Verwenden Sie Tags, um Repositories und andere Ressourcen in Google Cloud für die Berichterstellung, Prüfung und Zugriffssteuerung in Ihrer Google Cloud-Organisation zu gruppieren.
Verwenden Sie Labels, um Repositories in Artifact Registry zu Automatisierungs- und Abrechnungszwecken zu gruppieren. Tags und Labels funktionieren unabhängig voneinander und Sie können beide auf dasselbe Repository anwenden. Weitere Informationen zu den Unterschieden zwischen Tags und Labels finden Sie unter Tags und Labels.
Was sind Tags?
Tags sind Schlüssel/Wert-Paare, die Sie für eine differenzierte Zugriffssteuerung auf Ihre Ressourcen anwenden können.
Projektadministratoren erstellen Tags für Ressourcen in Google Cloud auf Organisationsebene und verwalten sie in Resource Manager. Wenn Sie ein Tag an ein Artifact Registry-Repository anhängen, können Sie das Tag mit IAM-Bedingungen verwenden, um bedingten Zugriff auf das Repository zu gewähren. Sie können an einzelne Artefakte keine Tags anhängen.
Beachten Sie die folgenden Einschränkungen:
Organisationsrichtlinien können bedingt auf Tags verweisen, die vom übergeordneten Projekt und höher übernommen werden. Sie unterstützen jedoch keine Tags, die Sie direkt an Repositories anhängen.
Cloud-Audit-Logs werden nicht generiert, um Tags anzuhängen und Tag-Bindungen in Repositories aufzurufen.
Weitere Informationen zu Tags und der bedingten Zugriffssteuerung mit Tags finden Sie unter Tags und Zugriffssteuerung.
Erforderliche Berechtigungen
Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.
Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.
Tags aufrufen
Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer
) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:
Erforderliche Berechtigungen
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.tagValues.list
resourcemanager.tagValues.get
listTagBindings
für den entsprechenden Ressourcentyp. Beispiel:compute.instances.listTagBindings
zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.listEffectiveTags
für den entsprechenden Ressourcentyp.
Beispiel:
compute.instances.listEffectiveTags
zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.
Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer
) für die Organisationsressource.
Tags verwalten
Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin
) oder eine andere Rolle mit den folgenden Berechtigungen:
Erforderliche Berechtigungen
resourcemanager.tagKeys.create
resourcemanager.tagKeys.update
resourcemanager.tagKeys.delete
resourcemanager.tagKeys.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.getIamPolicy
resourcemanager.tagKeys.setIamPolicy
resourcemanager.tagValues.create
resourcemanager.tagValues.update
resourcemanager.tagValues.delete
resourcemanager.tagValues.list
resourcemanager.tagValues.get
resourcemanager.tagValues.getIamPolicy
resourcemanager.tagValues.setIamPolicy
Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer
) für die Organisationsressource.
Tags für Ressourcen verwalten
Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser
) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:
Erforderliche Berechtigungen
- Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
- Ressourcenspezifische
createTagBinding
-Berechtigung, z. B.compute.instances.createTagBinding
für Compute Engine-Instanzen. - Ressourcenspezifische
deleteTagBinding
-Berechtigung, z. B.compute.instances.deleteTagBinding
für Compute Engine-Instanzen. - Erforderliche Berechtigungen für den Tag-Wert:
resourcemanager.tagValueBindings.create
resourcemanager.tagValueBindings.delete
- Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
resourcemanager.tagValues.get
resourcemanager.tagValues.list
resourcemanager.tagKeys.get
resourcemanager.tagKeys.list
resourcemanager.projects.get
Tags an Repositories anhängen
Nachdem ein Projektadministrator Tags erstellt hat, können Sie Tags an ein Repository anhängen. Jedes Tag hat einen Schlüssel und einen Wert. Sie taggen ein Repository, indem Sie einen Wert an das Repository binden.
So hängen Sie ein Tag an ein Repository an:
Console
Fragen Sie Ihren Administrator nach dem Tag-Wert, den Sie anhängen möchten.
Sie können einen Tag-Wert mit einem der folgenden Kennungstypen anhängen:
- Einen Namespace wie
123456789012/env/dev
- Eine dauerhafte ID, z. B.
tagValues/567890123456
- Einen Namespace wie
Öffnen Sie in der Cloud Console die Seite Repositories.
Wählen Sie das Repository aus, das Sie taggen möchten.
Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).
Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.
Klicken Sie auf das Symbol Tags bearbeiten.
Klicken Sie im Bereich Direkte Tags auf Bereich auswählen.
Wählen Sie Ihr Repository-Projekt aus.
Geben Sie im Feld Schlüssel den gewünschten Begriff ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Schlüssel aus.
Geben Sie im Feld Wert den gewünschten Wert ein, um die Tag-Liste zu filtern, und wählen Sie dann den Tag-Wert aus.
Klicken Sie auf Speichern.
Klicken Sie auf Bestätigen.
Das Tag wird an Ihr Repository angehängt.
gcloud-CLI
Fragen Sie Ihren Administrator nach dem Tag-Wert, den Sie anhängen möchten.
Sie können einen Tag-Wert mit einem der folgenden Kennungstypen anhängen:
- Einen Namespace wie
123456789012/env/dev
- Eine dauerhafte ID, z. B.
tagValues/567890123456
- Einen Namespace wie
Hängen Sie den Tag-Wert mit dem folgenden Befehl an:
gcloud alpha resource-manager tags bindings create \ --tag-value=TAG_VALUE \ --parent=REPOSITORY_ID \ --location=LOCATION
Ersetzen Sie die folgenden Werte:
TAG_VALUE
ist die permanente ID oder der Namespace des hinzuzufügenden Tag-Werts.REPOSITORY_ID
ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//artifactregistry.googleapis.com/
). Beispiel://artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo
LOCATION
ist der Speicherort des Repositorys.
Dazu ein Beispiel:
- Tag-Wert:
815471563813/env/dev
- Projekt:
my-project
- Repository:
my-repo
- Speicherort des Repositorys:
us-east1
Mit dem folgenden gcloud CLI-Befehl wird das Tag an das Repository angehängt:
gcloud alpha resource-manager tags bindings create \ --tag-value=815471563813/env/dev \ --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \ --location=us-east1
An Repositories angehängte Tags auflisten
Sie können Tags auflisten, die an eine Ressource angehängt sind, für die Sie Zugriffsberechtigungen haben.
Console
Öffnen Sie in der Cloud Console die Seite Repositories.
Wählen Sie das Repository aus, das Sie ansehen möchten.
Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).
Die Liste Tags enthält alle Repository-Tags, einschließlich direkter und übernommener Tags von höher in der Ressourcenhierarchie.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um die an ein Repository angehängten Tags aufzulisten:
gcloud alpha resource-manager tags bindings list \
--parent=REPOSITORY_ID \
--location=LOCATION
Mit dem Befehl werden nur Tags aufgelistet, die direkt an die angegebene Ressource angehängt sind. Es werden also keine Tags zurückgegeben, die vom übergeordneten Projekt oder höher übernommen wurden. Sie können vom übergeordneten Projekt übernommene Tags auflisten. Geben Sie dazu mit dem Flag --parent
ein Projekt anstelle eines Repositorys an.
Mit diesem Befehl werden beispielsweise Tags aufgelistet, die an das Repository my-repo
im Projekt my-project
und den Speicherort us-east1
angehängt sind:
gcloud alpha resource-manager tags bindings list \
--parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \
--location=us-east1
Mit diesem Befehl werden die Tags aufgelistet, die an die Projektnummer 7890123456
angehängt sind:
gcloud alpha resource-manager tags bindings list \
--parent=//cloudresourcemanager.googleapis.com/projects/7890123456 \
Tags von Repositories trennen
Sie können ein Tag trennen, das direkt an ein Repository angehängt ist. Wenn Sie ein Tag entfernen müssen, das vom übergeordneten Projekt oder einem anderen Teil der Ressourcenhierarchie übernommen wurde, muss ein Projektadministrator es von der Ressource trennen, an die das Tag angehängt ist.
So entfernen Sie ein Tag, das an ein Repository angehängt ist:
Console
Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tagwert nicht kennen, listen Sie die Tags auf, die an das Repository angehängt sind.
Öffnen Sie in der Cloud Console die Seite Repositories.
Wählen Sie das Repository aus.
Klicken Sie im Abschnitt Repository Details (Repository-Details) auf Show more (Mehr anzeigen).
Vorhandene Tags für das Repository, einschließlich übernommener Tags, werden angezeigt.
Klicken Sie auf das Symbol Tags bearbeiten.
Suchen Sie im Bereich Direkte Tags nach dem Tag, das Sie entfernen möchten.
Klicken Sie neben dem Tag, das Sie entfernen möchten, auf das Symbol
Löschen.Klicken Sie auf Speichern.
Klicken Sie auf Bestätigen.
Das Tag wird aus Ihrem Repository entfernt.
gcloud-CLI
Rufen Sie den Tag-Wert ab, den Sie entfernen möchten. Wenn Sie den Tagwert nicht kennen, listen Sie die Tags auf, die an das Repository angehängt sind.
Trennen Sie den Tag-Wert mit dem folgenden Befehl:
gcloud alpha resource-manager tags bindings delete \ --tag-value=TAG_VALUE \ --parent=REPOSITORY_ID \ --location=LOCATION
Ersetzen Sie die folgenden Werte:
TAG_VALUE
-Tagwert, der entfernt werden soll.REPOSITORY_ID
ist die vollständige ID des Repositorys, einschließlich des API-Domainnamens, um den Ressourcentyp zu identifizieren (//artifactregistry.googleapis.com/
). Beispiel://artifactregistry.googleapis.com/projects/my-project/my-repo
LOCATION
ist der Speicherort des Repositorys.
Dazu ein Beispiel:
- Tag-Wert:
815471563813/env/dev
- Projekt:
my-project
- Repository:
my-repo
- Speicherort des Repositorys:
us-east1
Mit dem folgenden gcloud CLI-Befehl wird das Tag vom Repository getrennt:
gcloud alpha resource-manager tags bindings delete \ --tag-value=815471563813/env/dev \ --parent=//artifactregistry.googleapis.com/projects/my-project/locations/us-east1/repositories/my-repo \ --location=us-east1
Nächste Schritte
- Weitere Informationen zu Repository-Labels