Ce document explique comment utiliser des tags pour appliquer des stratégies Identity and Access Management (IAM) de manière conditionnelle aux clusters Cloud Workstations.
Un tag est une paire clé-valeur que vous pouvez associer directement à un cluster Cloud Workstations. Un cluster Cloud Workstations peut également hériter d'un tag provenant d'autres ressourcesGoogle Cloud . Vous pouvez appliquer des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique. Par exemple, vous pouvez accorder de manière conditionnelle le rôle "Créateur Cloud Workstations" à un compte principal sur n'importe quel cluster Cloud Workstations doté du tag environment:dev.
Pour en savoir plus sur l'utilisation des tags dans la hiérarchie des ressources Google Cloud, consultez la page Présentation des tags.
Avant de commencer
Vous devez attribuer des rôles IAM qui accordent aux utilisateurs les autorisations nécessaires pour effectuer chaque tâche de ce document. Vous devez également créer des clés et des valeurs de tag à associer aux ressources.
Rôles requis
Les rôles suivants fournissent les autorisations nécessaires pour taguer les ressources Cloud Workstations :
Associer un tag à un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour associer un tag à un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour créer un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour créer des tags :
Administrateur de tags (
roles/resourcemanager.tagAdmin) sur votre projet -
Pour gérer les tags :
Utilisateur de tags (
roles/resourcemanager.tagUser) sur la valeur du tag et le cluster Cloud Workstations
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour associer un tag à un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour associer un tag à un cluster Cloud Workstations :
-
workstations.workstationClusters.createTagBindingsur le cluster -
resourcemanager.tagValueBindings.createsur la valeur du tag -
workstations.workstationClusters.createsur le cluster pour associer un tag lors de la création d'un cluster -
workstations.workstationClusters.updatesur le cluster pour associer un tag lors de la mise à jour d'un cluster
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Supprimer un tag d'un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour supprimer un tag d'un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour supprimer un tag d'un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour gérer les tags :
Utilisateur de tags (
roles/resourcemanager.tagUser) sur la valeur du tag et le cluster Cloud Workstations -
Pour supprimer des tags :
Administrateur de tags (
roles/resourcemanager.tagAdmin) sur votre projet
Ces rôles prédéfinis contiennent les autorisations requises pour supprimer un tag d'un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour supprimer un tag d'un cluster Cloud Workstations :
-
workstations.workstationClusters.deleteTagBindingsur le cluster -
resourcemanager.tagValueBindings.deletesur la valeur du tag -
workstations.workstationClusters.updatesur le cluster pour supprimer un tag lors de la mise à jour d'un cluster
Lister les tags associés à un cluster Cloud Workstations
Pour obtenir les autorisations nécessaires pour lister les tags associés à un cluster Cloud Workstations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour lister les tags associés à un cluster Cloud Workstations :
Administrateur Cloud Workstations (
roles/workstations.admin) sur votre projet -
Pour lister les tags :
Visionneuse de tags (
roles/resourcemanager.tagViewer) sur la valeur du tag et le cluster Cloud Workstations
Ces rôles prédéfinis contiennent les autorisations requises pour lister les tags associés à un cluster Cloud Workstations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour lister les tags associés à un cluster Cloud Workstations :
-
resourcemanager.tagKeys.listsur le parent de la clé de tag -
resourcemanager.tagKeys.getsur la clé de tag -
resourcemanager.tagValues.listsur le parent de la valeur du tag -
resourcemanager.tagValues.getsur la valeur du tag -
workstations.workstationClusters.listTagBindingssur le cluster -
workstations.workstationClusters.listEffectiveTagssur le cluster
Créer des clés et des valeurs de tags
Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tag, consultez les sections Créer un tag et Ajouter des valeurs de tag.
Taguer des clusters Cloud Workstations
Les sections suivantes expliquent comment associer des tags à des clusters Cloud Workstations nouveaux et existants, lister les tags associés à un cluster Cloud Workstations et dissocier les tags d'un cluster Cloud Workstations.
Associer des tags lorsque vous créez un cluster Cloud Workstations
Après avoir créé un tag, vous pouvez l'associer à un nouveau cluster Cloud Workstations. Pour chaque clé de tag, vous pouvez associer une valeur de tag à un cluster Cloud Workstations. Pour chaque cluster Cloud Workstations, vous pouvez associer au maximum 50 tags.
Console
Dans la console Google Cloud , accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur Créer.
Saisissez les informations concernant votre nouveau cluster Cloud Workstations. Pour en savoir plus, consultez Créer un cluster de postes de travail.
Dans la section Tags, sélectionnez les tags que vous souhaitez ajouter au nouveau cluster Cloud Workstations.
Cliquez sur Créer.
gcloud
Exécutez la commande gcloud workstations clusters create avec l'option --tags :
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Remplacez les éléments suivants :
WORKSTATIONS_CLUSTER_NAME: nom de votre cluster Cloud Workstations.LOCATION: région de votre cluster.TAG: tag que vous associez au nouveau cluster Cloud Workstations. Si vous utilisez plusieurs tags, séparez-les par une virgule. Exemple :556741164180/env:prod,myProject/department:sales. Chaque tag doit porter le nom de l'espace de noms associé à la clé et le nom court de la valeur.WORKSTATIONS_PROJECT_ID: ID de votre projet de poste de travail.
API
Appelez la méthode workstationClusters.create.
Incluez les balises dans le champ tags de WorkstationCluster.
Associer des tags à un cluster Cloud Workstations existant
Après avoir créé un tag, vous pouvez l'associer à un cluster Cloud Workstations existant. Pour chaque clé de tag, vous pouvez associer une valeur de tag à un cluster Cloud Workstations. Pour chaque cluster Cloud Workstations, vous pouvez associer au maximum 50 tags.
Console
Dans la console Google Cloud , accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations auquel vous souhaitez associer le tag.
Cliquez sur Modifier.
Dans la section Tags, sélectionnez les tags que vous souhaitez ajouter au cluster Cloud Workstations.
Cliquez sur Enregistrer.
gcloud
Pour associer un tag à un cluster Cloud Workstations à l'aide de la ligne de commande, créez une ressource de liaison de tag à l'aide de la commande gcloud resource-manager tags bindings create :
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom de l'espace de noms de la valeur du tag à associer, tel quetagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: ID complet du cluster Cloud Workstations, y compris le nom de domaine de l'API (//workstations.googleapis.com/) permettant d'identifier le type de ressource. Par exemple,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: région du cluster Cloud Workstations.
API
Appelez la méthode workstationClusters.patch.
Incluez les balises dans le champ tags de WorkstationCluster.
Lister les tags associés à un cluster Cloud Workstations
Vous pouvez lister les tags directement associés à un cluster Cloud Workstations. Ce processus ne liste pas les tags hérités des ressources parentes.
Console
Dans la console Google Cloud , accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations dont vous souhaitez lister les tags.
Les tags sont visibles dans la section Tags.
gcloud
Pour obtenir la liste des liaisons de tags associées à une ressource, exécutez la commande gcloud resource-manager tags bindings list :
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
RESOURCE_ID: ID complet du cluster Cloud Workstations, y compris le nom de domaine de l'API (//workstations.googleapis.com/) permettant d'identifier le type de ressource. Exemple ://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: région du cluster Cloud Workstations.
API
Appelez la méthode v3.tagBindings.list.
Incluez le cluster Cloud Workstations dans le champ "parent". Exemple : //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Dissocier des tags d'un cluster Cloud Workstations
Vous pouvez supprimer l'association d'un tag à un cluster Cloud Workstations en supprimant la liaison de tag. Si vous devez supprimer un tag, vous devez d'abord le dissocier de votre cluster Cloud Workstations.
Console
Dans la console Google Cloud , accédez à la page Cloud Workstations.
Cliquez sur la section Gestion des clusters.
Cliquez sur le cluster Cloud Workstations dont vous souhaitez dissocier le tag.
Cliquez sur Modifier.
Dans la section Tags, supprimez les tags que vous souhaitez dissocier du cluster Cloud Workstations.
Cliquez sur Enregistrer.
gcloud
Pour supprimer une association de tag d'un cluster Cloud Workstations à l'aide de la ligne de commande, supprimez la liaison de tag à l'aide de la commande gcloud resource-manager tags bindings delete :
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Remplacez les éléments suivants :
TAGVALUE_NAME: ID permanent ou nom de l'espace de noms de la valeur du tag à associer, tel quetagValues/4567890123ou1234567/my_tag_key/my_tag_value.RESOURCE_ID: ID complet du cluster Cloud Workstations, y compris le nom de domaine de l'API (//workstations.googleapis.com/) permettant d'identifier le type de ressource. Par exemple,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: région du cluster Cloud Workstations.
API
Appelez la méthode workstationClusters.patch.
Supprimez les balises du champ tags de WorkstationCluster.
Étapes suivantes
- Pour en savoir plus sur les tags dans Google Cloud, consultez la page Présentation des tags.
- Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.
- Pour savoir comment contrôler l'accès aux ressources Cloud Workstations avec des conditions IAM, consultez Contrôle des accès avec des conditions IAM.