Crea y administra etiquetas

En esta guía, se describe cómo crear y administrar etiquetas. Una etiqueta es un par clave-valor que se puede adjuntar a una organización, una carpeta o un proyecto. Puedes usar etiquetas para permitir o rechazar de forma condicional políticas según si un recurso tiene una etiqueta específica.

Antes de comenzar

Para obtener más información sobre qué son las etiquetas y cómo funcionan, consulta la descripción general de las Etiquetas.

Permisos necesarios

Los permisos que necesita dependen de la acción que deba realizar.

Para obtener estos permisos, pídele a tu administrador que otorgue la función sugerida en el nivel adecuado de la jerarquía de recursos.

Visualiza etiquetas

Para ver las definiciones de etiquetas y las etiquetas adjuntas a los recursos, necesitas la función Visualizador de etiquetas (roles/resourcemanager.tagViewer) o alguna otra función que incluya los siguientes permisos:

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings para el tipo de recurso adecuado Por ejemplo, compute.instances.listTagBindings para ver las etiquetas adjuntas a instancias de Compute Engine.

Administrar etiquetas

Para crear, actualizar y borrar definiciones de etiquetas, necesitas la función Administrador de etiquetas (roles/resourcemanager.tagAdmin) o alguna otra que incluya los siguientes permisos:

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get

Administra etiquetas en los recursos

Para agregar y quitar etiquetas asociadas a los recursos, necesitas la función Usuario de etiquetas (roles/resourcemanager.tagUser) o alguna otra función con permisos equivalentes, tanto en el valor de etiqueta como en los recursos a los que adjuntarás el valor de etiqueta. La función Usuario de etiquetas incluye los siguientes permisos:

  • Permisos necesarios para el recurso al que adjuntarás el valor de la etiqueta:

    • El permiso createTagBinding específico del recurso, como compute.instances.createTagBinding para las instancias de Compute Engine
    • El permiso deleteTagBinding específico del recurso, como compute.instances.deleteTagBinding para las instancias de Compute Engine
  • Permisos necesarios para el valor de la etiqueta:

    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Permisos que te permiten ver proyectos y definiciones de etiquetas:

    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Crea y define una nueva etiqueta

Las etiquetas se componen de un par clave-valor y se adjuntan a una organización, carpeta o recurso de proyecto en tu jerarquía de Google Cloud. Para crear una etiqueta nueva, primero debes crear una clave de etiqueta que describa la que estás creando. Por ejemplo, es posible que desees especificar entornos de producción, pruebas y desarrollo para los recursos de tu jerarquía de recursos creando una clave con el nombre environment.

Luego, puedes crear los diferentes valores que puede tener la clave. Si creaste una clave de etiqueta llamada environment, te recomendamos especificar que hay tres entornos posibles y crear un valor para cada una: production, development y test.

Puedes crear un máximo de 1,000 claves creadas en una organización determinada y puede haber un total de 1,000 valores creados para cada clave.

Por último, puedes adjuntar estos valores a los recursos de tu jerarquía, lo que conlleva la asociación del par clave-valor. Por ejemplo, puedes adjuntar test a varias carpetas del entorno de pruebas en toda la organización y cada una llevaría el par clave-valor environment: test.

Cómo crear una etiqueta

Para comenzar, debes crear una clave de etiqueta.

La clave shortName de la etiqueta puede tener un máximo de 63 caracteres. El grupo de caracteres permitido para shortName incluye caracteres alfanuméricos en mayúsculas y minúsculas (sin internacionalización), guiones, guiones bajos y puntos. El elemento shortName debe comenzar y terminar con un carácter alfanumérico. Una vez que se creó el shortName, no se puede cambiar y debe ser único dentro del mismo espacio de nombres.

Console

Para crear una clave de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haga clic en Crear etiqueta.

  5. En el cuadro Nombre de la etiqueta, ingresa el nombre visible de tu clave de etiqueta. Esto se vuelve parte del nombre de espacio de nombres de tu etiqueta.

  6. En el cuadro Descripción de la etiqueta, ingrese una descripción de la clave de etiqueta.

  7. Si deseas agregar valores de etiqueta a esta clave, haz clic en Agregar valor para cada valor de etiqueta que desees crear.

  8. En el cuadro Valor de la etiqueta, ingrese el nombre visible del valor de su etiqueta. Esto se vuelve parte del nombre de espacio de nombres de tu etiqueta.

  9. En el cuadro Descripción del valor de la etiqueta, ingresa una descripción del valor de tu etiqueta.

  10. Cuando termine de agregar valores de etiqueta, haga clic en Crear etiqueta.

gcloud

Para crear una clave de etiqueta, usa el comando gcloud resource-manager tags keys create:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=organizations/ORGANIZATION_ID

Donde:

  • SHORT_NAME es el nombre visible de tu clave de etiqueta; por ejemplo: environment.

  • ORGANIZATION_ID es el ID de la organización que será el recurso superior de esta clave de etiqueta, por ejemplo, 12345678901. Para obtener información sobre cómo obtener el ID de tu organización, consulta la sección sobre cómo crear y administrar organizaciones.

Deberías recibir una respuesta similar a la que figura a continuación:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 12345678901/environment
parent: organizations/12345678901

API

Para crear una clave de etiqueta, crea una representación JSON de la clave. Para obtener más información sobre el formato de una clave de etiqueta, consulta la referencia de TagKey.

Luego, usa el método tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Cuerpo JSON de la solicitud:

{
    "parent": ORGANIZATION_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Donde:

  • SHORT_NAME es el nombre visible de tu clave de etiqueta; por ejemplo: environment.

  • ORGANIZATION_ID es el ID de la organización que será el recurso superior de esta clave de etiqueta, por ejemplo, organizations/12345678901. Para obtener información sobre cómo obtener el ID de tu organización, consulta la sección sobre cómo crear y administrar organizaciones.

  • DESCRIPTION es una descripción de la clave y no más de 256 caracteres.

Después de crear la clave, puedes encontrar el nombre visible único, llamado namespacedName, que tiene un espacio de nombres dentro de su organización superior, y un ID permanente único global llamado name.

Cómo ver una clave de etiqueta

Puedes encontrar información sobre una clave de etiqueta en particular con el ID permanente o el nombre con espacio de nombres que se muestra cuando la creaste.

Console

Para ver una etiqueta creada, siga estos pasos:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Todas las etiquetas de esta organización aparecen en la lista. Haz clic en la etiqueta de la que deseas ver la clave de etiqueta.

gcloud

Para mostrar la información relacionada con una clave de etiqueta determinada, usa el comando gcloud resource-manager tags keys describe:

gcloud resource-manager tags keys describe TAGKEY_NAME

En el ejemplo anterior, TAGKEY_NAME es el ID permanente o el nombre de espacio de nombres de la clave de etiqueta para la que deseas mostrar información; por ejemplo: tagKeys/123456789012.

Deberías recibir una respuesta similar a la que figura a continuación:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 12345678901/environment
parent: organizations/12345678901

API

Para mostrar la información relacionada con una clave de etiqueta determinada, usa el método tagKeys.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

Donde TAGKEY_NAME es el ID permanente de la clave de etiqueta sobre la que deseas mostrar información; por ejemplo: tagKeys/123456789012.

Agrega valores de etiquetas

Una vez que hayas creado una clave de etiqueta, podrás agregar valores aceptados para la clave.

El valor de tu etiqueta shortName debe cumplir con los siguientes requisitos:

  • Un shortName puede tener una longitud máxima de 63 caracteres.

  • Las shortName deben comenzar y terminar con un carácter alfanumérico.

  • Un shortName debe contener solo caracteres alfanuméricos en mayúsculas y minúsculas (sin internacionalización), guiones (-), guiones bajos (_), puntos (.), signos (@), signos de porcentaje (%), signos igual (=), signos más (+), signos (:), comas (,), asteriscos (&), espacios ({12/6/)/{12/)}, ({12/6}, {12/3}).

  • Una shortName no se puede cambiar una vez que se creó, y debe ser único dentro del mismo espacio de nombres.

Console

Para crear un valor de etiqueta, haga lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. En la lista de etiquetas, haga clic en la etiqueta a la que desee agregar un valor nuevo.

  5. Haz clic en Agregar valor.

  6. En el cuadro Valor de la etiqueta, ingrese el nombre visible del valor de su etiqueta. Esto se vuelve parte del nombre de espacio de nombres de tu etiqueta.

  7. En el cuadro Descripción del valor de la etiqueta, ingresa una descripción del valor de tu etiqueta.

  8. Haz clic en Guardar.

gcloud

Para crear un valor de etiqueta, usa el comando gcloud resource-manager tags keys create. Debes especificar la clave en la que se crea este valor:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Donde:

  • TAGVALUE_SHORTNAME es el nombre corto del nuevo valor de etiqueta; por ejemplo: production.

  • TAGKEY_NAME es el ID permanente o el nombre de espacio de nombres de la clave de etiqueta superior; por ejemplo: tagKeys/4567890123.

Deberías recibir una respuesta similar a la que figura a continuación:

Creating tag value production in tag key 12345678901/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 12345678901/environment/production
parent: tagKeys/123456789012

API

Para crear un valor de etiqueta, crea una representación JSON del valor. Para obtener más información sobre el formato de los valores de etiquetas, consulta la referencia de TagValue.

Luego, usa el método tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Cuerpo JSON de la solicitud:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Donde:

  • TAGKEY_NAME es el ID permanente de la clave de la etiqueta principal; por ejemplo:tagKeys/4567890123.

  • SHORT_NAME es el nombre visible del valor de tu etiqueta; por ejemplo: environment.

  • DESCRIPTION es una descripción del valor y no puede tener más de 256 caracteres.

Después de crear el valor, puedes encontrar el nombre visible único, llamado namespacedName, que tiene un espacio de nombres dentro de su organización superior, y un ID permanente único global llamado name.

Recupera valores de etiqueta

Puedes encontrar información sobre un valor de etiqueta en particular con el ID permanente o el nombre con espacio de nombres que se muestra cuando lo creaste.

Console

Para ver una etiqueta creada, siga estos pasos:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Todas las etiquetas que creaste en esta organización aparecen en la lista. Haga clic en la etiqueta cuyos valores desea ver.

gcloud

Para mostrar la información relacionada con un valor de etiqueta determinado, usa el comando gcloud resource-manager tags values describe:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME es el nombre de espacio de nombres del valor de la etiqueta, por ejemplo: 1234567890/environment/production.

Deberías recibir una respuesta similar a la que figura a continuación:

short_name: production
namespaced_name: 1234567890/environment/production
parent: tagKeys/123456789012

API

Para mostrar la información relacionada con un valor de etiqueta determinado, usa el método tagValues.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

En el ejemplo anterior, TAGVALUE_NAME es el ID permanente del valor de la etiqueta; por ejemplo: tagValues/4567890123.

Cuando haces referencia a etiquetas mediante la CLI de Google Cloud, puedes usar el nombre de espacio de nombres o el ID permanente para las claves y los valores de etiqueta. Las llamadas a la API solo deben usar el ID permanente. Consulta Definiciones e identificadores de etiquetas para obtener más información sobre los tipos de identificadores que usa una etiqueta.

Actualizando etiquetas existentes

Para modificar una etiqueta existente, actualice la clave o los valores asociados con ella. Puedes actualizar la descripción de una etiqueta, pero no el nombre corto.

Console

Para actualizar la descripción de una clave de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en Acciones junto a la clave de etiqueta que deseas actualizar y, luego, en Ver detalles.

  5. Haz clic en Editar junto a Descripción cerca de la parte superior de la pantalla.

  6. Actualiza la descripción de la clave de etiqueta

  7. Haz clic en Guardar.

gcloud

Para modificar la descripción de una clave de etiqueta, usa el comando gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Donde:

  • TAGKEY_NAME es el ID permanente o el nombre de espacio de nombres de la clave que se va a actualizar; por ejemplo: tagKeys/123456789012.

  • NEW_DESCRIPTION es una string de no más de 256 caracteres para usar como descripción nueva.

Deberías recibir una respuesta similar a la que figura a continuación:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 12345678901/environment
description: "new description"
parent: organizations/12345678901

API

Para modificar la descripción de una clave de etiqueta, usa el método tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Cuerpo JSON de la solicitud:

{
    "description": DESCRIPTION,
}

Donde:

  • TAGKEY_NAME es el ID permanente de la clave de etiqueta; por ejemplo: tagKeys/123456789012.

  • DESCRIPTION es una descripción de la clave y no más de 256 caracteres.

También puede cambiar la descripción de los valores de las etiquetas.

Console

Para actualizar la descripción del valor de una etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en Acciones junto a la clave de etiqueta del valor que deseas actualizar y, luego, en Ver detalles.

  5. Haz clic en Acciones junto al valor de la etiqueta que deseas actualizar y, luego, haz clic en Ver detalles.

  6. Haz clic en Editar junto a Descripción cerca de la parte superior de la pantalla.

  7. Actualiza la descripción del valor de la etiqueta.

  8. Haz clic en Guardar.

gcloud

Para modificar una descripción del valor de la etiqueta, usa el comando gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se actualizará; por ejemplo: tagValues/4567890123.

  • NEW_DESCRIPTION es una string de no más de 256 caracteres para usar como descripción nueva.

Deberías recibir una respuesta similar a la que figura a continuación:

short_name: production
namespaced_name: 12345678901/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Para modificar la descripción de una clave de etiqueta, usa el comando tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Cuerpo JSON de la solicitud:

{
    "description": DESCRIPTION,
}

Aquí:

  • TAGVALUE_NAME es el nombre de ID permanente del valor de la etiqueta; por ejemplo: tagValues/4567890123.

  • DESCRIPTION es una descripción de la clave y no más de 256 caracteres.

Enumera las claves de etiquetas

Puedes enumerar todas las claves de etiquetas asociadas con una organización en particular mediante la consola, la CLI de gcloud o una llamada a la API.

Console

Para ver todas las etiquetas, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Todas las etiquetas que creaste en esta organización aparecen en la lista.

gcloud

Para mostrar una lista de todas las claves de etiquetas adjuntas a un recurso de organización, usa el comando gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=ORGANIZATION_ID

Donde ORGANIZATION_ID es el ID de la organización para la que deseas encontrar claves de etiquetas adjuntas.

  • Se debe proporcionar un ID de la organización en el formato organizations/ORGANIZATION_ID; por ejemplo: organizations/12345678901. Para obtener información sobre cómo obtener el ID de tu organización, consulta la sección sobre cómo crear y administrar organizaciones.

Deberías recibir una respuesta similar a la que figura a continuación:

NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Para mostrar una lista de todas las claves de etiquetas de un recurso determinado, usa el método tagKeys.list, con el recurso superior especificado en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

En el ejemplo anterior, RESOURCE_ID es el ID del recurso para el que deseas encontrar claves de etiquetas adjuntas; por ejemplo: organizations/12345678901.

Enumera valores de etiqueta

Puedes enumerar todos los valores de etiquetas asociados con una clave de etiqueta en particular mediante la consola, la CLI de gcloud o una llamada a la API.

Console

Para ver todos los valores de etiquetas asociados a una clave de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en Acciones junto a la clave de etiqueta que contiene los valores de etiqueta que deseas encontrar y, luego, haz clic en Ver detalles.

  5. Todos los valores de etiqueta que creaste con esta clave de etiqueta aparecerán en la lista.

gcloud

Para mostrar una lista de todos los valores de etiquetas adjuntos a una clave, usa el comando gcloud resource-manager tags values list:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

En el ejemplo anterior, TAGKEY_NAME es el ID permanente o el nombre de espacio de nombres de la clave de etiqueta para la que deseas encontrar los valores adjuntos; por ejemplo: tagKeys/123456789012.

Deberías recibir una respuesta similar a la que figura a continuación:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Para mostrar una lista de todos los valores de etiquetas asociados a una clave, usa el método tagValues.list con la clave de etiqueta superior especificada en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

Donde TAGKEY_NAME es el nombre de ID permanente de la clave de etiqueta; por ejemplo: tagKeys/123456789012.

Cómo administrar el acceso a las etiquetas

Puedes brindar a los usuarios acceso específico para administrar etiquetas y adjuntar valores de etiquetas a los recursos mediante la consola. Consulta Permisos necesarios para ver una lista de las funciones relacionadas con las etiquetas y los permisos que contienen.

Claves de etiquetas

Para administrar el acceso de los usuarios en una clave de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en la casilla de verificación junto a la etiqueta para la que deseas administrar el acceso.

  5. Haz clic en Administrar acceso.

  6. Para agregar una función a una principal, haz clic en Agregar principal.

    1. En el cuadro de texto Principales nuevas, ingresa la dirección de correo electrónico de la principal a la que deseas otorgarle una función nueva.

    2. Selecciona una función del menú desplegable Selecciona una función. Si deseas agregar más de una función, haz clic en Agregar otra función.

    3. Si deseas enviar una notificación, haz clic en la casilla de verificación junto a Send notification email.

    4. Haz clic en Guardar.

  7. Para editar la función de una principal, haz clic en Editar junto a la principal que deseas editar.

    1. Para cambiar cualquier función que se haya asignado a las principales de esta etiqueta, haz clic en el menú desplegable Función y elige una función nueva.

    2. Si deseas agregar más funciones, haz clic en Agregar otra función.

    3. Para borrar una función de esta principal en esta etiqueta, haz clic en Borrar función junto a la función que deseas borrar.

    4. Haz clic en Guardar.

  8. Para borrar la función principal, haz clic en Borrar función junto a la función que deseas borrar.

    1. Haz clic en Eliminar.

Valores de la etiqueta

Para administrar el acceso de los usuarios en un valor de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en Acciones junto a la clave de etiqueta del valor para el que deseas administrar el acceso y, luego, haz clic en Ver detalles.

  5. Haz clic en Administrar acceso.

  6. Para agregar una función a una principal, haz clic en Agregar principal.

    1. En el cuadro de texto Principales nuevas, ingresa la dirección de correo electrónico de la principal a la que deseas otorgarle una función nueva.

    2. Selecciona una función del menú desplegable Selecciona una función. Si deseas agregar más de una función, haz clic en Agregar otra función.

    3. Si deseas enviar una notificación, haz clic en la casilla de verificación junto a Send notification email.

    4. Haz clic en Guardar.

  7. Para editar la función de una principal, haz clic en Editar junto a la principal que deseas editar.

    1. Para cambiar cualquier función que se haya asignado a las principales de esta etiqueta, haz clic en el menú desplegable Función y elige una función nueva.

    2. Si deseas agregar más funciones, haz clic en Agregar otra función.

    3. Para borrar una función de esta principal en esta etiqueta, haz clic en Borrar función junto a la función que deseas borrar.

    4. Haz clic en Guardar.

  8. Para borrar la función principal, haz clic en Borrar función junto a la función que deseas borrar.

    1. Haz clic en Eliminar.

Adjunta etiquetas a los recursos

Después de crear una etiqueta y otorgarle el acceso correspondiente a ella y al recurso, esta puede adjuntarse a un recurso de Google Cloud como un par clave-valor. Se puede adjuntar exactamente un valor a un recurso para una clave determinada. Por ejemplo, si se adjunta environment: development, entonces no se puede adjuntar environment: production o environment: test. Cada recurso puede tener un máximo de 50 pares clave-valor adjuntos.

Las etiquetas se adjuntan a los recursos mediante la creación de un recurso de vinculación de etiqueta que vincula el valor al recurso de Google Cloud.

Console

Para adjuntar una etiqueta a un recurso, haz lo siguiente:

  1. Abre la página Administrar recursos en la consola.

    Abre la página Administrar recursos

  2. Haz clic en la organización, la carpeta o el proyecto al que desees adjuntar una etiqueta.

  3. En el panel de información que aparece, haz clic en la pestaña Etiquetas.

  4. Haz clic en el botón de selección Agregar vinculaciones de etiquetas.

  5. En el cuadro Valor de la etiqueta, ingresa el nombre del espacio de nombres del valor de la etiqueta que deseas adjuntar; por ejemplo, 4567890123/Environment/Production.

  6. Si deseas adjuntar más valores de etiqueta, haz clic en Agregar valor y, luego, ingresa el nombre con espacio de nombres para cada valor de etiqueta.

  7. Haga clic en Guardar vinculaciones.

  8. La etiqueta nueva aparece en la columna Etiquetas de la página Administrar recursos.

gcloud

Para adjuntar una etiqueta a un recurso, debes crear un recurso de vinculación de etiquetas con el comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID
--location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre del espacio de nombres del valor de la etiqueta que se adjuntará; por ejemplo: tagValues/4567890123.

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/7890123456, el ID completo sería: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es la ubicación de tu recurso. Si adjuntas una etiqueta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si adjuntas una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para adjuntar una etiqueta a un recurso, primero debes crear una representación JSON de una vinculación de etiqueta que incluya los ID permanentes del valor de la etiqueta y del recurso. Para obtener más información sobre el formato de una vinculación de etiqueta, consulta la Referencia de TagBinding.

Si adjuntas la etiqueta a un recurso global como una organización, usa el método tagBindings.create con el nombre de host del extremo global:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Si adjuntas la etiqueta a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.create con el extremo regional en el que se encuentra el recurso.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Cuerpo JSON de la solicitud:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

Donde:

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/7890123456, el ID completo sería: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo: tagValues/4567890123.

Enumera todas las etiquetas adjuntas a un recurso

Puedes obtener una lista de todas las etiquetas adjuntas a un recurso. En los siguientes ejemplos, se proporciona una lista de vinculaciones de etiquetas adjuntas directamente al recurso, pero no se mostrarán las que se hayan heredado de recursos principales.

Console

Para ver todas las etiquetas adjuntas a un recurso, haz lo siguiente:

  1. Abre la página Administrar recursos en la consola.

    Abre la página Administrar recursos

  2. Busca tu organización, carpeta o proyecto en la lista de recursos.

  3. Las etiquetas adjuntas al recurso aparecen en la columna Tags.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Donde:

  • RESOURCE_ID es el ID completo del recurso; por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION es la ubicación de tu recurso. Si enumeras las etiquetas adjuntas a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si adjuntas una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación; por ejemplo: us-central1.

Deberías recibir una respuesta similar a la que figura a continuación:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

API

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso global, como una organización, usa el método tagBindings.list y especifica el recurso superior en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Si deseas enumerar las vinculaciones de etiquetas conectadas a un recurso regional, como las instancias de Compute Engine, usa el método tagBindings.list con el extremo regional en el que se encuentra tu recurso.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Donde:

  • RESOURCE_ID es el ID completo del recurso; por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es el extremo regional para tu recurso; por ejemplo: us-central1.

Si el proceso es satisfactorio, el cuerpo de la respuesta debe incluir una lista de objetos TagBinding. Por ejemplo:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Enumerar etiquetas de recursos en un recurso

Si quieres ver vinculaciones de etiquetas vinculadas directamente al recurso, así como cualquier vinculación de etiquetas heredada, puedes usar la CLI de gcloud o la API.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso o heredadas de ellas, usa el comando gcloud alpha resource-manager tags bindings list con la marca --effective:

gcloud alpha resource-manager tags bindings list --effective \
    --parent=RESOURCE_ID \
    --location=LOCATION

Donde:

  • RESOURCE_ID es el ID completo del recurso; por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION es la ubicación de tu recurso. Si enumeras las etiquetas adjuntas a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si adjuntas una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación; por ejemplo: us-central1.

Deberías recibir una respuesta similar a la que figura a continuación:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si se adjuntan directamente todas las etiquetas evaluadas en un recurso, se omitirá el campo inherited y se omitirá.

API

Para obtener una lista de vinculaciones de etiquetas adjuntas o heredadas por un recurso global, como una organización, usa el método effectivetags.list y especifica el recurso superior en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/effectivetags

{
    "parent": "RESOURCE_ID"
}

Si deseas enumerar las vinculaciones de etiquetas adjuntas a un recurso regional, como instancias de Compute Engine, usa el método effectivetags.list con el extremo regional en el que se encuentra el recurso.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/effectivetags

{
    "parent": "RESOURCE_ID"
}

Donde:

  • RESOURCE_ID es el ID completo del recurso; por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es el extremo regional para tu recurso; por ejemplo: us-central1.

Si el proceso es satisfactorio, el cuerpo de la respuesta debe incluir una lista de objetos TagBinding. Por ejemplo:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si se adjuntan directamente todas las etiquetas evaluadas en un recurso, se omitirá el campo inherited y se omitirá.

Desconecta una etiqueta de un recurso

Para desconectar una etiqueta de un recurso, borra el recurso de vinculación de etiquetas.

Console

Para desvincular una etiqueta de un recurso, haz lo siguiente:

  1. Abre la página Administrar recursos en la consola.

    Abre la página Administrar recursos

  2. Haz clic en la organización, la carpeta o el proyecto desde el que deseas desvincular una etiqueta.

  3. En el panel de información que aparece, haz clic en la pestaña Etiquetas.

  4. Haz clic en el botón de selección Quitar vinculaciones de etiquetas.

  5. En el cuadro Valor de la etiqueta, ingresa el nombre del espacio de nombres del valor de la etiqueta que deseas quitar; por ejemplo, 4567890123/Environment/Production.

  6. Haga clic en Guardar vinculaciones.

  7. Puedes encontrar la lista actualizada de etiquetas adjuntas en la columna Etiquetas de la página Administrar recursos.

gcloud

Para borrar una vinculación de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta que se adjunta; por ejemplo: tagValues/567890123456.

  • RESOURCE_ID es el ID completo del recurso. Por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION es la ubicación de tu recurso. Si borras una vinculación de etiqueta adjunta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si borras una vinculación de etiqueta adjunta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para borrar una vinculación de etiqueta adjunta a un recurso global, como una organización, usa el método tagBindings.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Si deseas borrar una vinculación de etiqueta que se adjunta a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.delete con el extremo regional en el que se encuentra el recurso.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Donde:

  • TAGBINDINGS_NAME es el ID permanente de TagBinding; por ejemplo: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION es el extremo regional para tu recurso; por ejemplo: us-central1.

Cómo proteger los valores de las etiquetas con conservaciones de etiquetas

Una conservación de etiquetas es un recurso que puedes crear para proteger un valor de etiqueta. Si un valor de etiqueta tiene una conservación de etiqueta, los usuarios no pueden borrarlo, a menos que primero se borre.

Creando conservaciones de etiquetas

Puedes crear una conservación de etiquetas de forma manual con la CLI de gcloud o la API.

gcloud

Para crear una conservación de etiquetas, usa el comando gcloud alpha resource-manager tags holds create de la CLI de gcloud:

  gcloud alpha resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de etiqueta para el que se debe crear esta conservación de etiquetas; por ejemplo: tagValues/567890123456.

  • HOLDER_NAME es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.

  • LOCATION es la ubicación de tu recurso. Si creas una conservación de etiqueta para un recurso global, como un proyecto de Google Cloud, debes omitir esta marca. Si creas una retención de etiqueta para un recurso regional o zonal, debes especificar la ubicación; por ejemplo: us-central1.

API

Si quieres crear una conservación de etiquetas para un valor de etiqueta, primero debes crear una representación JSON de una. Esta referencia JSON debe incluir una referencia al recurso al que se adjunta el valor de la etiqueta. Para obtener más información sobre el formato de una conservación de etiquetas, consulta la referencia de TagHolds.

Si creas una conservación de etiqueta para un valor de etiqueta adjunto a un recurso global como una organización, usa el método tagHolds.create con el nombre de host del extremo global:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Si creas una conservación de etiqueta para un valor de etiqueta adjunto a un recurso regional, como una instancia de Compute Engine, usa el método tagHolds.create con el extremo regional donde se encuentra el recurso.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

Cuerpo JSON de la solicitud:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Donde:

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo: tagValues/4567890123.

  • HOLDER_NAME es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.

  • ORIGIN_NAME es una string opcional que representa el origen de esta solicitud. Este campo debe incluir información entendible por las personas para distinguir los orígenes de los demás. Debe tener menos de 200 caracteres.

Conservación de etiquetas de fichas

Puedes enumerar todas las conservaciones de etiquetas con un valor de etiqueta específico mediante la CLI de gcloud o la API.

gcloud

Para enumerar las conservaciones de etiquetas que tienen un valor de etiqueta, usa el comando gcloud alpha resource-manager tags holds list de la CLI de gcloud:

  gcloud alpha resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta, por ejemplo: tagValues/567890123456.

  • LOCATION es la ubicación de tu recurso. Si buscas conservaciones de etiquetas creadas de manera global, debes omitir esta marca. Si buscas conservaciones de etiquetas en un recurso regional o zonal, debes especificar la ubicación; por ejemplo: us-central1.

API

Para obtener una lista de conservaciones de etiquetas en un valor de etiqueta, usa el método tagHolds GET y especifica el valor de la etiqueta superior en la URL:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre de espacio de nombres del valor de la etiqueta, por ejemplo: tagValues/567890123456.

Quitando las retenciones de etiquetas

Puedes quitar las conservaciones de etiquetas creadas en un valor de etiqueta en particular con la CLI de gcloud o la API.

Algunos recursos agregan etiquetas de etiquetas a un valor de etiqueta adjunto a ese recurso. Si adjuntas una etiqueta a ese recurso, el recurso crea una retención de etiqueta que impedirá que los usuarios borren el valor de la etiqueta adjunta.

Puedes borrar una conservación de etiquetas con la CLI de gcloud o la API.

gcloud

Para borrar una conservación de etiquetas, usa el comando gcloud alpha resource-manager tags holds delete de la CLI de gcloud:

  gcloud alpha resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Donde:

  • TAGHOLD_NAME es el nombre del espacio de nombres de la conservación de etiquetas, que se puede encontrar mediante el comando list. Por ejemplo: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37

  • LOCATION es la ubicación de tu recurso. Si borras una retención de etiquetas con un valor de etiqueta adjunto a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si borras una conservación de etiqueta creada a partir de un proceso regional o zonal, debes especificar la ubicación; por ejemplo: us-central1.

API

Para borrar un valor de etiqueta, usa el método tagHolds.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Donde:

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta a la que se adjunta la conservación de etiquetas que deseas borrar. Por ejemplo: tagValues/567890123456.

  • TAGHOLD_NAME es el nombre de espacio de nombres de la conservación de etiquetas que deseas borrar, que se puede encontrar mediante el comando list. Por ejemplo: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37

Borra etiquetas

Para borrar una etiqueta, debes borrar cada uno de sus componentes que los definen. Primero, debes borrar cualquier vinculación de etiquetas que adjunten esta etiqueta a los recursos de tu jerarquía. Para obtener instrucciones sobre cómo borrar vinculaciones de etiquetas, consulta Desvincula etiquetas de recursos.

Si otro recurso usa la etiqueta, o un usuario creó manualmente una conservación de etiqueta, es posible que debas quitar las conservaciones de etiquetas y borrar las vinculaciones de etiquetas antes de borrar los valores correspondientes. Para obtener información sobre cómo quitar conservaciones de etiquetas, consulta Quita conservaciones de etiquetas.

Una vez que no haya más vinculaciones de etiquetas para los valores de etiquetas que deseas borrar, puedes borrarlos.

Console

Para borrar un valor de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haz clic en Acciones junto a la clave de etiqueta que contiene el valor de etiqueta que deseas borrar y, luego, haz clic en Ver detalles.

  5. En la lista de valores de etiquetas asociados con esta clave de etiqueta, haz clic en el valor de la etiqueta que deseas borrar.

  6. Haz clic en la casilla de verificación junto al valor de etiqueta que deseas borrar y, luego, haz clic en Borrar valores.

  7. Haz clic en Confirm.

gcloud

Para borrar un valor de etiqueta, usa el comando gcloud resource-manager tag values delete:

gcloud resource-manager tags values delete TAGVALUE_NAME

En el ejemplo anterior, TAGVALUE_NAME es el ID permanente o el nombre del espacio de nombres del valor de la etiqueta que deseas borrar; por ejemplo: tagValues/567890123456.

API

Para borrar un valor de etiqueta, usa el método tagValues.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

En el ejemplo anterior, TAGVALUE_NAME es el ID permanente del valor de la etiqueta que deseas borrar; por ejemplo: tagValues/567890123456.

Una vez que se hayan borrado todos los valores de etiquetas asociados con una clave, puedes borrarla.

Console

Para borrar una clave de etiqueta, haz lo siguiente:

  1. Abre la página Etiquetas en la consola.

    Abre la página Etiquetas

  2. Selecciona el Selector de proyectos en la parte superior de la página.

  3. En el Selector de organización, selecciona tu organización.

  4. Haga clic en la casilla de verificación junto a la clave de etiqueta que desea borrar.

  5. Haz clic en Borrar etiquetas.

  6. Haz clic en Confirm.

gcloud

Para borrar una clave de etiqueta, usa el comando gcloud resource-manager tags keys delete:

gcloud resource-manager tags keys delete TAGKEYS_NAME

En el ejemplo anterior, TAGKEYS_NAME es el ID permanente o el nombre del espacio de nombres de la clave de etiqueta que deseas borrar; por ejemplo: tagKeys/123456789012.

API

Para borrar una clave de etiqueta, usa el método tagKeys.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

En el ejemplo anterior, TAGKEYS_NAME es el ID permanente de la clave de etiqueta que deseas borrar; por ejemplo: tagKeys/123456789012.

Políticas y etiquetas

Puedes usar etiquetas con políticas que las admitan de manera condicional para aplicar esas políticas. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición para esa política.

Por ejemplo, puedes otorgar de forma condicional las funciones de administración de identidades y accesos (IAM) en función de si un recurso tiene una etiqueta específica.

Etiquetas y condiciones de Identity and Access Management

Puedes usar etiquetas y condiciones de administración de identidades y accesos para otorgar funciones a usuarios de tu jerarquía de forma condicional. Este proceso hace que los usuarios no puedan acceder a los recursos hasta que se adjunte una etiqueta asociada a una política condicional. Por ejemplo, es posible que quieras solicitar que tus desarrolladores asignen un centro de costos a un recurso para que puedan usarlo.

  1. Crea una etiqueta que puedas usar para asociar recursos con algo que identifique si se aplicó la administración adecuada a los recursos. Por ejemplo, puedes crear una etiqueta con la clave costCenter y los valores 0001, 0002, etc., para asociar los recursos con los distintos centros de costos de tu empresa.

  2. Crea una función personalizada a nivel de la organización que permita que los usuarios agreguen etiquetas a los recursos para los que las necesitas. Esto otorga estos permisos a las principales especificadas en cualquier parte de tu organización.

    Por ejemplo, una función personalizada que permite a los usuarios agregar etiquetas a los proyectos debe incluir los siguientes permisos:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list
  3. Cuando crees proyectos para tus desarrolladores, asígnales esta función personalizada.

  4. Asigna a los desarrolladores cualquier otra función que incluya los permisos para que realicen cualquier acción deseada dentro de ese proyecto. Cuando otorgas funciones a los usuarios del proyecto, siempre se deben otorgar de forma condicional las funciones para requerir el adjunto de la etiqueta costCenter.

    resource.hasTagKey('12345678901/costCenter')
    

Ahora, cada vez que se crea un proyecto, tus desarrolladores deben adjuntarle la etiqueta costCenter antes de poder realizar las acciones que la política de IAM otorga.

Servicios compatibles

Para obtener una lista de los servicios que admiten etiquetas, consulta Servicios que admiten etiquetas.

Soluciona problemas conocidos

La expresión de condición falla

Si ejecutas uno de los comandos de add-iam-policy-binding con la CLI de Google Cloud y la política de IAM de ese recurso contiene vinculaciones de funciones condicionales para esa función, la herramienta de la CLI de gcloud te pedirá que elijas una de las expresiones de condición que existen en la política. Si eliges una expresión de condición que contiene una coma, el comando falla. A fin de solucionar este problema, usa la marca --condition para especificar una expresión de condición en la línea de comandos.