Tags erstellen und verwalten

In dieser Anleitung wird beschrieben, wie Sie Tags für Secret Manager-Secrets erstellen und verwalten. Mit Tags können Sie verwandte Secret Manager-Secrets gruppieren und Metadaten zu diesen Ressourcen anhand ihrer Tags speichern.

Tags

Ein Tag ist ein Schlüssel/Wert-Paar, das an eine Ressource inGoogle Cloudangehängt werden kann. Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht.

Tags werden an Ressourcen angehängt, indem eine Tag-Bindungsressource erstellt wird, die den Wert mit der Google Cloud -Ressource verknüpft.

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Tags aufrufen

Sie benötigen die Rolle Tag-Betrachter (roles/resourcemanager.tagViewer) oder eine andere Rolle mit den folgenden Berechtigungen, um Tag-Definitionen und Tags aufzurufen, die an Ressourcen angehängt sind:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listTagBindings zum Aufrufen von Tags, die an Compute Engine-Instanzen angehängt sind.
  • listEffectiveTags
    • für den entsprechenden Ressourcentyp. Beispiel: compute.instances.listEffectiveTags zum Aufrufen aller Tags, die an Compute Engine-Instanzen angehängt sind oder von diesen übernommen wurden.

Zum Aufrufen von Tags auf Organisationsebene benötigen Sie die Rolle Organisationsbetrachter (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin) oder eine andere Rolle mit den folgenden Berechtigungen:

Erforderliche Berechtigungen

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Zum Verwalten von Tags auf Organisationsebene benötigen Sie die Rolle Organization Viewer (roles/resourcemanager.organizationViewer) für die Organisationsressource.

Tags für Ressourcen verwalten

Zum Hinzufügen und Entfernen von Tags, die mit Ressourcen verknüpft sind, benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser) oder eine andere Rolle mit entsprechenden Berechtigungen für den Tag-Wert und die Ressourcen, an die Sie den Tag-Wert anhängen. Die Rolle Tag-Nutzer umfasst die folgenden Berechtigungen:

Erforderliche Berechtigungen

  • Erforderliche Berechtigungen für die Ressource, an die Sie den Tag-Wert anhängen:
    • Ressourcenspezifische createTagBinding-Berechtigung, z. B. compute.instances.createTagBinding für Compute Engine-Instanzen.
    • Ressourcenspezifische deleteTagBinding-Berechtigung, z. B. compute.instances.deleteTagBinding für Compute Engine-Instanzen.
  • Erforderliche Berechtigungen für den Tag-Wert:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Berechtigungen, mit denen Sie Projekte und Tag-Definitionen aufrufen können:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Zum Anhängen von Tags an Secret Manager-Secrets benötigen Sie die Rolle Secret Manager-Administrator (roles/secretmanager.admin).

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tag erstellen und Tag-Wert hinzufügen.

Tags beim Erstellen von Ressourcen hinzufügen

Sie können beim Erstellen von Secrets Tags hinzufügen. Wenn Sie beim Erstellen von Ressourcen Tags hinzufügen, können Sie sofort wichtige Metadaten für Ihre Ressourcen angeben. Außerdem können Sie so Ressourcen besser organisieren, Kosten verfolgen und Richtlinien automatisch anwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    2. Zu Secret Manager

  2. Wählen Sie die Option zum Erstellen eines neuen Secrets aus.
  3. Klicken Sie auf Tags verwalten.
  4. Wenn Ihre Organisation nicht im Bereich Tags verwalten angezeigt wird, klicken Sie auf Bereich auswählen. Wählen Sie aus, ob Sie Tags hinzufügen möchten, die auf Organisations- oder Projektebene definiert sind, und geben Sie dann die entsprechende ID ein.
  5. Klicken Sie auf Tag hinzufügen.
  6. Wählen Sie aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  7. Wählen Sie den Wert für das Tag, das Sie anhängen möchten, aus der Liste aus. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  8. Klicken Sie auf Speichern. Der Bereich Tags wird mit den Informationen zu den Tags aktualisiert.
  9. Erstellen Sie Ihr Secret. Das neue Secret wird mit den angegebenen Tags erstellt.

gcloud

Führen Sie den folgenden Befehl aus, um beim Erstellen eines Secrets Tags hinzuzufügen:

       gcloud secrets create SECRET_ID --tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

  • SECRET_ID: die eindeutige Kennung des Secrets
  • TAG_KEY: die permanente ID oder der Namespace-Name des angehängten Tag-Schlüssels, z. B. tagKeys/567890123456
  • TAG_VALUE: die permanente ID oder der Namespace-Name des angehängten Tag-Werts, z. B. „tagValues/567890123456“

Um mehrere Tags anzugeben, trennen Sie die Tags durch ein Komma, z. B. TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Senden Sie eine POST-Anfrage an die folgende URL:

      https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

Geben Sie im Anfragetext den folgenden JSON-Code an:

      
{
  "replication": {
    "automatic": {}
  },
  "tags": {
    "TAGKEY_NAME": "TAGVALUE_NAME"
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts.
  • SECRET_ID: die eindeutige Kennung des Secrets
  • TAGKEY_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Schlüssels, z. B. tagKeys/567890123456
  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts, z. B. tagValues/567890123456

Tags zu vorhandenen Ressourcen hinzufügen

So fügen Sie vorhandenen Secrets ein Tag hinzu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    2. Zu Secret Manager

  2. Wählen Sie das Secret aus, dem Sie ein Tag hinzufügen möchten.
  3. Klicken Sie auf Tags.
  4. Wenn Ihre Organisation nicht im Bereich Tags angezeigt wird, klicken Sie auf Bereich auswählen. Wählen Sie Ihre Organisation aus und klicken Sie auf Öffnen.
  5. Klicken Sie auf Tag hinzufügen.
  6. Wählen Sie aus der Liste den Schlüssel für das Tag aus, das Sie anhängen möchten. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  7. Wählen Sie den Wert für das Tag, das Sie anhängen möchten, aus der Liste aus. Sie können die Liste filtern, indem Sie Suchbegriffe eingeben.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag anzuhängen.

    10. Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Wenn Sie ein Tag an ein Secret anhängen möchten, müssen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource erstellen:

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//secretmanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an /projects/PROJECT_ID/secrets/SECRET_ID anhängen möchten, lautet die vollständige ID //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

An Ressourcen angehängte Tags auflisten

Sie können eine Liste der Tag-Bindungen aufrufen, die direkt an das Secret angehängt oder von ihm übernommen wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    2. Zu Secret Manager

  2. Tags werden in der Spalte Tags des Geheimnisses angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

Ersetzen Sie Folgendes:

  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//secretmanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an /projects/PROJECT_ID/secrets/SECRET_ID anhängen möchten, lautet die vollständige ID //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Sie sollten eine Antwort ähnlich der folgenden erhalten:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //secretmanager.googleapis.com/projects/project-abc/secrets/secret-xyz

Tags von Ressourcen trennen

Sie können Tags trennen, die direkt an ein Secret angehängt wurden. Übernommene Tags können durch Anhängen eines Tags mit demselben Schlüssel und einem anderen Wert überschrieben, aber nicht getrennt werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    2. Zu Secret Manager

  2. Wählen Sie das Secret aus, aus dem Sie ein Tag entfernen möchten.
  3. Klicken Sie auf Tags.
  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie trennen möchten, auf Element löschen.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie im Dialogfeld Bestätigen auf Bestätigen, um das Tag zu trennen.

Mit einer Benachrichtigung wird bestätigt, dass Ihre Tags aktualisiert wurden.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings delete, um eine Tag-Bindung zu löschen:

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Ersetzen Sie dabei Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des angehängten Tag-Werts. Beispiel: tagValues/567890123456.
  • RESOURCE_ID ist die vollständige ID der Ressource, einschließlich des API-Domainnamens, um den Ressourcentyp (//secretmanager.googleapis.com/) zu identifizieren. Wenn Sie beispielsweise ein Tag an /projects/PROJECT_ID/secrets/SECRET_ID anhängen möchten, lautet die vollständige ID //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Tag-Schlüssel und -Werte löschen

Achten Sie beim Entfernen eines Tag-Schlüssels oder einer Wertedefinition darauf, dass das Tag vom Secret getrennt ist. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Hierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das an eine Ressource angehängte Tag ändern oder löschen, kann der Nutzerzugriff auf diese Ressource entfernt werden, nachdem eine IAM-Richtlinie mit bedingten Rollenbindungen angewendet wurde. Weitere Informationen finden Sie unter Bedingungen und Tags für Identity and Access Management.

Nächste Schritte