En esta página, se describe cómo puedes usar etiquetas Google Cloud para administrar el acceso a tus instancias de Spanner.
Una etiquetaGoogle Cloud es un par clave-valor que puedes adjuntar a tus recursos Google Cloud , como proyectos o instancias de Spanner. Puedes usar etiquetas para agrupar y organizar tus instancias, y para establecer de forma condicional políticas de acceso de Identity and Access Management (IAM) en función de si una instancia tiene una etiqueta específica. Puedes crear y administrar etiquetas de instancias de Spanner con Google Cloud CLI o la consola deGoogle Cloud . Después de crear las etiquetas, puedes crear una vinculación de etiquetas para adjuntarlas a tus recursos de Google Cloud . Los hijos del recurso heredan las vinculaciones de etiquetas según la jerarquía de recursos.Google Cloud Por ejemplo, si adjuntas una etiqueta a tu proyecto, todas las instancias de ese proyecto heredarán la etiqueta. También puedes usar etiquetas para organizar tus recursos de Google Cloud , pero no puedes usarlas para establecer condiciones en las políticas de IAM.
Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.
Casos de uso comunes de las etiquetas de instancias de Spanner
Estos son algunos casos de uso comunes de las etiquetas:
- Etiquetas de Identity and Access Management (IAM): Otorgan roles de Identity and Access Management (IAM) según si una instancia tiene una etiqueta específica. La presencia o ausencia de un valor de etiqueta es la condición para esa política de IAM y ayuda a controlar el acceso a tu instancia de Spanner.
- Etiquetas de estado: Indican y administran el estado de una instancia mediante la creación de etiquetas.
Por ejemplo,
state:active,state:todeleteystate:archive. - Etiquetas de entorno: Especifica entornos de producción, prueba y desarrollo para las instancias creando pares clave-valor, como
env:prod,env:devyenv:test.
Cómo crear y administrar etiquetas de instancias de Spanner
La estructura de las etiquetas son pares clave-valor. Creas una clave de etiqueta en el recurso de tu organización y, luego, adjuntas valores de etiqueta a la clave de etiqueta (por ejemplo, una clave de etiqueta environment con valores prod y dev). Luego, puedes crear una vinculación de etiqueta que vincule el valor de la etiqueta a un recurso Google Cloud , como un proyecto o una instancia de Spanner. Ten en cuenta que no puedes asignar una etiqueta a una base de datos.
Permisos necesarios
Los permisos que necesitas dependen de la acción que debes realizar. Para obtener más información, consulta Permisos necesarios en la documentación de Resource Manager.
Crea claves y valores de etiqueta
Antes de poder adjuntar una etiqueta a tu instancia, debes crear la etiqueta y asignarle un valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor a una etiqueta.
Cómo adjuntar una etiqueta a una instancia
Después de crear tus pares clave-valor de etiquetas, puedes crear una vinculación de etiquetas y adjuntarla a tu instancia de Spanner.
Console
En la consola de Google Cloud , ve a la página Instancias de Spanner.
Selecciona la instancia a la que deseas adjuntar una etiqueta.
Haz clic en Etiquetas.
Si tu organización no aparece en el panel Etiquetas, haz clic en Seleccionar alcance. Selecciona tu organización y haz clic en Abrir.
En el panel Etiquetas, selecciona Agregar etiqueta.
En el campo Clave, selecciona la clave para la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
En el campo Valor, selecciona el valor de la etiqueta que deseas adjuntar de la lista. Para filtrar la lista, escribe palabras clave.
Si deseas adjuntar más etiquetas, haz clic en Agregar etiqueta y selecciona la clave y el valor de cada una.
Haz clic en Guardar.
En el cuadro de diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.
Una notificación confirma que se actualizaron tus etiquetas.
gcloud
Para crear una vinculación de etiqueta y adjuntarla a tu instancia, ejecuta el siguiente comando:
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/VALUE_NAME
--location=LOCATION
PROJECT_ID: El ID del proyecto.INSTANCE_ID: El ID de la instancia.ORG_ID: Es el ID de la organización.KEY_NAME: Es el nombre visible (corto) de la clave de tu etiqueta. Por ejemplo,envVALUE_NAME: Es el nombre visible (corto) del valor de tu etiqueta. Por ejemplo,prodLOCATION: Es la ubicación de tu instancia. Por ejemplo,us-east1.
Por ejemplo, para crear una vinculación de etiqueta en tu instancia de Spanner my-instance con el par clave-valor de la etiqueta env:prod, ejecuta el siguiente comando:
gcloud resource-manager tags bindings create
--parent=//spanner.googleapis.com/projects/my-project/instances/my-instance
--tag-value=123456789012/env/prod
--location=us-east1
Condiciones y etiquetas de IAM
Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios. Si se aplica una política de IAM con vinculaciones de roles condicionales, cambiar o borrar la etiqueta adjunta a un recurso podría quitar el acceso del usuario a ese recurso.
Para obtener más información, consulta Descripción general de las Condiciones de IAM.
Console
Para usar etiquetas y otorgar vinculaciones de roles a los usuarios de forma condicional, consulta Administra el acceso a las etiquetas.
gcloud
Para aplicar una condición basada en etiquetas a una política de IAM, asegúrate de tener los permisos necesarios y, luego, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORG_ID
--role=roles/ROLE --member=PRINCIPAL
--condition=resource.matchTag('PROJECT_ID/KEY_NAME', 'VALUE_NAME')
ORG_ID: Es el ID de la organización.ROLE: Es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, comoroles/logging.viewer, o el ID de un rol personalizado, comoorganizations/{ORG_ID}/roles/logging.viewer.PRINCIPAL: Es la principal en la que deseas agregar la vinculación del rol. Debe tener el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo,user:test-user@gmail.com,group:admins@example.com,serviceAccount:test123@example.domain.comodomain:example.domain.com.PROJECT_ID: El ID del proyecto.KEY_NAME: Es el nombre visible (corto) de la clave de tu etiqueta. Por ejemplo,envVALUE_NAME: Es el nombre visible (corto) del valor de tu etiqueta. Por ejemplo,prod
Este comando agrega una vinculación de política de IAM a la política de IAM de una organización. Una vinculación de política consta de un miembro, un rol y una condición opcional.
Por ejemplo, para otorgar de forma condicional a user1@example.com el rol spanner.backupAdmin en todos los recursos del proyecto 123456789012 con la etiqueta env:prod, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding my-project
--member=user1@example.com --role=roles/spanner.backupAdmin
--condition=resource.matchTag('123456789012/env', 'prod')
Enumera las etiquetas adjuntas a una instancia
Puedes ver una lista de vinculaciones de etiquetas adjuntas o heredadas por la instancia directamente.
gcloud
Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando
gcloud resource-manager tags bindings list: Si agregas la marca --effective, también obtendrás todas las vinculaciones de etiquetas heredadas por este recurso.
Para enumerar todas las vinculaciones de etiquetas adjuntas a una instancia, ejecuta el siguiente comando:
gcloud resource-manager tags bindings list
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--location=LOCATION
--effective
PROJECT_ID: El ID del proyecto.INSTANCE_ID: El ID de la instancia.LOCATION: Es la ubicación de tu instancia. Por ejemplo,us-east1
Borra una vinculación de etiqueta
Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté desconectada de la instancia. Debes borrar las vinculaciones de etiquetas existentes antes de borrar la etiqueta.
Console
En la consola de Google Cloud , ve a la página Instancias de Spanner.
Selecciona la instancia para la que deseas borrar una vinculación de etiquetas.
Haz clic en Etiquetas.
En el panel Etiquetas, junto a la etiqueta que deseas desconectar, haz clic en Borrar elemento.
Haz clic en Guardar.
En el cuadro de diálogo Confirmar, haz clic en Confirmar para desconectar la etiqueta.
Una notificación confirma que se actualizaron tus etiquetas.
gcloud
Para borrar una vinculación de etiqueta, ejecuta el siguiente comando:
gcloud resource-manager tags bindings delete
--parent=//spanner.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID
--tag-value=ORG_ID/KEY_NAME/KEY_VALUE
--location=LOCATION
PROJECT_ID: El ID del proyecto.INSTANCE_ID: El ID de la instancia.ORG_ID: Es el ID de la organización.KEY_NAME: Es el nombre visible (corto) de la clave de tu etiqueta. Por ejemplo,envVALUE_NAME: Es el nombre visible (corto) del valor de tu etiqueta. Por ejemplo,prodLOCATION: Es la ubicación de tu instancia. Por ejemplo,us-east1.
Borra una etiqueta
Después de borrar la vinculación de etiquetas, puedes borrar la etiqueta. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.
¿Qué sigue?
Obtén más información sobre las Google Cloud etiquetas.
Obtén más información para crear y administrar etiquetas en tus instancias de Spanner con Resource Manager.
Obtén más información sobre las etiquetas, otra forma de organizar tus recursos de Google Cloud .
Obtén más información para crear políticas de permisos de IAM con condiciones.