Tags – Übersicht

Mit der Google Cloud -Ressourcenhierarchie können Sie Ihre Ressourcen in einer Baumstruktur organisieren. Mit dieser Hierarchie können Sie Ressourcen verwalten aber nur wenige Geschäftsdimensionen modelliert werden, Struktur, Regionen, Arbeitslasttypen und Kostenstellen. In der Hierarchie fehlt es mehrere Geschäftsdimensionen kombinieren.

Mit Tags können Sie Anmerkungen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Sie können Tags und eine bedingte Durchsetzung von Richtlinien verwenden, um Ihre Ressourcenhierarchie genau zu steuern.

Tags und Labels

Labels sind eine separate Möglichkeit, Anmerkungen für Ressourcen zu erstellen. In der folgenden Tabelle sind einige Unterschiede zwischen Tags und Labels aufgeführt:

Tags Labels
Ressourcenstruktur Tag-Schlüssel, Tag-Werte und Tag-Bindungen sind eigenständige Ressourcen. Keine Ressource an sich, sondern Metadaten für Ressourcen
Definition Auf Organisations- oder Projektebene definiert Von der jeweiligen Ressource definiert
Zugriffskontrolle Für die Verwaltung und das Anhängen von Tags sind IAM-Rollen (Identity and Access Management) erforderlich. Für das Anhängen von Labels sind IAM-Rollen erforderlich, die je nach Dienstressource variieren.
Voraussetzung für Anhänge Der Tag-Schlüssel und der Tag-Wert müssen definiert sein, bevor ein Tag an eine Ressource angehängt werden kann. Keine Voraussetzungen für Anhang
Übernahme Tag-Bindungen werden von untergeordneten Elementen der Ressource in der Google Cloud-Hierarchie übernommen Wird nicht von untergeordneten Elementen der Ressource übernommen
Voraussetzungen für die Löschung Tags können nur gelöscht werden, wenn keine Tag-Bindungen für das Tag vorhanden sind. Kann jederzeit aus einer Ressource entfernt werden
Anforderungen an die Benennung Anforderungen für Tag-Werte und Tag-Schlüssel Anforderungen an Labels
Länge des Schlüssel-/Wertnamens Maximal 256 Zeichen Maximal 63 Zeichen
Unterstützung für IAM-Richtlinien Tags können durch IAM-Richtlinienbedingungen referenziert werden. Keine Unterstützung für IAM-Richtlinien
Unterstützung für Organisationsrichtlinien Tags auf einigen Ressourcen kann über bedingte Einschränkungen für Organisationsrichtlinien referenziert werden. Keine Unterstützung für Organisationsrichtlinien
Cloud Billing-Integration Rückbuchungen, Audits und andere Kostenzuweisungsanalysen durchführen sowie Cloud Billing-Kostendaten nach BigQuery exportieren Ressourcen in Cloud Billing nach Label filtern, Cloud Billing-Daten nach BigQuery exportieren

Weitere Informationen zu Labels finden Sie unter Labels erstellen und verwalten.

Tags erstellen

Tags bestehen aus einem Schlüssel/Wert-Paar. Eine Tag-Schlüsselressource kann unter Ihren Organisations- oder Projektressourcen erstellt werden und Tag-Werte sind Ressourcen, die mit einem Schlüssel verknüpft sind. Beispiel: ein Tag-Schlüssel environment mit den Werten production und development.

Tag-Administration

Administratoren können die Verwendung von Tags steuern, indem sie einschränken, wer Aktualisieren, Löschen und Anhängen von Tags an Ressourcen. Sie können ein einzelnes Tag auswählen, um Änderungen vorzunehmen, z. B. Werte hinzuzufügen oder zu entfernen und die Beschreibung zu aktualisieren. So können Sie Ihre Tags genau steuern.

Tags können eine Beschreibung erhalten, die angezeigt wird, wenn Informationen über das Tag abgerufen werden. Mit dieser Beschreibung wird sichergestellt, das Tag zur Ressource den Zweck dieses Tags versteht.

Ein Tag kann immer nur einen Wert für einen bestimmten Schlüssel für eine bestimmte Ressource haben. Beispiel: Ein Projekt mit dem Tag-Schlüssel environment und dem Wert production kann nicht auch den Wert development für den Schlüssel environment haben.

Richtlinien und Tags

Sie können Tags mit Richtlinien verwenden, die sie unterstützen, um diese Richtlinien bedingt zu erzwingen. Sie können das Vorhandensein oder Fehlen eines Tag-Werts als Bedingung für diese Richtlinie festlegen.

Beispielsweise können Sie IAM-Rollen (Identity and Access Management) bedingt zuweisen und IAM-Berechtigungen bedingt ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat.

Nachdem Sie ein Tag erstellt haben, können Sie es auf Ressourcen anwenden. Sie können dann Richtlinien, die bedingt dafür sind, ob ein Tag an eine unterstützte . Die Richtlinie tritt in Kraft, je nachdem, ob das Tag an Ressourcen angehängte Tags.

Informationen zur Verwendung von Tags mit Identity and Access Management (IAM), um den Zugriff auf Ihre Google Cloud-Ressourcen zu steuern, finden Sie unter Tags und Zugriffssteuerung.

Tag-Vererbung

Wenn ein Tag-Schlüssel/Wert-Paar an eine Ressource angehängt wird, wird das Tag von allen Nachkommen der Ressource übernommen. Sie können ein übernommenes Tag für eine untergeordnete Ressource überschreiben. Wenn Sie ein übernommenes Tag überschreiben möchten, wenden Sie ein Tag mit demselben Schlüssel wie das übernommenes Tag, aber verwenden Sie einen anderen Wert.

Angenommen, Sie wenden das Tag environment: development auf einen Ordner an und der Ordner hat zwei untergeordnete Ordner mit den Namen team-a und team-b. Sie können auch ein anderes Tag (environment: test) auf den Ordner team-b anwenden. Projekte und andere Ressourcen im Ordner team-a übernehmen das Tag environment: development; Projekte und andere Ressourcen im Ordner team-b übernehmen das Tag environment: test:

Wenn Sie das Tag environment: test aus dem Ordner team-b entfernen, übernehmen dieser Ordner und seine Ressourcen das Tag environment: development.

Alle Tags, die an eine Ressource angehängt sind und von ihr übernommen wurden, werden die als effektive Tags bezeichnet werden. Die effektiven Tags für eine Ressource eine Kombination aus direkt mit ihm verbundenen Tags und allen Tags an alle Ancestors der Ressource in der Hierarchie angehängt ist.

Wenn Sie Tags zur Verwaltung von Richtlinien verwenden, empfehlen wir, ein sicheres Standard-Tag zu erstellen. Dies bedeutet, dass Sie ein Tag auf der Ebene Ihrer Organisationsressource festlegen, das dann von der gesamten Ressourcenhierarchie übernommen wird. Beispiel: Ein Tag-Schlüssel mit dem Kurznamen enforcement und dem Wert default, on oder off. Wenn Sie enforcement: default auf der Ebene Ihrer Organisation festlegen, wird dieses Tag von allen Ressourcen übernommen, sofern es nicht auf einer niedrigeren Ebene überschrieben wird.

Sie könnten dann Richtlinien schreiben, die sich auf den Tag-Schlüssel enforcement beziehen, mit Bedingungen, die sich auf eine Ressource auswirken würden, wenn für sie enforcement: on oder enforcement: off festgelegt ist, und auf einen sicheren Fall, wenn enforcement: default festgelegt ist. Wenn das enforcement-Tag aus einer Ressource entfernt wird, übernimmt es den Tag-Wert für enforcement von der übergeordneten Ressource. Wenn keine übergeordnete Ressource das Tag enforcement hat, wird enforcement: default aus der Organisationsressource übernommen.

Die Verwendung eines sicheren Standard-Tags kann helfen, aber um unbeabsichtigtes Verhalten zu vermeiden, sollten Sie die Tags und bedingten Richtlinien prüfen, bevor Sie Ihre Ressourcen verschieben oder Tags entfernen.

Tag-Schlüssel und -Werte löschen

Wenn beim Entfernen der Definition eines Tag-Schlüssels oder -Werts dieses Tag an eine Ressource angehängt ist, schlägt das Entfernen fehl. Sie müssen vorhandene Tag-Anhänge, die als Tag-Bindungen bezeichnet werden, löschen, bevor Sie die Tag-Definition selbst löschen.

Tag-Werte vor dem Löschen schützen

Sie können eine zusätzliche Schutzebene für Ihre Tag-Werte einrichten, indem Sie das Anhängen eines Tag-Holds an einen Tag-Wert. Eine Tag-Sperre verhindert wie eine Tag-Bindung, dass ein Nutzer den Tag-Wert löscht.

Bei einigen Ressourcen wird für jeden Tag-Wert, der an die Ressource angehängt ist, automatisch eine Tag-Sperre erstellt. Diese Tag-Sperrung muss entfernt werden, bevor ein Nutzer den Tag-Wert löschen kann.

Nächste Schritte