Présentation de Tag Manager

La hiérarchie des ressources Google Cloud permet d'organiser vos ressources en arborescence. Bien qu'elle soit utile pour gérer les ressources à grande échelle, elle se limite à ne modéliser que quelques dimensions métier telles que la structure organisationnelle, les régions, les types de charge de travail, les centres de coûts, etc. La hiérarchie manque de flexibilité pour superposer plusieurs dimensions métier.

Les tags offrent une nouvelle façon de gérer les règles en plus de la hiérarchie des ressources. Les règles peuvent être gérées de manière centralisée à partir de la ressource Organisation, mais appliquées de manière conditionnelle en fonction de la présence de tags. Vous pouvez gérer et mettre à jour les règles en un seul endroit, et associer des tags flexibles qui offrent des contrôles rigoureux dans toute la hiérarchie des ressources.

Créer des tags

Les tags sont des ressources auxquelles une liste de contrôle d'accès (LCA) est appliquée. Ils sont structurés comme des paires clé/valeur. La liste des valeurs autorisées est constituée de ressources auxquelles des LCA sont appliquées. Par exemple, une clé de tag "env" avec les valeurs "prod" et "dev". Une ressource de clé de tag peut être créée dans des organisations, et une ressource de valeur de tag ne peut être créée que dans des clés de tag.

Paires clé/valeur de tag

Les tags sont créés dans des organisations, telles que mycompany.com.Lors de la création, d'autres propriétés peuvent être définies, telles que le nom à afficher et la description lisibles.

Administration des tags

Les administrateurs peuvent contrôler l'utilisation des tags en restreignant les personnes autorisées à créer, mettre à jour, supprimer et attacher des tags aux ressources. Ils peuvent sélectionner un tag individuel pour effectuer des modifications, telles que la mise à jour du nom de clé ou des noms de valeur, l'ajout ou la suppression de valeurs et la mise à jour de la description. Cela permet un contrôle précis des tags dans votre organisation.

Les tags peuvent recevoir une description, qui est disponible chaque fois qu'un tag est référencé lors de l'association d'une ressource. Ainsi, la personne qui associe un tag à une ressource peut comprendre la fonction de ce tag.

Règles et tags

Pour utiliser un tag avec une règle, vous devez créer une règle et une condition pour ce tag. Lors de la création de la règle, vous pouvez définir des conditions qui font référence aux tags et régir le comportement de la règle en fonction de ces tags.

Une fois que le tag a été créé et qu'une règle qui le référence a été créée elle aussi, vous pouvez appliquer ce tag aux ressources. La règle prend effet en fonction des références conditionnelles que vous avez mises en œuvre.

Héritage des tags

Lorsqu'une paire clé/valeur de tag est attachée à une ressource, elle est héritée par tous les descendants de cette ressource. Un tag associé à une ressource qui a hérité d'une valeur de tag pour la même clé ignore la valeur héritée et prend la valeur de tag directement associée.

Héritage des tags

Dans cet exemple, les valeurs de tag en bleu sont directement associées à une ressource, tandis que les valeurs de tag en pointillés, telles que "dev", sont héritées. Notez que la valeur "test" remplace la valeur "dev".

Supprimer des tags

Lors de la suppression d'une clé ou d'une définition de valeur de tag, s'il existe des instances de tag associé, la suppression échoue. Vous devez nettoyer les tags associés existants avant de supprimer la définition de tag. Les suppressions de définition valeur et de clé de tag sont récupérables dans un délai d'environ 30 jours avant la suppression définitive.

Scénario d'utilisation

Exceptions aux règles d'administration

Considérons une hiérarchie des ressources que les administrateurs de la sécurité ont organisée de sorte qu'elle reflète la structure des rapports de votre entreprise. Bien que cette structure puisse être utile pour gérer les contrôles des accès, elle ne se prête pas bien à la définition des règles d'administration de la production, car les ressources de production peuvent se trouver dans toute la hiérarchie, au côté des ressources de développement.

Actuellement, les règles d'administration sont probablement définies au niveau du nœud Organisation ou des dossiers de niveau supérieur. Les exceptions aux règles d'administration sont ensuite définies plus bas dans la hiérarchie afin de pouvoir remplacer. Cela produit malheureusement beaucoup de doubles et rend ceux-ci difficiles à gérer lorsque les exigences changent.

Par exemple, définissons la règle violette comme le partage restreint de domaine (DRS, Domain Restricted Sharing) pour les employés acme.com à temps plein seulement, et la règle verte comme les exceptions DRS pour les fournisseurs, helper.com.

Exemple de règle d'administration

Un jour, l'organisation a une nouvelle règle de gouvernance pour utiliser un autre fournisseur, assist.com.Toutes les exceptions aux règles d'administration existantes doivent être identifiées et mises à jour, mais il y a bien sûr une marge d'erreur, ce qui peut conduire à un accès inapproprié aux ressources de l'entreprise.

Exceptions aux règles d'administration

Avec les tags, les administrateurs peuvent définir une règle centralisée et l'activer sur les ressources avec le tag conditionné, de sorte que les administrateurs n'aient à gérer qu'une seule règle centrale.

Dans cet exemple, le DRS autorise par défaut les employés acme.com à temps plein et conditionne l'accès à helper.com seulement si le tag violet foncé est présent. Si l'administrateur souhaite passer de helper.com à assist.com, il ne doit mettre à jour que cette règle centrale.

Exemple de règle d'administration avec des tags

En extrapolant cela à plusieurs règles d'administration et plusieurs tags, les administrateurs peuvent gérer les règles de manière centralisée tout en activant celles-ci sur plusieurs dimensions métier.

Règle d'administration centralisée

Étapes suivantes

Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.