En este documento, se describe cómo usar etiquetas para aplicar de forma condicional las políticas de Identity and Access Management (IAM) a los clústeres de Cloud Workstations.
Una etiqueta es un par clave-valor que puedes adjuntar directamente a un clúster de Cloud Workstations. Un clúster de Cloud Workstations también puede heredar una etiqueta de otros recursos deGoogle Cloud . Puedes aplicar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Por ejemplo, puedes otorgar de forma condicional el rol de Creador de Cloud Workstations a una principal en cualquier clúster de Cloud Workstations con la etiqueta environment:dev.
Para obtener más información sobre el uso de etiquetas en la jerarquía de recursos de Google Cloud, consulta la Descripción general de las etiquetas.
Antes de comenzar
Debes otorgar roles de IAM que otorguen a los usuarios los permisos necesarios para realizar cada tarea de este documento. También debes crear claves y valores de etiqueta para adjuntar a los recursos.
Roles requeridos
Los siguientes roles proporcionan los permisos necesarios para etiquetar recursos de Cloud Workstations:
Cómo adjuntar una etiqueta a un clúster de Cloud Workstations
Para obtener los permisos que necesitas para adjuntar una etiqueta a un clúster de Cloud Workstations, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Para crear un clúster de Cloud Workstations, haz lo siguiente:
Administrador de Cloud Workstations (
roles/workstations.admin) en tu proyecto -
Para crear etiquetas:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) en tu proyecto -
Para administrar etiquetas:
Usuario de etiquetas (
roles/resourcemanager.tagUser) en el valor de la etiqueta y el clúster de Cloud Workstations
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para adjuntar una etiqueta a un clúster de Cloud Workstations. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para adjuntar una etiqueta a un clúster de Cloud Workstations:
-
workstations.workstationClusters.createTagBindingen el clúster -
resourcemanager.tagValueBindings.createen el valor de la etiqueta -
workstations.workstationClusters.createen el clúster para adjuntar una etiqueta cuando se crea un clúster -
workstations.workstationClusters.updateen el clúster para adjuntar una etiqueta cuando se actualiza un clúster
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Quita una etiqueta de un clúster de Cloud Workstations
Para obtener los permisos que necesitas para quitar una etiqueta de un clúster de Cloud Workstations, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Para quitar una etiqueta de un clúster de Cloud Workstations, debes tener el rol de administrador de Cloud Workstations (
roles/workstations.admin) en tu proyecto. -
Para administrar etiquetas:
Usuario de etiquetas (
roles/resourcemanager.tagUser) en el valor de la etiqueta y el clúster de Cloud Workstations -
Para borrar etiquetas:
Administrador de etiquetas (
roles/resourcemanager.tagAdmin) en tu proyecto
Estos roles predefinidos contienen los permisos necesarios para quitar una etiqueta de un clúster de Cloud Workstations. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para quitar una etiqueta de un clúster de Cloud Workstations:
-
workstations.workstationClusters.deleteTagBindingen el clúster -
resourcemanager.tagValueBindings.deleteen el valor de la etiqueta -
workstations.workstationClusters.updateen el clúster para quitar una etiqueta cuando se actualiza un clúster
Enumera las etiquetas adjuntas a un clúster de Cloud Workstations
Para obtener los permisos que necesitas para enumerar las etiquetas adjuntas a un clúster de Cloud Workstations, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Para enumerar las etiquetas adjuntas a un clúster de Cloud Workstations, haz lo siguiente:
Administrador de Cloud Workstations (
roles/workstations.admin) en tu proyecto -
Para enumerar etiquetas:
Visor de etiquetas (
roles/resourcemanager.tagViewer) en el valor de la etiqueta y el clúster de Cloud Workstations
Estos roles predefinidos contienen los permisos necesarios para enumerar las etiquetas adjuntas a un clúster de Cloud Workstations. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para enumerar las etiquetas adjuntas a un clúster de Cloud Workstations:
-
resourcemanager.tagKeys.listen la clave de la etiqueta principal -
resourcemanager.tagKeys.geten la clave de etiqueta -
resourcemanager.tagValues.listen el elemento superior del valor de la etiqueta -
resourcemanager.tagValues.geten el valor de la etiqueta -
workstations.workstationClusters.listTagBindingsen el clúster -
workstations.workstationClusters.listEffectiveTagsen el clúster
Crea claves y valores de etiqueta
Antes de poder adjuntar una etiqueta, debes crear una y configurar su valor. Para crear valores y claves de etiqueta, consulta Crea una etiqueta y Agrega valores de etiqueta.
Etiqueta clústeres de Cloud Workstations
En las siguientes secciones, se describe cómo adjuntar etiquetas a clústeres de Cloud Workstations nuevos y existentes, enumerar las etiquetas adjuntas a un clúster de Cloud Workstations y desconectar etiquetas de un clúster de Cloud Workstations.
Adjunta etiquetas cuando crees un clúster de Cloud Workstations nuevo
Después de crear una etiqueta, puedes adjuntarla a un clúster nuevo de Cloud Workstations. Para cada clave de etiqueta, puedes adjuntar un valor de etiqueta a un clúster de Cloud Workstations. Para cada clúster de Cloud Workstations, puedes adjuntar un máximo de 50 etiquetas.
Console
En la consola de Google Cloud , ve a la página Cloud Workstations.
Haz clic en la sección Administración de clústeres.
Haz clic en Crear.
Ingresa la información de tu nuevo clúster de Cloud Workstations. Para obtener más detalles, consulta Crea un clúster de estaciones de trabajo.
En la sección Etiquetas, selecciona las etiquetas que deseas agregar al clúster nuevo de Cloud Workstations.
Haz clic en Crear.
gcloud
Usa el comando gcloud workstations clusters create con la marca --tags:
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Reemplaza lo siguiente:
WORKSTATIONS_CLUSTER_NAME: Es el nombre de tu clúster de Cloud Workstations.LOCATION: Es la región de tu clúster.TAG: Es la etiqueta que adjuntas al clúster nuevo de Cloud Workstations. Si hay varias etiquetas, estas están separadas por comas. Por ejemplo,556741164180/env:prod,myProject/department:sales. Cada etiqueta debe tener el nombre de clave con espacio de nombres y el nombre corto del valor.WORKSTATIONS_PROJECT_ID: Es el ID de tu proyecto de estación de trabajo.
API
Llama al
método workstationClusters.create.
Incluye las etiquetas en el campo tags de WorkstationCluster.
Cómo adjuntar etiquetas a un clúster de Cloud Workstations existente
Después de crear una etiqueta, puedes adjuntarla a un clúster de Cloud Workstations existente. Para cada clave de etiqueta, puedes adjuntar un valor de etiqueta a un clúster de Cloud Workstations. Para cada clúster de Cloud Workstations, puedes adjuntar un máximo de 50 etiquetas.
Console
En la consola de Google Cloud , ve a la página Cloud Workstations.
Haz clic en la sección Administración de clústeres.
Haz clic en el clúster de Cloud Workstations al que deseas adjuntar la etiqueta.
Haz clic en Editar.
En la sección Etiquetas, selecciona las etiquetas que deseas agregar al clúster de Cloud Workstations.
Haz clic en Guardar.
gcloud
Para adjuntar una etiqueta a un clúster de Cloud Workstations con la línea de comandos, crea un recurso de vinculación de etiquetas con el comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Reemplaza lo siguiente:
TAGVALUE_NAME: El ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se adjuntará, comotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: Es el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: Es la región del clúster de Cloud Workstations.
API
Llama al
método workstationClusters.patch.
Incluye las etiquetas en el campo tags de WorkstationCluster.
Enumera las etiquetas adjuntas a un clúster de Cloud Workstations
Puedes enumerar las etiquetas que se adjuntan directamente a un clúster de Cloud Workstations. Este proceso no enumera las etiquetas heredadas de los recursos superiores.
Console
En la consola de Google Cloud , ve a la página Cloud Workstations.
Haz clic en la sección Administración de clústeres.
Haz clic en el clúster de Cloud Workstations para el que deseas enumerar las etiquetas.
Las etiquetas se pueden ver en la sección Etiquetas.
gcloud
Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Reemplaza lo siguiente:
RESOURCE_ID: Es el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: Es la región del clúster de Cloud Workstations.
API
Llama al
método v3.tagBindings.list.
Incluye el clúster de Cloud Workstations en el campo superior. Por ejemplo, //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Desconecta etiquetas de un clúster de Cloud Workstations
Para quitar una asociación de etiqueta de un clúster de Cloud Workstations, borra la vinculación de etiqueta. Si necesitas borrar una etiqueta, primero debes seguir estos pasos para desvincularla de tu clúster de Cloud Workstations.
Console
En la consola de Google Cloud , ve a la página Cloud Workstations.
Haz clic en la sección Administración de clústeres.
Haz clic en el clúster de Cloud Workstations del que deseas desconectar la etiqueta.
Haz clic en Editar.
En la sección Etiquetas, quita las etiquetas que deseas desconectar del clúster de Cloud Workstations.
Haz clic en Guardar.
gcloud
Para quitar una asociación de etiqueta de un clúster de Cloud Workstations con la línea de comandos, borra la vinculación de etiqueta con el comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Reemplaza lo siguiente:
TAGVALUE_NAME: El ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se adjuntará, comotagValues/4567890123o1234567/my_tag_key/my_tag_value.RESOURCE_ID: Es el ID completo del clúster de Cloud Workstations, incluido el nombre de dominio de la API (//workstations.googleapis.com/) para identificar el tipo de recurso. Por ejemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_clusterLOCATION: Es la región del clúster de Cloud Workstations.
API
Llama al
método workstationClusters.patch.
Quita las etiquetas del campo tags de WorkstationCluster.
¿Qué sigue?
- Para obtener una descripción general de las etiquetas en Google Cloud, consulta Descripción general de las etiquetas.
- Para obtener más información sobre cómo usar etiquetas, consulta Crea y administra etiquetas.
- Para obtener información sobre cómo controlar el acceso a los recursos de Cloud Workstations con condiciones de IAM, consulta Control de acceso con condiciones de IAM.