Créer et gérer des tags pour les ressources VPC

Les réseaux VPC utilisent les ressources suivantes qui sont compatibles avec les tags Resource Manager :

Les tags Resource Manager sont différents des tags réseau. Dans ce document, le terme tags désigne les tags Resource Manager.

Pour obtenir la liste de tous les services compatibles avec les tags, consultez la section Services compatibles avec les tags.

Pour en savoir plus sur l'utilisation de tags dans les règles de stratégie de pare-feu, consultez la section Tags pour les pare-feu.

À propos des tags

Un tag est une paire clé-valeur qui peut être associée à une ressource dansCloud de Confiance by S3NS. Vous pouvez utiliser des tags pour autoriser ou refuser de manière conditionnelle les règles selon qu'une ressource dispose ou non d'un tag spécifique. Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Cloud de Confiance by S3NS .

Pour regrouper des ressources VPC dans un cloud privé virtuel à des fins d'automatisation et de facturation, utilisez des étiquettes. Les tags et les étiquettes fonctionnent indépendamment les uns des autres. Vous pouvez appliquer les deux aux ressources.

Autorisations requises

Pour obtenir les autorisations nécessaires pour gérer les tags, demandez à votre administrateur de vous accorder les rôles IAM suivants :

  • Lecteur de tags (roles/resourcemanager.tagViewer) sur les ressources auxquelles les tags sont associés
  • Afficher et gérer les tags au niveau de l'organisation : Lecteur de l'organisation (roles/resourcemanager.organizationViewer) sur l'organisation
  • Créer, mettre à jour et supprimer des définitions de tags : Administrateur de tags (roles/resourcemanager.tagAdmin) sur la ressource pour laquelle vous créez, mettez à jour ou supprimez des tags
  • Associer et dissocier des tags à des ressources : Utilisateur de tags (roles/resourcemanager.tagUser) sur la valeur de tag et les ressources auxquelles vous associez ou dissociez la valeur de tag

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour associer des tags à des ressources VPC, vous devez disposer du rôle Administrateur de réseaux Compute (roles/compute.networkAdmin).

Créer des clés et des valeurs de tags

Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tags, consultez les sections Créer un tag et Ajouter une valeur de tag.

Ajouter des tags lors de la création d'une ressource

Vous pouvez ajouter des tags lorsque vous créez des réseaux, des sous-réseaux, des routes ou des règles de pare-feu VPC. L'ajout de tags lors de la création de ressources vous permet de fournir instantanément des métadonnées essentielles pour vos ressources. Il vous aide également à mieux les organiser, à suivre les coûts et à appliquer des règles de manière automatisée.

gcloud

Pour associer un tag à une ressource lors de la création de la ressource, ajoutez l'option --resource-manager-tags avec la commande create correspondante. Par exemple, pour associer un tag à un réseau, utilisez la commande suivante :

gcloud compute networks create NETWORK_NAME \
    --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Remplacez les éléments suivants :

  • NETWORK_NAME : nom de votre réseau.
  • TAGKEY_ID : ID numérique du numéro de clé de tag
  • TAGVALUE_ID : ID numérique permanent de la valeur de tag associée (par exemple, 4567890123)

Spécifiez plusieurs tags en les séparant par une virgule, par exemple, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Envoyez une requête POST à l'URL suivante :

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks

Fournissez le code JSON suivant dans le corps de la requête :

      
    {
      "name": "NETWORK_NAME",
      "params": {
        "resourceManagerTags": {
          "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
        },
      }
      // Other fields omitted
    }

Remplacez les éléments suivants :

  • NETWORK_NAME : nom de votre réseau.
  • TAGKEY_ID : ID numérique du numéro de clé de tag
  • TAGVALUE_ID : ID numérique permanent de la valeur de tag associée (par exemple, 4567890123)

Ajouter des tags à des ressources existantes

Pour ajouter un tag à des ressources VPC existantes, procédez comme suit :

gcloud

Pour associer un tag à une ressource VPC, vous devez créer une ressource de liaison de tag à l'aide de la commande gcloud resource-manager tags bindings create :

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//compute.googleapis.com/). Vous devez utiliser les ID numériques pour les ressources, et non leurs noms. Par exemple, un ID de sous-réseau présente un format semblable à celui-ci : //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID réseau possède un format semblable à celui-ci : //compute.googleapis.com/projects/123/global/networks/789
  • LOCATION : emplacement de votre ressource. Si vous associez un tag à une ressource globale, par exemple un dossier ou un projet, omettez ce flag. Si vous associez un tag à une ressource régionale ou zonale, vous devez spécifier l'emplacement, par exemple us-central1 (région) ou us-central1-a (zone).

Répertorier les tags associés aux ressources

Vous pouvez afficher une liste de liaisons de tags directement associées à la ressource VPC ou dont celle-ci a hérité.

gcloud

Pour obtenir la liste des liaisons de tags associées à une ressource, exécutez la commande gcloud resource-manager tags bindings list :

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

Remplacez les éléments suivants :

  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//compute.googleapis.com/). Vous devez utiliser les ID numériques pour les ressources, et non leurs noms. Par exemple, un ID de sous-réseau présente un format semblable à celui-ci : //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID réseau possède un format semblable à celui-ci : //compute.googleapis.com/projects/123/global/networks/789
  • LOCATION : emplacement de votre ressource. Si vous affichez un tag associé à une ressource globale, telle qu'un dossier ou un projet, omettez ce flag. Si vous affichez un tag associé à une ressource régionale ou zonale, vous devez spécifier l'emplacement, par exemple us-central1 (région) ou us-central1-a (zone).

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //compute.googleapis.com/projects/7890123456/subnetworks/subnetwork-ID

Dissocier les tags des ressources

Vous pouvez dissocier les tags qui ont été directement associés à une ressource VPC. Les tags hérités peuvent être remplacés en associant un tag ayant la même clé et une valeur différente, mais ils ne peuvent pas être dissociés.

gcloud

Pour supprimer une liaison de tag, exécutez la commande gcloud resource-manager tags bindings delete :

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//compute.googleapis.com/). Vous devez utiliser les ID numériques pour les ressources, et non leurs noms. Par exemple, un ID de sous-réseau présente un format semblable à celui-ci : //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Un ID réseau possède un format semblable à celui-ci : //compute.googleapis.com/projects/123/global/networks/789
  • LOCATION : emplacement de votre ressource. Si vous associez un tag à une ressource globale, par exemple un dossier ou un projet, omettez ce flag. Si vous associez un tag à une ressource régionale ou zonale, vous devez spécifier l'emplacement, par exemple us-central1 (région) ou us-central1-a (zone).

Supprimer des clés et des valeurs de tags

Lorsque vous supprimez une clé ou une définition de valeur de tag, assurez-vous que le tag est dissocié de la ressource VPC. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même. Pour supprimer des clés et des valeurs de tags, consultez la section Supprimer des tags.

Conditions et tags Identity and Access Management

Vous pouvez utiliser des tags et des conditions IAM pour attribuer des liaisons de rôles de manière conditionnelle aux utilisateurs dans votre hiérarchie. La modification ou la suppression du tag associé à une ressource peut supprimer l'accès des utilisateurs à cette ressource, si une stratégie IAM avec des liaisons de rôle conditionnelles a été appliquée. Pour en savoir plus, consultez la section Conditions et tags Identity and Access Management.

Étapes suivantes