Il team di gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia aiuta a gestire le risorse su larga scala, ma modella solo poche dimensioni aziendali, tra cui l'organizzazione struttura, regioni, tipi di carichi di lavoro e centri di costo. La gerarchia è carente la flessibilità di sovrapporre più dimensioni aziendali.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, di consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un criterio del tag. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per controllo nella gerarchia delle risorse.
Tag ed etichette
Le etichette sono un modo separato per creare annotazioni per le risorse. Nella tabella seguente sono elencate alcune delle differenze tra tag ed etichette:
Tag | Etichette | |
---|---|---|
Struttura delle risorse | Le chiavi tag, i valori dei tag e le associazioni di tag sono risorse discrete | Non una risorsa in sé, ma i metadati delle risorse |
Definizione | Definite a livello di organizzazione o di progetto | Definite da ogni risorsa |
Controllo dell'accesso | La gestione e il collegamento dei tag richiedono ruoli IAM (Identity and Access Management) | L'allegato delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio. |
Prerequisito per l'allegato | La chiave e il valore del tag devono essere definiti prima che un tag possa essere associato a una risorsa | Nessun prerequisito per l'allegato |
Ereditarietà | Le associazioni di tag vengono ereditate dagli elementi figlio della risorsa nella gerarchia di Google Cloud | Non ereditati dagli elementi figlio della risorsa |
Requisiti per l'eliminazione | I tag non possono essere eliminati a meno che non esistano associazioni di tag per i tag in questione | Possono essere rimossi da una risorsa in qualsiasi momento |
Requisiti per la denominazione | Requisiti per Valori tag e chiavi tag | Requisiti per le etichette |
Lunghezza del nome chiave/valore | Massimo 256 caratteri | Massimo 63 caratteri |
Supporto dei criteri IAM | È possibile fare riferimento ai tag tramite le condizioni dei criteri IAM | Nessun supporto per i criteri IAM |
Assistenza per i criteri dell'organizzazione | I vincoli condizionali dei criteri dell'organizzazione possono fare riferimento ai tag su alcune risorse | Nessun supporto per i criteri dell'organizzazione |
Integrazione della fatturazione Cloud | Esegui storni di addebito, controlli e altre analisi di allocazione dei costi, esporta i dati di costo della fatturazione Cloud in BigQuery | Filtra le risorse per etichetta in fatturazione Cloud, esporta i dati di fatturazione Cloud in BigQuery |
Per ulteriori informazioni sulle etichette, consulta Creazione e gestione delle etichette.
Creazione di tag
I tag sono strutturati come coppia chiave-valore. Una risorsa chiave tag può essere creata
risorse dell'organizzazione o del progetto e i valori dei tag sono risorse
siano collegati a una chiave. Ad esempio, una chiave tag environment
con valori
production
e development
.
Amministrazione dei tag
Gli amministratori possono controllare l'uso dei tag limitando gli utenti che possono creare, aggiornare, eliminare e collegare tag alle risorse. Può selezionare un singolo tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori e aggiornare la descrizione. Ciò consente un controllo granulare dei tag.
Ai tag può essere fornita una descrizione, che verrà visualizzata quando le informazioni sul tag viene recuperata. Questa descrizione garantisce che chiunque alleghi il tag alla risorsa ne comprenda lo scopo.
Un tag può avere sempre un solo valore per una determinata chiave in una particolare risorsa. Per
Ad esempio, un progetto con la chiave tag environment
e il valore production
potrebbe
non presentano anche il valore development
per la chiave environment
.
Criteri e tag
Puoi utilizzare i tag con criteri che li supportano per applicarli in modo condizionale criteri. Puoi fare in modo che la presenza o l'assenza di un valore di tag diventi la condizione tale norma.
Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) e negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.
Dopo aver creato un tag, puoi applicarlo alle risorse. Puoi quindi creare criteri condizionali in base al fatto che un tag sia associato a un elemento risorsa. Le norme entreranno in vigore a seconda della presenza o dell'assenza del collegati alle risorse.
Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso a le risorse Google Cloud, Tag e controllo dell'accesso.
Eredità dei tag
Quando una coppia chiave-valore di tag viene collegata a una risorsa, tutti i discendenti di e la risorsa eredita il tag. Puoi sostituire un tag ereditato su un discendente risorsa. Per sostituire un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma con un valore diverso.
Ad esempio, supponiamo di applicare il tag environment: development
a una cartella e
la cartella ha due cartelle secondarie denominate team-a
e team-b
. Puoi anche applicare
un tag diverso, environment: test
, nella cartella team-b
. Di conseguenza,
i progetti e le altre risorse nella cartella team-a
ereditano il tag
environment: development
, progetti e altre risorse nella cartella team-b
eredita il tag environment: test
:
Se rimuovi il tag environment: test
dalla cartella team-b
,
e le relative risorse erediteranno il tag environment: development
.
Tutti i tag associati a ed ereditati da una risorsa vengono collettivamente chiamati tag effettivi. I tag effettivi per una risorsa sono una combinazione dei tag direttamente associati, nonché tutti i tag collegati a tutti i predecessori della risorsa nella gerarchia.
Quando utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro.
Ciò significa impostare un tag a livello della risorsa dell'organizzazione che
essere ereditati in tutta la gerarchia delle risorse. Ad esempio, una chiave tag
con il nome breve enforcement
e i valori default
, on
o off
. Se
Impostare enforcement: default
a livello di organizzazione, il tag
ereditati da tutte le risorse, a meno che non vengano sostituiti ai livelli inferiori.
Puoi quindi scrivere criteri per gestire la chiave tag enforcement
, con
che potrebbero influire su una risorsa se è enforcement: on
o
enforcement: off
e una custodia sicura se si tratta di enforcement: default
. Se
Il tag enforcement
è stato rimosso da una risorsa, dopodiché erediterà
valore del tag per enforcement
dalla risorsa padre. Se non esistono risorse padre
presenta il tag enforcement
, che erediterà enforcement: default
dal
risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può aiutarti, ma per evitare comportamenti indesiderati è necessario esaminare i tag e le norme condizionali prima di spostare risorse o la rimozione di tag.
Eliminazione di chiavi e valori dei tag
Quando rimuovi una chiave tag o la definizione di un valore, se questo tag è associato a un risorsa, la rimozione non andrà a buon fine. Devi eliminare gli allegati di tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stesso.
Protezione dei valori dei tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori dei tag: collegando un blocco tag a un valore tag. Un blocco tag, come un'associazione di tag, impedisce all'utente di eliminare il valore tag.
Alcune risorse creano automaticamente un blocco tag per ogni valore tag associato risorsa. Questa conservazione tag deve essere rimossa prima che un utente possa eliminare il valore del tag.
Passaggi successivi
- Per ulteriori informazioni su come utilizzare i tag, consulta Pagina Creazione e gestione dei tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, consulta Gestire i tag per le risorse.