La Google Cloud jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar recursos a gran escala, pero modela solo algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía carece de la flexibilidad de agrupar varias dimensiones empresariales.
Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.
Etiquetas de instancia y etiquetas de recurso
Las etiquetas son una forma independiente de crear anotaciones para los recursos. En la siguiente tabla, se enumeran algunas de las diferencias entre las etiquetas y las etiquetas:
| Etiquetas | Etiquetas | |
|---|---|---|
| Estructura de recursos | Las claves, los valores y las vinculaciones de etiquetas de instancia son recursos independientes | No son recursos en sí mismas, sino metadatos para recursos |
| Definición | Se definen a nivel de la organización o del proyecto | Se definen por cada recurso |
| Control de acceso | La administración y el adjunto de etiquetas requieren roles de Identity and Access Management (IAM). | El adjunto de etiquetas requiere roles de IAM, que variarán según el recurso del servicio. |
| Requisito previo para el archivo adjunto | La clave y el valor de la etiqueta deben definirse antes de que se pueda adjuntar una etiqueta a un recurso. | No hay requisitos previos para el archivo adjunto |
| Herencia | Los elementos secundarios del recurso en la jerarquía Google Cloud heredan las vinculaciones de etiquetas. | No son heredadas por los elementos secundarios del recurso |
| Requisitos de eliminación | No se pueden borrar las etiquetas, a menos que no existan vinculaciones de etiquetas para esa etiqueta. | Se pueden quitar de un recurso en cualquier momento. |
| Requisitos de nombres | Requisitos para los valores de etiqueta y las claves de etiqueta | Requisitos para las etiquetas |
| Longitud del nombre de la clave o el valor | 256 caracteres como máximo | 63 caracteres como máximo |
| Compatibilidad con políticas de IAM | Las condiciones de la política de IAM pueden hacer referencia a las etiquetas. | No se admite la política de IAM |
| Compatibilidad con las políticas de la organización | Las restricciones condicionales de la política de la organización pueden hacer referencia a las etiquetas de algunos recursos. | No se admite la política de la organización |
| Integración de Facturación de Cloud | Realiza devoluciones de cargos, auditorías y otros análisis de asignación de costos, exporta datos de costos de la Facturación de Cloud a BigQuery | Filtra los recursos por etiqueta en la Facturación de Cloud y exporta datos de la Facturación de Cloud a BigQuery. |
Para obtener más información sobre las etiquetas, consulta Crea y administra etiquetas.
Crea etiquetas
La estructura de las etiquetas es un par clave-valor. Puedes crear un recurso de clave de etiqueta en los recursos de tu organización o proyecto, y los valores de etiqueta son recursos que se adjuntan a una clave. Por ejemplo, una clave de etiqueta environment con valores production y development.
Administración de etiquetas
Los administradores pueden controlar el uso de etiquetas si restringen quién puede crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para realizar ediciones, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de tus etiquetas.
Las etiquetas pueden recibir una descripción, que se mostrará cuando se recupere información sobre la etiqueta. Esta descripción garantiza que la persona que adjunte la etiqueta al recurso comprenda el propósito de esa etiqueta.
Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Por ejemplo, un proyecto con la clave de etiqueta environment y el valor production no podría tener el valor development para la clave environment.
Políticas y etiquetas
Puedes usar etiquetas con políticas que las admitan para aplicarlas de forma condicional. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición para esa política.
Por ejemplo, puedes otorgar roles de Identity and Access Management (IAM) de forma condicional y denegar permisos de IAM de forma condicional en función de si un recurso tiene una etiqueta específica.
Después de crear una etiqueta, puedes aplicarla a los recursos. Luego, puedes crear políticas que sean condicionales según si una etiqueta se adjunta a un recurso compatible. La política entrará en vigencia en función de la presencia o ausencia de las etiquetas adjuntas a los recursos.
Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud , consulta Etiquetas y control de acceso.
Para ver cómo usar etiquetas con políticas de la organización, consulta Configura una política de la organización con etiquetas.
Aplicación forzosa de etiquetas obligatorias con políticas de la organización
Puedes aplicar etiquetas obligatorias en los recursos con una política de la organización. La aplicación forzosa de etiquetas obligatorias te permite asegurarte de que los recursos cumplan con las políticas de etiquetado de tu organización, ya que rechaza la creación de recursos que no están vinculados con los valores de etiqueta de las claves de etiqueta obligatorias especificadas en la política.
Para obtener información sobre cómo aplicar etiquetas obligatorias con políticas de la organización personalizadas, consulta Cómo aplicar etiquetas obligatorias en los recursos.
La aplicación forzosa de etiquetas obligatorias es compatible con los siguientes tipos de recursos:
- Proyectos y carpetas de Resource Manager
- Instancias de Filestore
- Recursos de clúster y copia de seguridad de AlloyDB para PostgreSQL
- Flujo de trabajo de Workflows
Herencia de etiquetas
Cuando se adjunta un par clave-valor de etiqueta a un recurso, todos los descendientes del recurso la heredan. Puedes anular una etiqueta heredada en un recurso derivado. Para anular una etiqueta heredada, aplica una etiqueta con la misma clave que la etiqueta heredada, pero usa un valor diferente.
Por ejemplo, supongamos que aplicas la etiqueta environment: development a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b. También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta
environment: development, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:
Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: development.
Todas las etiquetas adjuntas y heredadas de un recurso se denominan, en conjunto, etiquetas eficaces. Las etiquetas eficaces de un recurso son una combinación de las etiquetas directamente adjuntas a él, así como de todas las etiquetas adjuntas a todos los ancestros del recurso en toda la jerarquía.
Cuando uses etiquetas para administrar políticas, te recomendamos que crees una etiqueta predeterminada segura.
Esto significa establecer una etiqueta a nivel del recurso de tu organización que luego se heredará en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta con el nombre corto enforcement y los valores default, on o off. Si configuras enforcement: default en el nivel de tu organización, todos los recursos heredarán esa etiqueta, a menos que se anule en niveles inferiores.
Luego, podrías escribir políticas que aborden la clave de etiqueta enforcement, con
condiciones que afectarían un recurso si es enforcement: on o
enforcement: off, y un caso seguro si es enforcement: default. Si la etiqueta enforcement se quitara de un recurso, heredaría el valor de la etiqueta para enforcement de su recurso superior. Si ningún recurso superior
tiene la etiqueta enforcement, heredará enforcement: default del
recurso de la organización.
El uso de una etiqueta predeterminada segura puede ser útil, pero para evitar comportamientos no deseados, debes revisar las etiquetas y las políticas condicionales existentes antes de mover tus recursos o quitar etiquetas.
Cómo borrar claves y valores de etiqueta
Cuando quites una definición de valor o clave de etiqueta, si esa etiqueta está adjunta a un recurso, la eliminación fallará. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí.
Cómo proteger los valores de las etiquetas de la eliminación
Puedes crear una capa adicional de protección para tus valores de etiqueta si adjuntas una conservación de etiqueta a un valor de etiqueta. Una conservación de etiqueta, al igual que una vinculación de etiqueta, impide que un usuario borre el valor de la etiqueta.
Algunos recursos crean automáticamente una retención de etiquetas en cada valor de etiqueta adjunto al recurso. Esta conservación de etiqueta de instancia se debe quitar antes de que un usuario pueda borrar el valor de la etiqueta.
¿Qué sigue?
- Para obtener más información sobre cómo usar etiquetas, lee la página Crea y administra etiquetas.
- Para obtener información sobre el uso de etiquetas con Compute Engine, consulta Administra etiquetas para recursos.