Mit der Google Cloud -Ressourcenhierarchie können Sie Ihre Ressourcen in einer Baumstruktur organisieren. Mit dieser Hierarchie können Sie Ressourcen in großem Umfang verwalten, aber nur wenige Geschäftsdimensionen werden modelliert, z. B. Organisationsstruktur, Regionen, Arbeitslasttypen und Kostenstellen. Der Hierarchie mangelt es an der Flexibilität, mehrere Geschäftsdimensionen zu überlagern.
Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Tags und die bedingte Erzwingung von Richtlinien ermöglichen Ihnen, die Ressourcenhierarchie genau zu steuern.
Tags und Labels
Labels sind eine separate Möglichkeit, Anmerkungen für Ressourcen zu erstellen. In der folgenden Tabelle sind einige Unterschiede zwischen Tags und Labels aufgeführt:
Tags | Labels | |
---|---|---|
Ressourcenstruktur | Tag-Schlüssel, Tag-Werte und Tag-Bindungen sind eigenständige Ressourcen. | Keine Ressource an sich, sondern Metadaten für Ressourcen |
Definition | Wird auf Organisations- oder Projektebene definiert | Wird von jeder Ressource definiert |
Zugriffskontrolle | Für die Verwaltung und das Anhängen von Tags sind IAM-Rollen (Identity and Access Management) erforderlich. | Zum Anhängen von Labels sind IAM-Rollen erforderlich, die je nach Dienstressource variieren. |
Voraussetzungen für Anhänge | Tag-Schlüssel und Tag-Wert müssen definiert werden, bevor ein Tag an eine Ressource angehängt werden kann | Keine Voraussetzungen für Anhänge |
Übernahme | Tag-Bindungen werden von untergeordneten Elementen der Ressource in der Google Cloud-Hierarchie übernommen | Nicht für untergeordnete Ressourcen der Ressource übernommen |
Anforderungen für das Löschen von Daten | Tags können nur gelöscht werden, wenn keine Tag-Bindungen für dieses Tag vorhanden sind | Kann jederzeit aus einer Ressource entfernt werden |
Benennungsanforderungen | Anforderungen für Tag-Werte und Tag-Schlüssel | Anforderungen an Labels |
Länge der Schlüssel/Wert-Namen | Maximal 256 Zeichen | Maximal 63 Zeichen |
Unterstützung für IAM-Richtlinien | Auf Tags kann durch IAM-Richtlinienbedingungen verwiesen werden | Keine Unterstützung für IAM-Richtlinien |
Support für Organisationsrichtlinien | Auf Tags in einigen Ressourcen kann durch bedingte Einschränkungen für Organisationsrichtlinien verwiesen werden | Keine Unterstützung von Organisationsrichtlinien |
Cloud Billing-Integration | Rückbuchungen, Prüfungen und andere Kostenzuordnungsanalysen durchführen sowie Cloud Billing-Kostendaten nach BigQuery exportieren | Ressourcen in Cloud Billing nach Label filtern, Cloud Billing-Daten nach BigQuery exportieren |
Weitere Informationen zu Labels finden Sie unter Labels erstellen und verwalten.
Tags erstellen
Tags sind als Schlüssel/Wert-Paar strukturiert. Eine Tag-Schlüsselressource kann in Ihren Organisations- oder Projektressourcen erstellt werden. Tag-Werte sind Ressourcen, die an einen Schlüssel angehängt sind. Beispielsweise ein Tag-Schlüssel environment
mit den Werten production
und development
.
Tag-Administration
Administratoren können die Verwendung von Tags steuern, indem sie einschränken, wer Tags erstellen, aktualisieren, löschen und an Ressourcen anhängen kann. Sie können ein einzelnes Tag auswählen, um Änderungen vorzunehmen, z. B. Werte hinzuzufügen oder zu entfernen und die Beschreibung zu aktualisieren. So können Sie Ihre Tags genau steuern.
Tags können eine Beschreibung erhalten, die angezeigt wird, wenn Informationen über das Tag abgerufen werden. Diese Beschreibung gewährleistet, dass derjenige, der das Tag an die Ressource anhängt, den Zweck dieses Tags versteht.
Ein Tag kann immer nur einen Wert für einen bestimmten Schlüssel für eine bestimmte Ressource haben. Beispiel: Ein Projekt mit dem Tag-Schlüssel environment
und dem Wert production
kann nicht auch den Wert development
für den Schlüssel environment
haben.
Richtlinien und Tags
Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.
Sie können beispielsweise IAM-Rollen (Identity and Access Management) bedingt gewähren und IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.
Nachdem Sie ein Tag erstellt haben, können Sie es auf Ressourcen anwenden. Sie können dann Richtlinien erstellen, die davon abhängig sind, ob ein Tag an eine unterstützte Ressource angehängt ist. Die Richtlinie wird entsprechend dem Vorhandensein oder Fehlen von Tags, die mit Ressourcen verknüpft sind, wirksam.
Informationen zur Verwendung von Tags mit Identity and Access Management (IAM), um den Zugriff auf Ihre Google Cloud-Ressourcen zu steuern, finden Sie unter Tags und Zugriffssteuerung.
Tag-Vererbung
Wenn ein Tag-Schlüssel/Wert-Paar an eine Ressource angehängt wird, übernehmen alle Nachfolger der Ressource das Tag. Sie können ein übernommenes Tag für eine untergeordnete Ressource überschreiben. Wenn Sie ein übernommenes Tag überschreiben möchten, wenden Sie ein Tag mit demselben Schlüssel wie das übernommene Tag an, aber verwenden Sie einen anderen Wert.
Angenommen, Sie wenden das Tag environment: development
auf einen Ordner an und der Ordner hat zwei untergeordnete Ordner mit den Namen team-a
und team-b
. Sie können auch ein anderes Tag (environment: test
) auf den Ordner team-b
anwenden. Projekte und andere Ressourcen im Ordner team-a
übernehmen das Tag environment: development
; Projekte und andere Ressourcen im Ordner team-b
übernehmen das Tag environment: test
:
Wenn Sie das Tag environment: test
aus dem Ordner team-b
entfernen, übernehmen dieser Ordner und seine Ressourcen das Tag environment: development
.
Alle Tags, die an eine Ressource angehängt und von ihr übernommen werden, werden zusammen als effektive Tags bezeichnet. Die effektiven Tags für eine Ressource sind eine Kombination aus den Tags, die direkt an sie angehängt sind, sowie aus allen Tags, die innerhalb der Hierarchie an alle Ancestors der Ressource angehängt sind.
Wenn Sie Tags zur Verwaltung von Richtlinien verwenden, empfehlen wir, ein sicheres Standard-Tag zu erstellen.
Dies bedeutet, dass Sie ein Tag auf der Ebene Ihrer Organisationsressource festlegen, das dann von der gesamten Ressourcenhierarchie übernommen wird. Beispiel: Ein Tag-Schlüssel mit dem Kurznamen enforcement
und dem Wert default
, on
oder off
. Wenn Sie enforcement: default
auf der Ebene Ihrer Organisation festlegen, wird dieses Tag von allen Ressourcen übernommen, sofern es nicht auf einer niedrigeren Ebene überschrieben wird.
Sie könnten dann Richtlinien schreiben, die sich auf den Tag-Schlüssel enforcement
beziehen, mit Bedingungen, die sich auf eine Ressource auswirken würden, wenn für sie enforcement: on
oder enforcement: off
festgelegt ist, und auf einen sicheren Fall, wenn enforcement: default
festgelegt ist. Wenn das enforcement
-Tag aus einer Ressource entfernt wird, übernimmt es den Tag-Wert für enforcement
von der übergeordneten Ressource. Wenn keine übergeordnete Ressource das Tag enforcement
hat, wird enforcement: default
aus der Organisationsressource übernommen.
Die Verwendung eines sicheren Standard-Tags kann helfen, aber um unbeabsichtigtes Verhalten zu vermeiden, sollten Sie die Tags und bedingten Richtlinien prüfen, bevor Sie Ihre Ressourcen verschieben oder Tags entfernen.
Tag-Schlüssel und -Werte löschen
Wenn beim Entfernen der Definition eines Tag-Schlüssels oder -Werts dieses Tag an eine Ressource angehängt ist, schlägt das Entfernen fehl. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen.
Tag-Werte vor dem Löschen schützen
Sie können einen zusätzlichen Schutz für Ihre Tag-Werte schaffen, indem Sie einen Tag-Hold an einen Tag-Wert anhängen. Ein Tag-Hold verhindert wie eine Tag-Bindung, dass ein Nutzer den Tag-Wert löscht.
Einige Ressourcen erstellen automatisch einen Tag-Hold für jeden Tag-Wert, der mit der Ressource verknüpft ist. Dieser Tag-Hold muss entfernt werden, bevor ein Nutzer den Tag-Wert löschen kann.
Nächste Schritte
- Weitere Informationen zur Verwendung von Tags finden Sie auf der Seite Tags erstellen und verwalten.
- Informationen zur Verwendung von Tags mit Compute Engine finden Sie unter Tags für Ressourcen verwalten.