Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Criar e gerenciar tags para recursos da VPC

As redes VPC usam os recursos a seguir que dão suporte Tags do Resource Manager:

As tags do Resource Manager são diferentes das tags de rede. Neste documento, o termo tags é usado para se referir às tags do Resource Manager.

Para uma lista de todos os serviços que aceitam tags, consulte Serviços que tags compatíveis.

Para saber como usar tags em regras de política de firewall, consulte Tags para firewalls.

Sobre as tags

Uma tag é um par de chave-valor que pode ser anexado a um recurso no Cloud de Confiance by S3NS. É possível usar tags para permitir ou negar políticas condicionalmente com base no fato de um recurso ter uma tag específica ou não. Por exemplo, é possível conceder condicionalmente papéis do Identity and Access Management (IAM) com base no fato de um recurso ter uma tag específica ou não. Para mais informações sobre tags, consulte Visão geral de tags.

As tags são anexadas aos recursos criando um recurso de vinculação de tags que vincula o valor ao recurso Cloud de Confiance by S3NS .

Para agrupar recursos de VPC na nuvem privada virtual para automação e faturamento, use rótulos. As tags e os identificadores funcionam independentemente uns dos outros, e você pode aplicar os dois aos recursos.

Permissões necessárias

Para receber as permissões necessárias para gerenciar tags, peça ao administrador para conceder a você os seguintes papéis do IAM:

Leitor de tags (roles/resourcemanager.tagViewer) nos recursos a que as tags estão anexadas
Visualizar e gerenciar tags no nível da organização: Leitor da organização (roles/resourcemanager.organizationViewer) na organização
Criar, atualizar e excluir definições de tags: Administrador de tags (roles/resourcemanager.tagAdmin) no recurso em que você está criando, atualizando ou excluindo tags
Anexar e remover tags de recursos: Usuário da tag (roles/resourcemanager.tagUser) no valor da tag e nos recursos a que você está anexando ou removendo o valor da tag

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Para anexar tags a recursos da VPC, você precisa do papel Administrador de rede do Compute (roles/compute.networkAdmin).

Criar chaves e valores de tags

Antes de anexar uma tag, é preciso criá-la e configurar o valor dela. Para criar chaves e valores de tag, consulte Como criar uma tag e Como adicionar um valor de tag.

Adicionar tags durante a criação de recursos

É possível adicionar tags ao criar redes, sub-redes, rotas ou regras de firewall da VPC. Ao adicionar tags durante a criação de recursos, você fornece instantaneamente metadados essenciais para eles e também ajuda na organização, no rastreamento de custos e na aplicação automatizada de políticas.

gcloud

Para anexar uma tag a um recurso durante a criação dele, adicione a flag --resource-manager-tags com o respectivo comando create. Por exemplo, para anexar uma tag a uma rede, use o seguinte comando:

gcloud compute networks create NETWORK_NAME \
    --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Substitua:

NETWORK_NAME: o nome da rede
TAGKEY_ID: o ID numérico do número da chave da tag
TAGVALUE_ID: o ID numérico permanente do valor da tag anexado; por exemplo: 4567890123

Especifique várias tags separando-as por vírgula, por exemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2

API

Envie uma solicitação POST para o seguinte URL:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks

Forneça o seguinte JSON no corpo da solicitação:

      
    {
      "name": "NETWORK_NAME",
      "params": {
        "resourceManagerTags": {
          "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
        },
      }
      // Other fields omitted
    }

Substitua:

NETWORK_NAME: o nome da rede
TAGKEY_ID: o ID numérico do número da chave da tag
TAGVALUE_ID: o ID numérico permanente do valor da tag anexado; por exemplo: 4567890123

Adicionar tags a recursos atuais

Para adicionar uma tag a recursos da VPC, siga estas etapas:

gcloud

Para anexar uma tag a um recurso, é necessário criar um recurso de vinculação de tags usando o comando gcloud resource-manager tags bindings create:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Substitua:

TAGVALUE_NAME é o ID permanente ou o nome do namespace do valor da tag anexado; por exemplo: tagValues/567890123456.
RESOURCE_ID é o ID completo do recurso, incluindo a API. nome de domínio para identificar o tipo de recurso (//compute.googleapis.com/). Você precisam usar os IDs numéricos dos recursos, não seus nomes. Por exemplo, uma sub-rede O ID tem um formato semelhante a este: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Um ID de rede tem um formato semelhante a este: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: a localização do recurso. Se você estiver anexando uma tag a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver anexando uma tag a um recurso regional ou zonal, especifique o local, por exemplo: us-central1 (região) ou us-central1-a (zona).

Listar tags anexadas a recursos

É possível visualizar uma lista de vinculações de tags diretamente anexadas ou herdadas pelo recurso da VPC.

gcloud

Para ver uma lista de vinculações de tags anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID \
          --location=LOCATION

Substitua:

RESOURCE_ID é o ID completo do recurso, incluindo a API. nome de domínio para identificar o tipo de recurso (//compute.googleapis.com/). Você precisam usar os IDs numéricos dos recursos, não seus nomes. Por exemplo, uma sub-rede O ID tem um formato semelhante a este: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Um ID de rede tem um formato semelhante a este: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: a localização do recurso. Se você estiver visualizando uma tag anexada a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver visualizando uma tag anexada a um recurso regional ou zonal, especifique o local, por exemplo: us-central1 (região) ou us-central1-a (zona).

Você receberá uma resposta semelhante a esta:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //compute.googleapis.com/projects/7890123456/subnetworks/subnetwork-ID

Remover tags de recursos

Você pode desanexar tags que foram anexadas diretamente a um recurso da VPC. As tags herdadas podem ser substituídas anexando uma tag com a mesma chave e um valor diferente, mas não podem ser removidas.

gcloud

Para excluir uma vinculação de tag, use o comando gcloud resource-manager tags bindings delete:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID \
          --location=LOCATION

Substitua:

TAGVALUE_NAME é o ID permanente ou o nome do namespace do valor da tag anexado; por exemplo: tagValues/567890123456.
RESOURCE_ID é o ID completo do recurso, incluindo a API. nome de domínio para identificar o tipo de recurso (//compute.googleapis.com/). Você precisam usar os IDs numéricos dos recursos, não seus nomes. Por exemplo, uma sub-rede O ID tem um formato semelhante a este: //compute.googleapis.com/projects/123/regions/us-central1/subnetworks/456. Um ID de rede tem um formato semelhante a este: //compute.googleapis.com/projects/123/global/networks/789
LOCATION: a localização do recurso. Se você estiver anexando uma tag a um recurso global, como uma pasta ou um projeto, omita essa flag. Se você estiver anexando uma tag a um recurso regional ou zonal, especifique o local, por exemplo: us-central1 (região) ou us-central1-a (zona).

Excluir chaves e valores de tags

Ao remover uma chave ou definição de valor de tag, verifique se ela está separada do recurso VPC. Você precisa excluir os anexos de tag, chamados de vinculações de tag, antes de excluir a definição da tag. Para excluir chaves e valores de tags, consulte Como excluir tags.

Condições e tags do Identity and Access Management

Você pode usar tags e condições do IAM para conceder vinculações de papéis condicionalmente aos usuários na sua hierarquia. Alterar ou excluir a tag anexada a um recurso removerá o acesso do usuário a esse recurso se uma política do IAM com vinculações de papéis condicionais tiver sido aplicada. Para mais informações, consulte Condições e tags do Identity and Access Management.

A seguir

Veja os outros serviços que têm suporte a tags.
Consulte Tags e controle de acesso para ver como usar tags com o IAM.