cloud . Consulta la sezione Autorizzazioni richieste per un elenco dei ruoli correlati ai tag e delle autorizzazioni che contengono.

Chiavi tag

Per gestire l'accesso per gli utenti a una chiave del tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave tag su cui vuoi gestire l'accesso.

  3. Fai clic sulla casella di controllo accanto al tag per cui vuoi gestire l'accesso.

  4. Fai clic su Gestisci accesso.

  5. Per aggiungere un ruolo a un'entità, fai clic su Aggiungi entità.

    1. Nella casella di testo Nuove entità, inserisci l'indirizzo email dell'entità a cui vuoi assegnare un nuovo ruolo.

    2. Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungere più di un ruolo, fai clic su Aggiungi un altro ruolo.

    3. Fai clic su Salva.

  6. Per modificare il ruolo di un'entità, fai clic su Modifica accanto all'entità da modificare.

    1. Puoi modificare i ruoli assegnati ai principali in questo tag facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.

    2. Se vuoi aggiungere altri ruoli, fai clic su Aggiungi un altro ruolo.

    3. Per eliminare un ruolo da questo soggetto nella tag, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    4. Fai clic su Salva.

  7. Per eliminare il ruolo di un principal, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    1. Fai clic su Rimuovi.

Valori tag

Per gestire l'accesso per gli utenti a un valore tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave tag per cui vuoi gestire l'accesso.

  3. Fai clic su Azioni accanto alla chiave del tag per il valore per cui vuoi gestire l'accesso, quindi fai clic su Visualizza dettagli.

  4. Fai clic su Gestisci accesso.

  5. Per aggiungere un ruolo a un'entità, fai clic su Aggiungi entità.

    1. Nella casella di testo Nuove entità, inserisci l'indirizzo email dell'entità a cui vuoi assegnare un nuovo ruolo.

    2. Seleziona un ruolo dal menu a discesa Seleziona un ruolo. Se vuoi aggiungere più di un ruolo, fai clic su Aggiungi un altro ruolo.

    3. Fai clic su Salva.

  6. Per modificare il ruolo di un'entità, fai clic su Modifica accanto all'entità da modificare.

    1. Puoi modificare i ruoli assegnati ai principali in questo tag facendo clic sul menu a discesa Ruolo e scegliendo un nuovo ruolo.

    2. Se vuoi aggiungere altri ruoli, fai clic su Aggiungi un altro ruolo.

    3. Per eliminare un ruolo da questo soggetto nella tag, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    4. Fai clic su Salva.

  7. Per eliminare il ruolo di un principal, fai clic su Elimina ruolo accanto al ruolo che vuoi eliminare.

    1. Fai clic su Rimuovi.

Collegamento di tag alle risorse

Dopo aver creato un tag e aver concesso l'accesso appropriato sia al tag sia alla risorsa, il tag può essere collegato a una risorsa Google Cloud come coppia chiave-valore. È possibile collegare esattamente un valore a una risorsa per una determinata chiave. Ad esempio, se environment: development è collegato, non è possibile collegare environment: production o environment: test. A ogni risorsa è possibile associare un massimo di 50 coppie chiave-valore.

I tag vengono collegati alle risorse creando una risorsa di associazione dei tag che collega il valore alla Google Cloud risorsa. Il seguente flusso di lavoro descrive come collegare un tag a una risorsa di organizzazione, cartella o progetto. Per informazioni dettagliate su come collegare i tag a un altro tipo di risorsa, consulta la documentazione relativa a quella risorsa in Servizi che supportano i tag.

Console

Per collegare un tag a una risorsa di organizzazione, cartella o progetto, segui questi passaggi:

  1. Apri la pagina Gestisci risorse nella console Google Cloud .

    Apri la pagina Gestisci risorse

  2. Fai clic sull'organizzazione, sulla cartella o sul progetto a cui vuoi collegare un tag.

  3. Fai clic su Tag.

  4. Nel riquadro Tag, fai clic su Seleziona ambito.

  5. Seleziona l'organizzazione o il progetto che contiene i tag, quindi fai clic su Apri.

  6. Nel riquadro Tag, seleziona Aggiungi tag.

  7. Nel campo Chiave, seleziona la chiave del tag da allegare dall'elenco. Puoi filtrare l'elenco digitando parole chiave.

  8. Nel campo Valore, seleziona il valore del tag che vuoi allegare dall'elenco. Puoi filtrare l'elenco digitando parole chiave.

  9. Se vuoi allegare altri tag, fai clic su Aggiungi tag e poi seleziona la chiave e il valore per ciascuno.

  10. Fai clic su Salva.

  11. Nella finestra di dialogo Conferma, fai clic su Conferma per allegare il tag.

  12. Una notifica conferma l'aggiornamento dei tag. I nuovi tag vengono visualizzati nella colonna Tag della pagina Gestisci risorse.

gcloud

Per collegare un tag a una risorsa, devi creare una risorsa di associazione di tag utilizzando il comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore tag da allegare; ad esempio: tagValues/4567890123 o 12345678/environment/production.

  • RESOURCE_ID è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/). Ad esempio, per allegare un tag a projects/7890123456, l'ID completo sarebbe: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION è la posizione della risorsa. Se stai allegando un tag a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se colleghi un tag a una risorsa regionale, come un'istanza Compute Engine, devi specificare la posizione, ad esempio: us-central1.

API

Per associare un tag a una risorsa, devi prima creare una rappresentazione JSON di un'associazione di tag che includa l'ID permanente o il nome con spazio dei nomi del valore del tag e l'ID permanente della risorsa. Per ulteriori informazioni sul formato di un'associazione di tag, consulta la documentazione di riferimento di TagBinding.

Se colleghi il tag a una risorsa globale come un'organizzazione, utilizza il metodo tagBindings.create con il nome host dell'endpoint globale:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Se colleghi il tag a una risorsa di regione, ad esempio un'istanza Compute Engine, utilizza il metodo tagBindings.create con l'endpoint di regione in cui si trova la risorsa.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Corpo JSON della richiesta:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

OPPURE

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Dove:

  • RESOURCE_ID è l'ID completo della risorsa, incluso il nome di dominio dell'API per identificare il tipo di risorsa (//cloudresourcemanager.googleapis.com/). Ad esempio, per allegare un tag a projects/7890123456, l'ID completo sarebbe: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME è l'ID permanente del valore del tag allegato; ad esempio: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME è il nome con spazio dei nomi del valore tag collegato e ha il formato: parentNamespace/tagKeyShortName/tagValueShortName.

Elenco di tutti i tag collegati a una risorsa

Puoi ottenere un elenco di tutti i tag collegati a una risorsa, per i tag ereditati o collegati direttamente.

Console

Per visualizzare tutti i tag collegati a una risorsa o ereditati da questa, segui questi passaggi:

  1. Apri la pagina Gestisci risorse nella console Google Cloud .

    Apri la pagina Gestisci risorse

  2. Trova la tua organizzazione, la tua cartella o il tuo progetto nell'elenco delle risorse.

  3. I tag collegati alla risorsa vengono visualizzati nella colonna Tag. I tag ereditati verranno contrassegnati come Ereditato.

gcloud

Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa, utilizza il comando gcloud resource-manager tags bindings list. Se aggiungi il flag --effective, restituirai anche un elenco di tag ereditati da questa risorsa.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Dove:

  • RESOURCE_ID è l'ID completo della risorsa; ad esempio: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION è la posizione della risorsa. Se elenca i tag collegati a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se colleghi un tag a una risorsa di regione, ad esempio un'istanza Compute Engine, devi specificare la posizione, ad esempio us-central1.

Dovresti ricevere una risposta simile alla seguente:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Se aggiungi il flag --effective al comando tags bindings list, restituirai anche un elenco di tutti i tag ereditati da questa risorsa. Dovresti ricevere una risposta simile alla seguente:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Se tutti i tag valutati in una risorsa sono collegati direttamente, il campo inherited è falso e viene omesso.

API

Per ottenere un elenco di associazioni di tag direttamente collegate a una risorsa globale come un'organizzazione, utilizza il metodo tagBindings.list, specificando la risorsa padre nella query:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Se vuoi elencare le associazioni di tag collegate a una risorsa di regione, come le istanze Compute Engine, utilizza il metodo tagBindings.list con l'endpoint di regione in cui si trova la risorsa.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Dove:

  • RESOURCE_ID è l'ID completo della risorsa; ad esempio: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION è l'endpoint di regione della risorsa, ad esempio us-central1.

In caso di esito positivo, il corpo della risposta deve includere un elenco di oggetti TagBinding. Ad esempio:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Scollegamento di un tag da una risorsa

Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione dei tag.

Console

Per scollegare un tag da una risorsa di organizzazione, cartella o progetto, segui questi passaggi:

  1. Apri la pagina Gestisci risorse nella console Google Cloud .

    Apri la pagina Gestisci risorse

  2. Fai clic sull'organizzazione, sulla cartella o sul progetto da cui vuoi scollegare un tag.

  3. Fai clic su Tag.

  4. Nel riquadro Tag, accanto al tag da scollegare, fai clic su Elimina elemento.

  5. Fai clic su Salva.

  6. Nella finestra di dialogo Conferma, fai clic su Conferma per staccare il tag.

  7. Una notifica conferma l'aggiornamento dei tag. L'elenco aggiornato dei tag viene visualizzato nella colonna Tag della pagina Gestisci risorse.

gcloud

Per eliminare un'associazione di tag, utilizza il comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore del tag allegato; ad esempio: tagValues/567890123456.

  • RESOURCE_ID è l'ID completo della risorsa. Ad esempio: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION è la posizione della risorsa. Se stai eliminando un'associazione di tag collegata a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se elimini un'associazione di tag collegata a una risorsa di regione, ad esempio un'istanza Compute Engine, devi specificare la località, ad esempio us-central1.

API

Per eliminare un'associazione di tag collegata a una risorsa globale come un'organizzazione, utilizza il metodo tagBindings.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Se vuoi eliminare un'associazione di tag collegata a una risorsa di regione, come un'istanza Compute Engine, utilizza il metodo tagBindings.delete con l'endpoint di regione in cui si trova la risorsa.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Dove:

  • TAGBINDINGS_NAME è l'ID permanente di TagBinding; ad esempio: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION è l'endpoint di regione della risorsa, ad esempio us-central1.

Applicazione di tag obbligatori alle risorse

Per applicare i tag obbligatori alle risorse, crea un criterio dell'organizzazione personalizzato e imposta il criterio su una risorsa di organizzazione, cartella o progetto per applicare il vincolo personalizzato.

Per scoprire di più sull'applicazione dei tag, consulta Applicazione dei tag obbligatori mediante i criteri dell'organizzazione.

Configurare un vincolo personalizzato per applicare i tag

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Seleziona il selettore del progetto nella parte superiore della pagina.

  3. Nel selettore di progetti, seleziona l'organizzazione in cui vuoi applicare il vincolo personalizzato.

  4. Configura un vincolo personalizzato con i seguenti parametri:

    • Metodo di applicazione forzata: Govern tags
    • Tipo di risorsa: il nome completo della risorsa REST Google Cloud su cui vuoi applicare i tag obbligatori, ad esempio, file.googleapis.com/Instance
    • Condizione: una condizione Common Expression Language (CEL) che specifica le chiavi tag che vuoi applicare alla risorsa, ad esempio resource.hasDirectTagKey("1234567890/owner") per applicare un binding dei tag per la chiave tag 1234567890/owner. La funzione CEL resource.hasDirectTagKey corrisponde solo ai tag applicati direttamente a una risorsa e non prende in considerazione i tag ereditati dagli antenati nella gerarchia delle risorse.
    • Azione: Allow o Deny.
      • Consenti: se la condizione specificata è soddisfatta, l'azione per creare o aggiornare la risorsa è consentita.
      • Nega: se la condizione specificata è soddisfatta, l'azione per creare o aggiornare la risorsa viene bloccata.

  5. Fai clic su Crea vincolo.

gcloud

Crea un file YAML per il vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- GOVERN_TAGS
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione, ad esempio 1234567890.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, minuscole o numeri, ad esempio custom.enforceMandatoryTags.

  • RESOURCE_NAME: il nome completo della risorsa Google Cloud REST su cui vuoi applicare i tag obbligatori, ad esempio file.googleapis.com/Instance.

  • CONDITION: una condizione Common Expression Language (CEL) che specifica le chiavi tag che vuoi applicare alla risorsa, ad esempio resource.hasDirectTagKey("1234567890/owner") per applicare un binding tag per la chiave tag 1234567890/owner.

  • ACTION: l'azione da intraprendere se la condizione condition è soddisfatta. Può essere ALLOW o DENY.

    L'azione di negazione significa che se la condizione specificata è soddisfatta, l'operazione di creazione o aggiornamento della risorsa viene bloccata.

    L'azione Consenti significa che se la condizione specificata è soddisfatta, l'operazione per creare o aggiornare la risorsa è consentita. Ciò significa anche che tutti gli altri casi, ad eccezione di quello elencato esplicitamente nella condizione, vengono bloccati.

  • DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri.

Configura il vincolo personalizzato per renderlo disponibile per le policy dell'organizzazione.

Dopo aver definito il vincolo personalizzato, puoi testare e analizzare le modifiche alle norme dell'organizzazione e applicare il vincolo.

Protezione dei valori dei tag con le sospensioni dei tag

Un blocco tag è una risorsa che puoi creare per impedire l'eliminazione di un valore tag. Se un valore tag è in attesa, non può essere eliminato dagli utenti a meno che l'attesa non venga prima eliminata.

Creazione di sospensioni dei tag

Puoi creare manualmente un blocco del tag utilizzando gcloud CLI o l'API.

gcloud

Per creare un blocco del tag, utilizza il gcloud resource-manager tags holds create comando gcloud CLI:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore tag per cui deve essere creata questa sospensione del tag; ad esempio: tagValues/567890123456.

  • HOLDER_NAME è il nome della risorsa a cui è collegato il valore tag. Deve contenere meno di 200 caratteri.

  • LOCATION è la posizione della risorsa. Se stai creando una sospensione del tag per una risorsa globale, ad esempio un progettoGoogle Cloud , devi omettere questo flag. Se stai creando una sospensione del tag per una risorsa regionale o di zona, devi specificare la località, ad esempio us-central1.

API

Per creare una sospensione del tag per un valore del tag, devi prima creare una rappresentazione JSON di una sospensione del tag. Questo riferimento JSON deve includere un riferimento alla risorsa a cui è collegato il valore del tag. Per ulteriori informazioni sul formato di una sospensione dei tag, consulta la documentazione di riferimento di TagHolds.

Se stai creando una sospensione del tag per un valore del tag collegato a una risorsa globale come un'organizzazione, utilizza il metodo tagHolds.create con il nome host dell'endpoint globale:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Se stai creando una sospensione del tag per un valore del tag collegato a una risorsa regionale, ad esempio un'istanza Compute Engine, utilizza il metodo tagHolds.create con l'endpoint di regione in cui si trova la risorsa.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

Corpo JSON della richiesta:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Dove:

  • TAGVALUE_NAME è l'ID permanente del valore del tag allegato; ad esempio: tagValues/4567890123.

  • HOLDER_NAME è il nome della risorsa a cui è collegato il valore tag. Deve contenere meno di 200 caratteri.

  • ORIGIN_NAME è una stringa facoltativa che rappresenta l'origine di questa richiesta. Questo campo deve includere informazioni comprensibili per distinguere le origini tra loro. Deve contenere meno di 200 caratteri.

Sospensioni dei tag delle schede

Puoi elencare tutte le sospensioni dei tag in base a un determinato valore del tag utilizzando gcloud CLI o l'API.

gcloud

Per elencare le sospensioni dei tag che si trovano sotto un valore del tag, utilizza il gcloud resource-manager tags holds list comando gcloud CLI:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore del tag; ad esempio: tagValues/567890123456.

  • LOCATION è la posizione della risorsa. Se stai cercando blocchi dei tag creati a livello globale, devi omettere questo flag. Se stai cercando blocchi di tag in una risorsa regionale o di zona, devi specificare la località, ad esempio us-central1.

API

Per ottenere un elenco di tag hold in base a un valore del tag, utilizza il metodo GET tagHolds specificando il valore del tag principale nell'URL:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Dove:

  • TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore tag; ad esempio: tagValues/567890123456.

Rimozione delle archiviazioni a fini legali dei tag

Puoi rimuovere i blocchi dei tag creati su un determinato valore del tag utilizzando gcloud CLI o l'API.

Alcune risorse aggiungono blocchi tag a un valore tag collegato alla risorsa. Se colleghi un tag a una risorsa di questo tipo, la risorsa crea un blocco tag che impedirà agli utenti di eliminare il valore del tag collegato.

Puoi eliminare un blocco del tag utilizzando gcloud CLI o l'API.

gcloud

Per eliminare un blocco dei tag, utilizza il comando gcloud resource-manager tags holds delete gcloud CLI:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Dove:

  • TAGHOLD_NAME è il nome con spazio dei nomi del blocco del tag, che può essere trovato utilizzando il comando list. Ad esempio: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION è la posizione della risorsa. Se elimini un blocco tag che si trova sotto un valore tag collegato a una risorsa globale, ad esempio una cartella o un progetto, devi omettere questo flag. Se stai eliminando una sospensione del tag creata da una procedura regionale o zonale, devi specificare la località, ad esempio: us-central1.

API

Per eliminare un valore tag, utilizza il metodo tagHolds.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Dove:

  • TAGVALUE_NAME è l'ID permanente del valore del tag a cui è collegato il blocco del tag da eliminare; ad esempio: tagValues/567890123456.

  • TAGHOLD_NAME è il nome con spazio dei nomi del blocco del tag che vuoi eliminare, che puoi trovare utilizzando il comando list. Ad esempio: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Eliminazione dei tag

Per eliminare un tag, devi eliminare ciascuno dei suoi componenti di definizione. Innanzitutto, devi eliminare tutti i binding dei tag che collegano questo tag alle risorse nella gerarchia. Per istruzioni sull'eliminazione delle associazioni dei tag, vedi Scollega un tag da una risorsa.

Se il tag viene utilizzato da un'altra risorsa o un utente ha creato manualmente un blocco tag, potresti dover rimuovere i blocchi tag ed eliminare le associazioni tag prima di poter eliminare i valori tag. Per informazioni sulla rimozione dei blocchi dei tag, consulta la sezione Rimuovere i blocchi dei tag.

Una volta che non ci sono più associazioni di tag per i valori dei tag che vuoi eliminare, puoi eliminarli.

Console

Per eliminare un valore del tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene il valore del tag.

  3. Fai clic su Azioni accanto alla chiave tag contenente il valore tag che vuoi eliminare, quindi fai clic su Visualizza dettagli.

  4. Nell'elenco dei valori dei tag associati a questa chiave tag, fai clic sul valore del tag che vuoi eliminare.

  5. Fai clic sulla casella di controllo accanto al valore del tag da eliminare, poi fai clic su Elimina valori.

  6. Fai clic su Conferma.

gcloud

Per eliminare un valore del tag, utilizza il comando gcloud resource-manager tag values delete:

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME è l'ID permanente o il nome con spazio dei nomi del valore tag che vuoi eliminare; ad esempio: tagValues/567890123456.

API

Per eliminare un valore tag, utilizza il metodo tagValues.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME è l'ID permanente del valore del tag che vuoi eliminare; ad esempio: tagValues/567890123456.

Una volta eliminati tutti i valori dei tag associati a una chiave, puoi eliminare la chiave.

Console

Per eliminare una chiave tag:

  1. Apri la pagina Tag nella console Google Cloud .

    Apri la pagina Tag

  2. Nel selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto che contiene la chiave tag.

  3. Fai clic sulla casella di controllo accanto alla chiave del tag da eliminare.

  4. Fai clic su Elimina tag.

  5. Fai clic su Conferma.

gcloud

Per eliminare una chiave tag, utilizza il comando gcloud resource-manager tags keys delete:

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME è l'ID permanente o il nome con spazio dei nomi della chiave tag che vuoi eliminare; ad esempio: tagKeys/123456789012.

API

Per eliminare una chiave tag, utilizza il metodo tagKeys.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME è l'ID permanente della chiave del tag che vuoi eliminare; ad esempio: tagKeys/123456789012.

Norme e tag

Puoi utilizzare i tag con i criteri che li supportano per applicare questi criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore del tag come condizione per questi criteri.

Ad esempio, puoi concedere in modo condizionale i ruoli Identity and Access Management (IAM) a seconda che una risorsa abbia un tag specifico.

Condizioni e tag di Identity and Access Management

Puoi utilizzare i tag e le condizioni di gestione di identità e accessi per concedere in modo condizionale i ruoli agli utenti della gerarchia. Questo processo rende le risorse inaccessibili agli utenti finché non viene allegato un tag associato a un criterio condizionale. Ad esempio, potresti voler richiedere che i tuoi sviluppatori assegnino un centro di costo a una risorsa prima di poterla utilizzare.

  1. Crea un tag che puoi utilizzare per associare le risorse a un elemento che identifichi se alle risorse è stata applicata una governance adeguata. Ad esempio, potresti creare un tag con la chiave costCenter e i valori 0001, 0002 e così via, per associare le risorse ai vari centri di costo della tua azienda.

  2. Crea un ruolo personalizzato a livello di organizzazione che consenta agli utenti di aggiungere tag alle risorse per cui sono necessari. In questo modo, queste autorizzazioni vengono concesse ai principal specificati in qualsiasi punto della tua organizzazione.

    Ad esempio, un ruolo personalizzato che consente agli utenti di aggiungere tag ai progetti includerebbe le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Quando crei progetti per i tuoi sviluppatori, assegna loro questo ruolo personalizzato nel progetto.

  4. Assegna agli sviluppatori altri ruoli che includano le autorizzazioni per eseguire le azioni desiderate all'interno del progetto. Quando concedi ruoli agli utenti del progetto, i ruoli devono sempre essere concessi in modo condizionale per richiedere l'allegato del tag costCenter.

    resource.hasTagKey('123456789012/costCenter')

Ora, ogni volta che viene creato un progetto, gli sviluppatori devono allegare il tag costCenter prima di poter eseguire le azioni al suo interno concesse dalle norme di autorizzazione.

Policy dell'organizzazione e tag

Puoi utilizzare i tag e l'applicazione condizionale dei criteri dell'organizzazione per fornire un controllo centralizzato delle risorse nella gerarchia. Per saperne di più, vedi Impostazione di un criterio dell'organizzazione con tag.

Servizi supportati

Per un elenco dei servizi che supportano i tag, vedi Servizi che supportano i tag.