タグは Key-Value ペアで、ワーカープールに適用してきめ細かいアクセス制御を行うことができます。タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。
タグ管理者は、組織またはプロジェクト レベルで Google Cloud 全体のリソースにタグを作成し、Resource Manager で管理します。
必要なロール
タグの追加または削除に必要な権限を取得するには、Cloud Run ワーカープールに対する次の IAM ロールを付与するよう管理者に依頼してください。
- Cloud Run 管理者(
roles/run.admin) - タグユーザー(
roles/resourcemanager.tagUser)
Resource Manager のタグ値リソースのアクセスを管理するには、タグ値に付与されたタグユーザー(roles/resourcemanager.tagUser)ロールも必要です。タグ値は、Cloud Run ワーカープールに接続されているリソースです。
Cloud Run に関連付けられている IAM ロールと権限のリストについては、Cloud Run IAM ロールと Cloud Run IAM 権限をご覧ください。Cloud Run ワーカープールがGoogle Cloud API(Cloud クライアント ライブラリなど)と連携している場合は、サービス ID の構成ガイドをご覧ください。ロールの付与の詳細については、デプロイ権限とアクセスの管理をご覧ください。
タグを付ける
ワーカープールにタグを設定しても、新しいリビジョンは作成されません。
Google Cloud CLI を使用してタグを付けることができます。
gcloud
次のコマンドを使用して、ワーカープールのタグを更新できます。
gcloud resource-manager tags bindings create \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/workerpools/WORKER_POOL \ --location=REGION
複数のタグを更新するには、Key-Value ペアのカンマ区切りリストを指定します。
次のように置き換えます。
- TAG_VALUE は、キーの値に置き換えます。
tagValues/12345678901のような永続的な ID、123456789012/env/prodのような名前空間の値、prodのような短縮名など、さまざまなタイプの値を使用できます。 - PROJECT_ID: Google Cloud プロジェクトのプロジェクト ID。
- REGION: Cloud Run ワーカープールがデプロイされているリージョン。
- WORKER_POOL: Cloud Run ワーカープールの名前。
タグを削除する
Google Cloud CLI を使用して、ワーカープールからタグを取り外します。
gcloud
ワーカープールからタグを削除するには:
gcloud resource-manager tags bindings delete \ --tag-value=TAG_VALUE \ --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/workerpools/WORKER_POOL \ --location=REGION
複数のタグを削除するには、Key-Value ペアのカンマ区切りリストを指定します。
次のように置き換えます。
- TAG_VALUE はキーの値に置き換えます。
tagValues/12345678901のような永続的な ID、123456789012/env/prodのような名前空間の値、prodのような短縮名など、さまざまなタイプの識別子を使用できます。 - PROJECT_ID: Google Cloud プロジェクトのプロジェクト ID。
- REGION: Cloud Run ワーカープールがデプロイされているリージョン。
- WORKER_POOL: Cloud Run ワーカープールの名前。