Créer et gérer des tags

Ce guide explique comment créer et gérer des tags sur les secrets Secret Manager. Vous pouvez utiliser des tags pour regrouper des secrets Secret Manager associés et stocker les métadonnées relatives à ces ressources en fonction de leurs tags.

À propos des tags

Un tag est une paire clé-valeur qui peut être associée à une ressource dansGoogle Cloud. Vous pouvez utiliser des tags pour autoriser ou refuser de manière conditionnelle les règles selon qu'une ressource dispose ou non d'un tag spécifique. Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle selon qu'une ressource est associée à un tag spécifique. Pour en savoir plus sur les tags, consultez la page Présentation des tags.

Les tags sont associés à des ressources en créant une ressource de liaison de tag qui associe la valeur à la ressource Google Cloud .

Autorisations requises

Les autorisations dont vous avez besoin dépendent de l'action que vous devez effectuer.

Pour obtenir ces autorisations, demandez à votre administrateur d'attribuer le rôle suggéré au niveau approprié de la hiérarchie des ressources.

Afficher les tags

Pour afficher les définitions de tag et les tags associés aux ressources, vous devez disposer du rôle Lecteur de tags (roles/resourcemanager.tagViewer) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings pour le type de ressource approprié. Par exemple, compute.instances.listTagBindings pour afficher les tags associés aux instances Compute Engine.
  • listEffectiveTags
    • pour le type de ressource approprié. Par exemple, compute.instances.listEffectiveTags pour afficher tous les tags associés aux instances Compute Engine ou dont celles-ci ont hérité.

Pour afficher les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Administrer les tags

Pour créer, mettre à jour et supprimer des définitions de tag, vous devez disposer du rôle Administrateur de tags (roles/resourcemanager.tagAdmin) ou d'un autre rôle comprenant les autorisations suivantes :

Autorisations requises

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Pour administrer les tags au niveau de l'organisation, vous devez disposer du rôle Lecteur d'organisation (roles/resourcemanager.organizationViewer) sur la ressource Organisation.

Gérer les tags sur les ressources

Pour ajouter et supprimer des tags associés à des ressources, vous devez disposer du rôle Utilisateur de tags (roles/resourcemanager.tagUser) ou d'un autre rôle doté d'autorisations équivalentes sur la valeur de tag et sur la ressource à laquelle vous associez la valeur de tag. Le rôle Utilisateur de tags inclut les autorisations suivantes :

Autorisations requises

  • Autorisations requises pour la ressource à laquelle vous associez la valeur de tag
    • Autorisation createTagBinding spécifique à la ressource, telle que compute.instances.createTagBinding pour les instances Compute Engine
    • Autorisation deleteTagBinding spécifique à la ressource, telle que compute.instances.deleteTagBinding pour les instances Compute Engine
  • Autorisations requises pour la valeur du tag :
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Autorisations vous permettant d'afficher les projets et les définitions de tags :
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Pour associer des tags à des secrets Secret Manager, vous devez disposer du rôle Administrateur Secret Manager (roles/secretmanager.admin).

Créer des clés et des valeurs de tags

Avant de pouvoir associer un tag, vous devez d'abord créer un tag et configurer sa valeur. Pour créer des clés et des valeurs de tags, consultez les sections Créer un tag et Ajouter une valeur de tag.

Ajouter des tags lors de la création d'une ressource

Vous pouvez ajouter des tags lorsque vous créez des secrets. L'ajout de tags lors de la création de ressources vous permet de fournir instantanément des métadonnées essentielles pour vos ressources. Il vous aide également à mieux les organiser, à suivre les coûts et à appliquer des règles de manière automatisée.

Console

  1. Accédez à la page Secret Manager dans la console Google Cloud .

    2. Accéder à Secret Manager

  2. Sélectionnez l'option permettant de créer un secret.
  3. Cliquez sur Gérer les balises.
  4. Si votre organisation n'apparaît pas dans le panneau Gérer les tags, cliquez sur Sélectionner un niveau d'accès. Choisissez d'ajouter des tags définis au niveau de votre organisation ou de votre projet, puis saisissez l'ID correspondant.
  5. Cliquez sur Ajouter un tag.
  6. Dans la liste, sélectionnez la clé du tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
  7. Dans la liste, sélectionnez la valeur du tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
  8. Cliquez sur Enregistrer. La section Tags est mise à jour avec les informations sur les tags.
  9. Créez votre secret. Le nouveau secret est créé avec les tags fournis.

gcloud

Pour ajouter des tags lors de la création d'un secret, exécutez la commande suivante :

       gcloud secrets create SECRET_ID --tags=TAG_KEY=TAG_VALUE

Remplacez les éléments suivants :

  • SECRET_ID : identifiant unique du secret.
  • TAG_KEY : ID permanent ou nom d'espace de noms de la clé de tag associée. Par exemple, tagKeys/567890123456
  • TAG_VALUE : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456

Spécifiez plusieurs tags en les séparant par une virgule, par exemple, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

API

Envoyez une requête POST à l'URL suivante :

      https://secretmanager.googleapis.com/v1/projects/PROJECT_ID/secrets?secretId=SECRET_ID

Fournissez le code JSON suivant dans le corps de la requête :

      
{
  "replication": {
    "automatic": {}
  },
  "tags": {
    "TAGKEY_NAME": "TAGVALUE_NAME"
  }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet
  • SECRET_ID : identifiant unique du secret.
  • TAGKEY_NAME : ID permanent ou nom d'espace de noms de la clé de tag associée. Par exemple, tagKeys/567890123456
  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456

Ajouter des tags à des ressources existantes

Pour ajouter un tag à des secrets existants, procédez comme suit :

Console

  1. Accédez à la page Secret Manager dans la console Google Cloud .

    2. Accéder à Secret Manager

  2. Sélectionnez le secret auquel vous souhaitez associer un tag.
  3. Cliquez sur Tags.
  4. Si votre organisation n'apparaît pas dans le panneau Tags, cliquez sur Sélectionner un niveau d'accès. Sélectionnez votre organisation, puis cliquez sur Ouvrir.
  5. Cliquez sur Ajouter un tag.
  6. Dans la liste, sélectionnez la clé du tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
  7. Dans la liste, sélectionnez la valeur du tag que vous souhaitez associer. Vous pouvez filtrer la liste en saisissant des mots clés.
  8. Cliquez sur Enregistrer.
  9. Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour associer le tag.

    10. Une notification confirme que vos tags ont été mis à jour.

gcloud

Pour associer un tag à un secret, vous devez créer une ressource de liaison de tag à l'aide de la commande gcloud resource-manager tags bindings create :

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//secretmanager.googleapis.com/). Par exemple, pour associer un tag à /projects/PROJECT_ID/secrets/SECRET_ID, l'ID complet est //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Lister les tags associés aux ressources

Vous pouvez afficher une liste de liaisons de tags directement associées au secret ou dont celui-ci a hérité.

Console

  1. Accédez à la page Secret Manager dans la console Google Cloud .

    2. Accéder à Secret Manager

  2. Les tags sont affichés dans la colonne Tags du secret.

gcloud

Pour obtenir la liste des liaisons de tags associées à une ressource, exécutez la commande gcloud resource-manager tags bindings list :

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

Remplacez les éléments suivants :

  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//secretmanager.googleapis.com/). Par exemple, pour associer un tag à /projects/PROJECT_ID/secrets/SECRET_ID, l'ID complet est //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Vous devriez obtenir un résultat semblable à celui-ci :

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //secretmanager.googleapis.com/projects/project-abc/secrets/secret-xyz

Dissocier des tags de ressources

Vous pouvez dissocier les tags qui ont été directement associés à un secret. Les tags hérités peuvent être remplacés en associant un tag ayant la même clé et une valeur différente, mais ils ne peuvent pas être dissociés.

Console

  1. Accédez à la page Secret Manager dans la console Google Cloud .

    2. Accéder à Secret Manager

  2. Sélectionnez le secret dont vous souhaitez supprimer un tag.
  3. Cliquez sur Tags.
  4. Dans le panneau Tags, à côté du tag que vous souhaitez dissocier, cliquez sur Supprimer l'élément.
  5. Cliquez sur Enregistrer.
  6. Dans la boîte de dialogue Confirmer, cliquez sur Confirmer pour dissocier le tag.

Une notification confirme que vos tags ont été mis à jour.

gcloud

Pour supprimer une liaison de tag, exécutez la commande gcloud resource-manager tags bindings delete :

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

Remplacez les éléments suivants :

  • TAGVALUE_NAME : ID permanent ou nom d'espace de noms de la valeur de tag associée. Par exemple, tagValues/567890123456.
  • RESOURCE_ID est l'ID complet de la ressource, avec le nom de domaine de l'API permettant de déterminer le type de ressource (//secretmanager.googleapis.com/). Par exemple, pour associer un tag à /projects/PROJECT_ID/secrets/SECRET_ID, l'ID complet est //secretmanager.googleapis.com/projects/PROJECT_ID/secrets/SECRET_ID.

Supprimer des clés et des valeurs de tags

Lorsque vous supprimez une clé ou une définition de valeur de tag, assurez-vous que le tag est dissocié du secret. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même. Pour supprimer des clés et des valeurs de tags, consultez la section Supprimer des tags.

Conditions et tags Identity and Access Management

Vous pouvez utiliser des tags et des conditions IAM pour attribuer des liaisons de rôles de manière conditionnelle aux utilisateurs dans votre hiérarchie. La modification ou la suppression du tag associé à une ressource peut supprimer l'accès des utilisateurs à cette ressource, si une stratégie IAM avec des liaisons de rôle conditionnelles a été appliquée. Pour en savoir plus, consultez la section Conditions et tags Identity and Access Management.

Étapes suivantes