Criar e gerir etiquetas

Este guia descreve como criar e gerir etiquetas para recursos de contas de serviço.

Acerca das etiquetas

Uma etiqueta é um par de chave-valor que pode anexar a um recurso em Trusted Cloud by S3NS. Pode usar etiquetas para permitir ou recusar condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Por exemplo, pode conceder condicionalmente funções de gestão de identidade e de acesso (IAM) com base no facto de um recurso ter uma etiqueta específica. Para mais informações sobre etiquetas, consulte o artigo Vista geral das etiquetas.

As etiquetas são anexadas aos recursos através da criação de um recurso de associação de etiquetas que associa o valor ao recurso Trusted Cloud by S3NS .

Autorizações necessárias

As autorizações de que precisa dependem da ação que tem de realizar.

Para obter estas autorizações, peça ao administrador para conceder a função sugerida no nível adequado da hierarquia de recursos.

Ver etiquetas

Para ver as definições de etiquetas e as etiquetas anexadas a recursos, precisa da função Visualizador de etiquetas (roles/resourcemanager.tagViewer) ou de outra função que inclua as seguintes autorizações:

Autorizações necessárias

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings para o tipo de recurso adequado. Por exemplo, compute.instances.listTagBindings para ver etiquetas anexadas a instâncias do Compute Engine.
  • listEffectiveTags
    • para o tipo de recurso adequado. Por exemplo, compute.instances.listEffectiveTags para ver todas as etiquetas anexadas ou herdadas por instâncias do Compute Engine.

Para ver etiquetas ao nível da organização, precisa da função Visitante da organização (roles/resourcemanager.organizationViewer) no recurso da organização.

Administre etiquetas

Para criar, atualizar e eliminar definições de etiquetas, precisa da função de administrador de etiquetas (roles/resourcemanager.tagAdmin) ou de outra função que inclua as seguintes autorizações:

Autorizações necessárias

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Para administrar etiquetas ao nível da organização, precisa da função de Leitor da organização (roles/resourcemanager.organizationViewer) no recurso da organização.

Faça a gestão de etiquetas em recursos

Para adicionar e remover etiquetas anexadas a recursos, precisa da função Utilizador de etiquetas (roles/resourcemanager.tagUser) ou de outra função com autorizações equivalentes, no valor da etiqueta e nos recursos aos quais está a anexar o valor da etiqueta. A função Utilizador da etiqueta inclui as seguintes autorizações:

Autorizações necessárias

  • Autorizações necessárias para o recurso ao qual está a anexar o valor da etiqueta
    • Autorização createTagBinding específica do recurso, como compute.instances.createTagBinding para instâncias do Compute Engine.
    • Autorização deleteTagBinding específica do recurso, como compute.instances.deleteTagBinding para instâncias do Compute Engine.
  • Autorizações necessárias para o valor da etiqueta:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorizações que lhe permitem ver projetos e definições de etiquetas:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Para receber as autorizações de que precisa para anexar etiquetas a contas de serviço, peça ao seu administrador para lhe conceder a função Administrador da conta de serviço (roles/iam.ServiceAccountAdmin) do IAM na conta de serviço. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie chaves e valores de etiquetas

Antes de poder anexar uma etiqueta, tem de criar uma etiqueta e configurar o respetivo valor. Para criar chaves de etiquetas e valores de etiquetas, consulte os artigos Criar uma etiqueta e Adicionar um valor de etiqueta.

Adicione etiquetas a recursos existentes

Para adicionar uma etiqueta a contas de serviço existentes, siga estes passos:

gcloud

Para anexar uma etiqueta a uma conta de serviço, tem de criar um recurso de associação de etiquetas através do comando gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Substitua o seguinte:

  • TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta anexado, por exemplo, tagValues/567890123456.
  • RESOURCE_ID: o ID ou o email exclusivo da conta de serviço, incluindo o nome do domínio da API (//iam.googleapis.com/). Por exemplo, o ID completo de uma conta de serviço com o ID exclusivo 1029384756 no projeto test-project é //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Liste as etiquetas anexadas aos recursos

Pode ver uma lista de associações de etiquetas anexadas diretamente à conta de serviço ou herdadas pela mesma.

gcloud

Para obter uma lista de associações de etiquetas anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

Substitua o seguinte:

  • RESOURCE_ID: o ID ou o email exclusivo da conta de serviço, incluindo o nome do domínio da API (//iam.googleapis.com/). Por exemplo, o ID completo de uma conta de serviço com o ID exclusivo 1029384756 no projeto test-project é //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Deve receber uma resposta semelhante à seguinte:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756

Desassocie etiquetas de recursos

Pode desanexar etiquetas que tenham sido anexadas diretamente a uma conta de serviço. As etiquetas herdadas podem ser substituídas anexando uma etiqueta com a mesma chave e um valor diferente, mas não podem ser desanexadas.

gcloud

Para eliminar uma associação de etiqueta, use o comando: gcloud resource-manager tags bindings delete

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Substitua o seguinte:

  • TAGVALUE_NAME: o ID permanente ou o nome com espaço de nomes do valor da etiqueta anexado, por exemplo, tagValues/567890123456.
  • RESOURCE_ID: o ID ou o email exclusivo da conta de serviço, incluindo o nome do domínio da API (//iam.googleapis.com/). Por exemplo, o ID completo de uma conta de serviço com o ID exclusivo 1029384756 no projeto test-project é //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756.

Elimine chaves e valores de etiquetas

Quando remover uma definição de chave ou valor de etiqueta, certifique-se de que a etiqueta está desassociada da conta de serviço. Tem de eliminar as associações de etiquetas existentes, denominadas associações de etiquetas, antes de eliminar a própria definição de etiqueta. Para eliminar chaves de etiquetas e valores de etiquetas, consulte o artigo Eliminar etiquetas.

Condições e etiquetas da gestão de identidade e de acesso

Pode usar etiquetas e condições da IAM para conceder condicionalmente associações de funções a utilizadores na sua hierarquia. A alteração ou a eliminação da etiqueta anexada a um recurso pode remover o acesso do utilizador a esse recurso se tiver sido aplicada uma política do IAM com associações de funções condicionais. Para mais informações, consulte o artigo Condições e etiquetas da gestão de identidade e de acesso.

O que se segue?