Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Crea y administra etiquetas para recursos de VPC

Las redes de VPC usan los siguientes recursos que admiten etiquetas de Resource Manager:

Las etiquetas de Resource Manager son diferentes de las etiquetas de red. En este documento, el término etiquetas se usa para hacer referencia a las etiquetas de Resource Manager.

Para obtener una lista de todos los servicios que admiten etiquetas, consulta Servicios que admiten etiquetas.

Para obtener información sobre el uso de etiquetas en las reglas de políticas de firewall, consulta Etiquetas para firewalls.

Acerca de las etiquetas de política

Una etiqueta es un par clave-valor que se puede adjuntar a un recurso dentro deCloud de Confiance by S3NS. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes otorgar de forma condicional roles de Identity and Access Management (IAM) en función de si un recurso tiene una etiqueta específica. Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas.

Las etiquetas se adjuntan a los recursos creando un recurso de vinculación de etiqueta que vincula el valor al recurso Cloud de Confiance by S3NS .

Para agrupar recursos de VPC dentro de la nube privada virtual con fines de automatización y facturación, usa etiquetas. Las etiquetas funcionan de manera independiente unas de otras y puedes aplicarlas a los recursos.

Permisos necesarios

Para obtener los permisos que necesitas para administrar etiquetas, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Visualizador de etiquetas (roles/resourcemanager.tagViewer) en los recursos a los que se adjuntan las etiquetas
Ver y administrar etiquetas a nivel de la organización: Visualizador de la organización (roles/resourcemanager.organizationViewer) en la organización
Crear, actualizar y borrar definiciones de etiquetas: Administrador de etiquetas (roles/resourcemanager.tagAdmin) en el recurso para el que creas, actualizas o borras etiquetas
Adjuntar y quitar etiquetas de los recursos: Usuario de etiquetas (roles/resourcemanager.tagUser) en el valor de la etiqueta y los recursos a los que adjuntas o quitas el valor de la etiqueta

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Para adjuntar etiquetas a los recursos de VPC, necesitas el rol Administrador de red de Compute (roles/compute.networkAdmin).

Crea claves y valores de etiqueta

Antes de poder adjuntar una etiqueta, debes crear una y configurar su valor. Para crear claves y valores de etiqueta, consulta Crea una etiqueta y Agrega un valor a una etiqueta.

Agrega etiquetas durante la creación de recursos

Puedes agregar etiquetas cuando creas redes, subredes, rutas o reglas de firewall de VPC. Agregar etiquetas durante la creación de recursos te permite proporcionar al instante metadatos esenciales para tus recursos y también ayuda a mejorar la organización, el seguimiento de costos y la aplicación automatizada de políticas.

gcloud

Para adjuntar una etiqueta a un recurso durante la creación del recurso, agrega la marca --resource-manager-tags con el comando create correspondiente. Por ejemplo, para adjuntar una etiqueta a una red, usa el siguiente comando:

gcloud compute networks create NETWORK_NAME \
    --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Reemplaza lo siguiente:

NETWORK_NAME: el nombre de tu red
TAGKEY_ID: El ID numérico de clave de etiqueta
TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Para especificar varias etiquetas, sepáralas con una coma, por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Envía una solicitud POST a la siguiente URL:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks

Proporciona el siguiente JSON en el cuerpo de la solicitud:

      
    {
      "name": "NETWORK_NAME",
      "params": {
        "resourceManagerTags": {
          "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
        },
      }
      // Other fields omitted
    }

Reemplaza lo siguiente:

NETWORK_NAME: el nombre de tu red
TAGKEY_ID: El ID numérico de clave de etiqueta
TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Agrega etiquetas a recursos existentes

Para agregar una etiqueta a los recursos de VPC existentes, sigue estos pasos:

gcloud

Para adjuntar una etiqueta a un recurso de VPC, debes crear un recurso de vinculación de etiqueta mediante el comando gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo, tagValues/567890123456.
RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los ID numéricos para los recursos, no para sus nombres. Por ejemplo, un ID de subred tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID de red tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).

Enumera las etiquetas adjuntas a los recursos

Puedes ver una lista de vinculaciones de etiquetas adjuntas o heredadas por el recurso de VPC directamente.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los ID numéricos para los recursos, no para sus nombres. Por ejemplo, un ID de subred tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID de red tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: es la ubicación de tu recurso. Si ves una etiqueta adjunta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si ves una etiqueta adjunta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).

Deberías recibir una respuesta similar a la que figura a continuación:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //compute.googleapis.com/projects/7890123456/subnetworks/subnetwork-ID

Desconecta etiquetas de recursos

Puedes desconectar las etiquetas que se adjuntaron directamente a un recurso de VPC. Las etiquetas heredadas se pueden anular conectando una etiqueta con la misma clave y un valor diferente, pero no se pueden desconectar.

gcloud

Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Reemplaza lo siguiente:

TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo, tagValues/567890123456.
RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//compute.googleapis.com/). Debes usar los ID numéricos para los recursos, no para sus nombres. Por ejemplo, un ID de subred tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID de red tiene un formato similar al siguiente: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, omite esta marca. Si adjuntas una etiqueta a un recurso regional o zonal, debes especificar la ubicación; por ejemplo, us-central1 (región) o us-central1-a (zona).

Borra claves y valores de etiqueta

Cuando quites una definición de valor o clave de etiqueta, asegúrate de que la etiqueta esté desconectada del recurso de VPC. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí. Para borrar claves y valores de etiqueta, consulta Borra etiquetas.

Etiquetas y condiciones de Identity and Access Management

Puedes usar etiquetas y condiciones de IAM para otorgar de forma condicional vinculaciones de roles a los usuarios en la jerarquía de tu proyecto. Cambiar o borrar la etiqueta adjunta a un recurso puede quitar el acceso del usuario a ese recurso si se aplicó una política de IAM con vinculaciones de funciones condicionales. Para obtener más información, consulta Etiquetas y condiciones de Identity and Access Management.

¿Qué sigue?

Consulta los demás servicios que admiten etiquetas.
Consulta Etiquetas y control de acceso para aprender a usar etiquetas con la IAM.