Neste documento, descrevemos como usar tags para aplicar condicionalmente as políticas do Identity and Access Management (IAM) a clusters do Cloud Workstations.
Uma tag é um par de chave-valor que pode ser anexado diretamente a um cluster do Cloud Workstations. Um cluster do Cloud Workstations também pode herdar uma tag de outros recursos doGoogle Cloud . É possível aplicar condicionalmente políticas baseadas em um recurso que tem uma tag específica. Por exemplo, é possível conceder condicionalmente o papel Criador do Cloud Workstations a um principal em qualquer cluster do Cloud Workstations com a tag environment:dev.
Para mais informações sobre o uso de tags na hierarquia de recursos do Google Cloud, consulte Visão geral das tags.
Antes de começar
Você precisa conceder papéis do IAM que forneçam aos usuários as permissões necessárias para realizar cada tarefa neste documento. Você também precisa criar chaves e valores de tag para anexar aos recursos.
Funções exigidas
Os papéis a seguir fornecem as permissões necessárias para adicionar tags aos recursos do Cloud Workstations:
Anexar uma tag a um cluster do Cloud Workstations
Para receber as permissões necessárias para anexar uma tag a um cluster do Cloud Workstations, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Para criar um cluster do Cloud Workstations:
Administrador do Cloud Workstations (
roles/workstations.admin) no seu projeto -
Para criar tags:
Administrador de tags (
roles/resourcemanager.tagAdmin) no seu projeto -
Para gerenciar tags:
Usuário da tag (
roles/resourcemanager.tagUser) no valor da tag e no cluster do Cloud Workstations
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para anexar uma tag a um cluster do Cloud Workstations. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para anexar uma tag a um cluster do Cloud Workstations:
-
workstations.workstationClusters.createTagBindingno cluster -
resourcemanager.tagValueBindings.createno valor da tag -
workstations.workstationClusters.createno cluster para anexar uma tag ao criar um cluster -
workstations.workstationClusters.updateno cluster para anexar uma tag ao atualizar um cluster
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Remover uma tag de um cluster do Cloud Workstations
Para receber as permissões necessárias para remover uma tag de um cluster do Cloud Workstations, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Para remover uma tag de um cluster do Cloud Workstations:
Administrador do Cloud Workstations (
roles/workstations.admin) no seu projeto -
Para gerenciar tags:
Usuário da tag (
roles/resourcemanager.tagUser) no valor da tag e no cluster do Cloud Workstations -
Para excluir tags:
Administrador de tags (
roles/resourcemanager.tagAdmin) no projeto
Esses papéis predefinidos contêm as permissões necessárias para remover uma tag de um cluster do Cloud Workstations. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para remover uma tag de um cluster do Cloud Workstations:
-
workstations.workstationClusters.deleteTagBindingno cluster -
resourcemanager.tagValueBindings.deleteno valor da tag -
workstations.workstationClusters.updateno cluster para remover uma tag ao atualizar um cluster
Listar tags anexadas a um cluster do Cloud Workstations
Para receber as permissões necessárias para listar as tags anexadas a um cluster do Cloud Workstations, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Para listar as tags anexadas a um cluster do Cloud Workstations:
Administrador do Cloud Workstations (
roles/workstations.admin) no seu projeto -
Para listar tags:
Visualizador de tags (
roles/resourcemanager.tagViewer) no valor da tag e no cluster do Cloud Workstations
Esses papéis predefinidos contêm as permissões necessárias para listar as tags anexadas a um cluster do Cloud Workstations. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para listar as tags anexadas a um cluster do Cloud Workstations:
-
resourcemanager.tagKeys.listno pai da chave de tag -
resourcemanager.tagKeys.getna chave de tag -
resourcemanager.tagValues.listno pai do valor da tag -
resourcemanager.tagValues.getno valor da tag -
workstations.workstationClusters.listTagBindingsno cluster -
workstations.workstationClusters.listEffectiveTagsno cluster
Criar chaves e valores de tags
Antes de anexar uma tag, é preciso criá-la e configurar o valor dela. Para criar chaves e valores de tag, consulte Como criar uma tag e Como adicionar valores de tag.
Adicionar tags aos clusters do Cloud Workstations
As seções a seguir descrevem como anexar tags a clusters novos e atuais do Cloud Workstations, listar tags anexadas a um cluster do Cloud Workstations e remover tags de um cluster do Cloud Workstations.
Anexar tags ao criar um cluster do Cloud Workstations
Depois de criar uma tag, você pode anexá-la a um novo cluster do Cloud Workstations. Para cada chave de tag, é possível anexar um valor de tag a um cluster do Cloud Workstations. Para cada cluster do Cloud Workstations, é possível anexar no máximo 50 tags.
Console
No console Google Cloud , acesse a página Cloud Workstations.
Clique na seção Gerenciamento de clusters.
Clique em Criar.
Insira as informações do novo cluster do Cloud Workstations. Para mais detalhes, consulte Criar um cluster de estações de trabalho.
Na seção Tags, selecione as tags que você quer adicionar ao novo cluster do Cloud Workstations.
Clique em Criar.
gcloud
Use o comando gcloud workstations clusters create com a sinalização --tags.
gcloud workstations clusters create WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --tags=TAG \ --project=WORKSTATIONS_PROJECT_ID
Substitua:
WORKSTATIONS_CLUSTER_NAME: o nome do cluster do Cloud Workstations.LOCATION: a região do cluster.TAG: a tag que você está anexando ao novo cluster do Cloud Workstations. Várias tags são separadas por vírgulas. Por exemplo,556741164180/env:prod,myProject/department:sales. Cada tag precisa ter o nome da chave com namespace e o nome curto do valor.WORKSTATIONS_PROJECT_ID: o ID do projeto da estação de trabalho.
API
Chame o
método workstationClusters.create.
Inclua as tags no campo tags de WorkstationCluster.
Anexar tags a um cluster do Cloud Workstations
Depois de criar uma tag, você pode anexá-la a um cluster do Cloud Workstations. Para cada chave de tag, é possível anexar um valor de tag a um cluster do Cloud Workstations. Para cada cluster do Cloud Workstations, é possível anexar no máximo 50 tags.
Console
No console Google Cloud , acesse a página Cloud Workstations.
Clique na seção Gerenciamento de clusters.
Clique no cluster do Cloud Workstations a que você quer anexar a tag.
Clique em Editar.
Na seção Tags, selecione as tags que você quer adicionar ao cluster do Cloud Workstations.
Clique em Salvar.
gcloud
Para anexar uma tag a um cluster do Cloud Workstations usando a linha de comando, crie um recurso de vinculação de tag usando o comando gcloud resource-manager tags bindings create:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
TAGVALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser anexado, comotagValues/4567890123ou1234567/my_tag_key/my_tag_valueRESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome de domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Exemplo://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: a região do cluster do Cloud Workstations.
API
Chame o
método workstationClusters.patch.
Inclua as tags no campo tags de WorkstationCluster.
Listar tags anexadas a um cluster do Cloud Workstations
É possível listar as tags anexadas diretamente a um cluster do Cloud Workstations. Esse processo não lista as tags herdadas dos recursos pai.
Console
No console Google Cloud , acesse a página Cloud Workstations.
Clique na seção Gerenciamento de clusters.
Clique no cluster do Cloud Workstations para o qual você quer listar as tags.
As tags aparecem na seção Tags.
gcloud
Para ver uma lista de vinculações de tags anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
RESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome de domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Por exemplo,//workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: a região do cluster do Cloud Workstations.
API
Chame o
método v3.tagBindings.list.
Inclua o cluster do Cloud Workstations no campo "parent". Por
exemplo, //cloudresourcemanager.googleapis.com/projects/my-project/regions/us-central1/workstationClusters/my-cluster.
Remover tags de um cluster do Cloud Workstations
Para remover uma associação de tag de um cluster do Cloud Workstations, exclua a vinculação. Se você precisar excluir uma tag, siga estas etapas para removê-la do seu cluster do Cloud Workstations.
Console
No console Google Cloud , acesse a página Cloud Workstations.
Clique na seção Gerenciamento de clusters.
Clique no cluster do Cloud Workstations de que você quer desanexar a tag.
Clique em Editar.
Na seção Tags, remova as tags que você quer remover do cluster do Cloud Workstations.
Clique em Salvar.
gcloud
Para remover uma associação de tag de um cluster do Cloud Workstations usando a linha de comando, exclua a vinculação de tag usando o comando gcloud resource-manager tags bindings delete:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
Substitua:
TAGVALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser anexado, comotagValues/4567890123ou1234567/my_tag_key/my_tag_valueRESOURCE_ID: o ID completo do cluster do Cloud Workstations, incluindo o nome de domínio da API (//workstations.googleapis.com/) para identificar o tipo de recurso. Exemplo://workstations.googleapis.com/projects/my_project/locations/us-central1/workstationClusters/my_cluster.LOCATION: a região do cluster do Cloud Workstations.
API
Chame o
método workstationClusters.patch.
Remova as tags no campo tags de WorkstationCluster.
A seguir
- Para uma visão geral das tags no Google Cloud, consulte Visão geral sobre tags.
- Para mais informações sobre como usar tags, consulte Como criar e gerenciar tags.
- Para informações sobre como controlar o acesso aos recursos do Cloud Workstations com as condições do IAM, consulte Controle de acesso com as condições do IAM.