리소스의 태그 관리

이 가이드에서는 Compute Engine 리소스에 대한 태그를 만들고 관리하는 방법을 설명합니다. 태그는Trusted Cloud by S3NS 리소스에 연결할 수 있는 키-값 쌍입니다. 태그는 다음을 비롯한 여러 용도로 사용됩니다.

  • 리소스에 특정 태그가 있는지 여부에 따라 조건부로 정책을 허용하거나 거부합니다.
  • 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책에서 소스와 대상을 정의합니다.
  • 논리적으로 리소스를 정리합니다.

태그를 만들고 태그와 리소스 모두에 적절한 액세스 권한을 부여한 후에 태그를 키-값 쌍으로 연결할 수 있습니다. 주어진 키의 리소스에는 정확히 하나의 값만 연결할 수 있습니다. 예를 들어 environment: development 태그를 연결하면 environment: production 또는 environment: test 태그를 연결할 수 없습니다. 각 리소스는 최대 50개의 키-값 쌍을 연결할 수 있습니다.

리소스에 태그를 연결하려면 태그 값을 Trusted Cloud 리소스에 연결하는 TagBinding 리소스를 만들어야 합니다. 태그 및 작동 방식에 관한 자세한 내용은 태그 개요 문서를 참고하세요.

시작하기 전에

  • Resource Manager 문서의 태그 개요를 읽습니다.
  • Resource Manager 문서의 태그 만들기 및 관리 읽습니다.
  • 아직 인증을 설정하지 않았다면 설정합니다. 인증은 Trusted Cloud by S3NS 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다. 로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음 옵션 중 하나를 선택하여 Compute Engine에 인증하면 됩니다.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    1. After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.

        After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

        gcloud init

      자세한 내용은 Trusted Cloud 인증 문서의 REST 사용을 위한 인증을 참조하세요.

권한

Compute Engine 리소스의 태그를 관리하려면 사용자 및 서비스 계정에 tagUser 역할을 부여해야 합니다. tagUser 역할에 관한 자세한 내용은 필수 권한을 참고하세요.

지원되는 리소스

Compute Engine은 다음 리소스에 태그 추가를 지원합니다.

  • 리소스 생성 후에만:

    • 관리형 인스턴스 그룹(MIG)
    • 이미지
    • 스냅샷
    • 네트워크, 서브네트워크, 방화벽, 상태 점검 리소스 등 대부분의 네트워킹 리소스

  • 리소스 생성 중 및 생성 후: 가상 머신(VM) 인스턴스 및 디스크

리소스에 태그 추가

기존 태그를 특정 리소스에 연결할 수 있습니다. 리소스가 생성된 후 다음 안내에 따라 해당 리소스에 태그를 연결합니다.

콘솔

리소스 유형에 따라 정확한 단계가 달라질 수 있습니다. 예를 들어 다음 단계에서는 VM에 태그를 연결합니다.

  1. Trusted Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. 프로젝트를 선택하고 계속을 클릭합니다.

  3. 이름 열에서 태그를 추가할 VM의 이름을 클릭합니다.

  4. VM 인스턴스 세부정보 페이지에서 다음 단계를 완료합니다.

    1. 수정을 클릭합니다.
    2. 기본 정보 섹션에서 태그 관리를 클릭하고 인스턴스에 원하는 태그를 추가합니다.
    3. 저장을 클릭합니다.

gcloud

이러한 플래그를 사용하는 방법에 대한 자세한 내용은 Resource Manager 문서의 리소스에 태그 연결을 참고하세요.

예를 들어 다음 명령어는 VM에 태그를 연결합니다.

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

다음을 바꿉니다.

  • LOCATION_NAME: 대상 리소스가 포함된 리전입니다. 이 예에서는 VM 인스턴스의 리전입니다.
  • TAGVALUE_ID: 태그 값의 숫자 ID
  • PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 ID
  • ZONE: 대상 리소스가 포함된 영역입니다. 이 예에서는 VM 인스턴스의 영역입니다.
  • VM_ID: VM 인스턴스 ID

REST

리소스에 태그를 연결하려면 먼저 태그 값의 영구 ID 또는 네임스페이스 이름과 리소스의 영구 ID가 포함된 태그 바인딩의 JSON 표현을 만들어야 합니다. 태그 바인딩의 형식에 대한 자세한 내용은 tagBindings 참조를 확인하세요.

VM 인스턴스와 같은 영역별 리소스에 태그를 연결하려면 리소스가 있는 리전 엔드포인트가 지정된 tagBindings.create 메서드를 사용합니다. 예를 들면 다음과 같습니다.

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

요청 본문은 다음 두 옵션 중 하나일 수 있습니다.

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

다음을 바꿉니다.

  • LOCATION_NAME: 대상 리소스가 포함된 리전입니다. 이 예에서는 VM 인스턴스의 리전입니다.
  • PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 ID
  • ZONE: 대상 리소스가 포함된 영역입니다. 이 예에서는 VM 인스턴스의 영역입니다.
  • VM_ID: VM 인스턴스 ID
  • TAGVALUE_ID: 연결된 태그 값의 영구 ID(예: 4567890123)
  • TAGVALUE_NAMESPACED_NAME: 연결된 태그 값의 네임스페이스 이름이며, parentNamespace/tagKeyShortName/tagValueShortName 형식입니다.

리소스 생성 중에 리소스에 태그 추가

특정 시나리오에서는 리소스를 만든 후가 아닌 리소스를 생성하는 동안 리소스에 태그를 지정해야 할 수 있습니다.

콘솔

리소스 유형에 따라 정확한 단계가 달라질 수 있습니다. VM에는 다음 단계가 적용됩니다.

  1. Trusted Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. 프로젝트를 선택하고 계속을 클릭합니다.

  3. 인스턴스 만들기를 클릭합니다. 인스턴스 만들기 페이지가 표시되고 머신 구성 창이 표시됩니다.

  4. 탐색 메뉴에서 고급을 클릭합니다. 고급 창이 표시되면 다음을 수행합니다.

    1. 태그 및 라벨 관리 섹션을 펼칩니다.
    2. 태그 추가를 클릭합니다.
    3. 열리는 태그 창에서 안내에 따라 인스턴스에 태그를 추가합니다.
    4. 저장을 클릭합니다.

  5. 인스턴스의 다른 구성 옵션을 지정합니다. 자세한 내용은 인스턴스 생성 중 구성 옵션을 참조하세요.

  6. 만들기를 클릭하여 VM을 만들고 시작합니다.

gcloud

리소스 생성 중에 리소스에 태그를 연결하려면 각 create 명령어와 함께 --resource-manager-tags 플래그를 추가합니다. 예를 들어 VM에 태그를 연결하려면 다음 명령어를 사용합니다.

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

다음을 바꿉니다.

  • INSTANCE_NAME: VM 인스턴스의 이름
  • ZONE: VM 인스턴스를 포함하는 영역
  • TAGKEY_ID: 태그 키 번호 숫자 ID
  • TAGVALUE_ID: 연결된 태그 값의 영구 숫자 ID(예: 4567890123)

태그를 쉼표로 구분하여 여러 태그를 지정합니다(예: TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2).

REST

다음 URL로 POST 요청을 수행합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

다음 요청 JSON 본문을 포함합니다.

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

다음을 바꿉니다.

  • INSTANCE_NAME: VM 인스턴스의 이름
  • TAGKEY_ID: 태그 키 번호 숫자 ID
  • TAGVALUE_ID: 연결된 태그 값의 영구 숫자 ID(예: 4567890123)

리소스에서 태그 분리

태그 바인딩 리소스를 삭제하여 리소스에서 태그를 분리할 수 있습니다.

태그 분리 방법에 관한 안내는 Resource Manager 문서의 리소스에서 태그 분리를 참고하세요.

콘솔

리소스 유형에 따라 정확한 단계가 약간 달라질 수 있습니다. 예를 들어 다음 단계는 VM에서 태그를 분리합니다.

  1. Trusted Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. 프로젝트를 선택하고 계속을 클릭합니다.

  3. 이름 열에서 태그를 추가할 VM의 이름을 클릭합니다.

  4. VM 인스턴스 세부정보 페이지에서 다음 단계를 완료합니다.

    1. 수정을 클릭합니다.
    2. 기본 섹션에서 태그 관리를 클릭하고 인스턴스에서 원하는 태그를 삭제합니다.
    3. 저장을 클릭합니다.

gcloud

다음 예에서는 gcloud CLI를 사용하여 VM에서 태그를 분리합니다.

gcloud resource-manager tags bindings delete \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

다음을 바꿉니다.

  • LOCATION_NAME: 대상 리소스의 영역(예: us-central1-a)
  • TAGVALUE_ID: 태그 키의 숫자 ID
  • PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 ID
  • ZONE: 영역 이름(예: us-central1-a)
  • VM_ID: VM 인스턴스의 숫자 ID

기존 태그 바인딩을 다른 바인딩으로 업데이트하거나 대체하려면 이전 태그 바인딩을 분리하고 새 태그 바인딩을 연결합니다.

REST

VM과 같은 리소스에 연결된 태그 바인딩을 삭제하려면 리소스가 있는 리전별 엔드포인트가 지정된 tagBindings.delete 메서드를 사용합니다.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

다음을 바꿉니다.

  • LOCATION: 리소스의 리전별 엔드포인트(예: us-central1)
  • TAGBINDINGS_NAME: TagBinding의 영구 ID(예: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456)

리소스에 연결된 태그 보기

태그를 나열하는 방법에 관한 자세한 안내는 Resource Manager 문서의 리소스에 연결된 모든 태그 나열을 참고하세요.

콘솔

리소스 유형에 따라 정확한 단계가 약간 달라질 수 있습니다. 예를 들어 다음 단계에서는 VM의 태그를 보는 방법을 보여줍니다.

  1. Trusted Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. 프로젝트를 선택하고 계속을 클릭합니다.

  3. 이름 열에서 태그를 보려는 VM의 이름을 클릭합니다.

  4. VM 인스턴스 세부정보 페이지의 태그 섹션에서 태그를 찾습니다.

gcloud

리소스에 직접 연결된 태그 바인딩 목록을 가져오려면 gcloud resource-manager tags bindings list 명령어를 사용합니다. --effective 플래그를 추가하면 이 리소스로 상속되는 태그 목록도 반환됩니다. 예를 들면 다음과 같습니다.

gcloud resource-manager tags bindings list \
    --location=LOCATION_NAME \
    --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

다음을 바꿉니다.

  • LOCATION_NAME: 대상 리소스의 영역(예: us-central1-a)
  • PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 ID
  • ZONE: 영역 이름(예: us-central1-a)
  • VM_ID: VM 인스턴스의 숫자 ID

--effective 플래그를 tags bindings list 명령어에 추가하면 이 리소스에서 상속한 모든 태그 목록도 반환됩니다.

출력은 다음과 비슷합니다.

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

리소스에 평가된 모든 태그가 직접 연결된 경우 inherited 필드는 false이고 생략됩니다.

REST

Compute Engine 인스턴스와 같은 리전별 리소스에 연결된 태그 바인딩을 나열하려면 리소스가 있는 리전별 엔드포인트가 지정된 tagBindings.list 메서드를 사용합니다. 예를 들면 다음과 같습니다.

GET https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID"
}

다음을 바꿉니다.

  • LOCATION_NAME: 대상 리소스의 리전(예: us-central1)
  • PROJECT_NUMBER: 대상 리소스가 포함된 프로젝트의 숫자 ID
  • ZONE: 영역 이름(예: us-central1-a)
  • VM_ID: VM 인스턴스의 숫자 ID

다음 단계