Descripción general de las etiquetas

La jerarquía de recursos de Google Cloud es una forma de organizar tus recursos en una estructura de árbol. Si bien la jerarquía es útil para administrar recursos a gran escala, se limita a modelar solo unas pocas dimensiones de la empresa, como la estructura de la organización, las regiones, los tipos de cargas de trabajo, los centros de costos, etcétera. La jerarquía carece de flexibilidad para superponer varias dimensiones empresariales.

Las etiquetas proporcionan una forma para permitir o rechazar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para tener un control detallado en toda la jerarquía de recursos.

Crea etiquetas

Las etiquetas se estructuran como un par clave-valor. Puedes crear un recurso de clave de etiqueta en el recurso de la organización y los valores de las etiquetas son recursos conectados a una clave. Por ejemplo, una clave de etiqueta “entorno” con los valores “producción” y “desarrollo”.

Administración de etiquetas

Los administradores pueden controlar el uso de etiquetas al restringir quién tiene la capacidad de crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para realizar ediciones, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de las etiquetas en toda tu organización.

Se puede proporcionar una descripción a las etiquetas, que se mostrarán cuando se recupere la información sobre la etiqueta. Esto es para que la persona que adjunte la etiqueta al recurso comprenda el propósito de esa etiqueta.

Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Por ejemplo, un proyecto con la clave de etiqueta environment y el valor production no podrían tener también el valor development para la clave environment.

Políticas y etiquetas

Puedes usar etiquetas con políticas que las admitan para aplicar de manera condicional esas políticas. Puedes hacer que la presencia o la ausencia de un valor de etiqueta sea la condición para esa política.

Por ejemplo, puedes otorgar de forma condicional funciones de administración de identidades y accesos (IAM) en función de si un recurso tiene una etiqueta específica.

Una vez que hayas creado una etiqueta, puedes aplicarla a los recursos. Puedes crear políticas condicionales según si hay una etiqueta adjunta a un recurso. La política entrará en vigor en función de la presencia o ausencia de las etiquetas adjuntas a los recursos.

Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.

Herencia de etiquetas

Cuando se vincula un par clave-valor de etiquetas a un recurso, todos los descendientes del recurso los heredan. Si deseas evitar que un recurso de nivel inferior herede una etiqueta, puedes aplicar una etiqueta al recurso de nivel inferior que usa un valor diferente para la misma clave que la etiqueta heredada.

Por ejemplo, supongamos que aplicas la etiqueta environment: dev a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b. También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta environment: dev, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:

Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: dev.

Cuando uses etiquetas para administrar políticas, te recomendamos crear una etiqueta predeterminada segura. Esto significa que debes configurar una etiqueta en el nivel de tu recurso de organización, que se heredará en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta con el nombre corto enforcement y los valores default, on o off. Si configuras enforcement: default en el nivel de tu organización, todos los recursos heredarán esa etiqueta, a menos que se anule en los niveles más bajos.

Luego, puedes escribir políticas que aborten la clave de etiqueta enforcement, con condiciones que afectarían a un recurso si es enforcement: on o enforcement: off, y un caso seguro si es enforcement: default. Si alguna vez se quitó la etiqueta enforcement de un recurso, heredaría el valor de la etiqueta de enforcement de su recurso superior. Si ningún recurso superior tiene la etiqueta enforcement, heredaría enforcement: default del recurso de la organización.

Usar una etiqueta predeterminada segura puede ayudar, pero para evitar comportamientos no deseados, debes revisar las etiquetas y las políticas condicionales antes de mover los recursos o quitar las etiquetas.

Borra claves y valores de etiquetas

Cuando se quita una clave de etiqueta o una definición de valor, si esa etiqueta se adjunta a un recurso, la eliminación fallará. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí.

¿Qué sigue?

Para obtener más información sobre cómo usar las etiquetas, lee la página Crea y administra etiquetas.