Descripción general de las etiquetas

La jerarquía de recursos de Google Cloud es una forma de organizar los recursos en una estructura de árbol. Si bien la jerarquía es útil para administrar recursos a gran escala, se limita a modelar solo unas pocas dimensiones empresariales, como la estructura de la organización, las regiones, los tipos de cargas de trabajo, los centros de costos, etcétera. La jerarquía no tiene flexibilidad para combinar varias dimensiones empresariales.

Las etiquetas proporcionan una forma de permitir o denegar de forma condicional las políticas en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para un control detallado en toda la jerarquía de recursos.

Las etiquetas son una herramienta independiente que te permite crear anotaciones para los recursos. Para obtener más información, consulta la sección sobre cómo crear y administrar etiquetas.

Crea etiquetas

Las etiquetas se estructuran como un par clave-valor. Se puede crear un recurso de clave de etiqueta en el recurso de tu organización, y los valores de la etiqueta son recursos que se adjuntan a una clave. Por ejemplo, una clave de etiqueta “entorno” con valores “producción” y “desarrollo”.

Administración de etiquetas

Los administradores pueden controlar el uso de etiquetas restringiendo quién tiene la capacidad de crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para hacer ediciones, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de las etiquetas en toda la organización.

Se puede proporcionar una descripción a las etiquetas, que se mostrará cuando se recupere información sobre la etiqueta. Esto permite que la persona que adjunte la etiqueta al recurso comprenda el propósito de esa etiqueta.

Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Por ejemplo, un proyecto con la clave de etiqueta environment y el valor production no podría tener también el valor development para la clave environment.

Políticas y etiquetas

Puedes usar etiquetas con políticas que las admitan para aplicar esas políticas de forma condicional. Puedes hacer que la presencia o la ausencia de un valor de etiqueta sea una condición para esa política.

Por ejemplo, puedes otorgar de forma condicional funciones de administración de identidades y accesos (IAM) en función de si un recurso tiene una etiqueta específica.

Una vez que haya creado una etiqueta, puede aplicarla a los recursos. Luego, puedes crear políticas que sean condicionales en función de si se adjunta una etiqueta a un recurso. La política entrará en vigor en función de la presencia o ausencia de las etiquetas adjuntas a los recursos.

Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.

Herencia de etiquetas

Cuando se adjunta un par clave-valor de etiqueta a un recurso, todos los descendientes del recurso lo heredarán. A fin de evitar que un recurso de nivel inferior herede una etiqueta, puedes aplicarle una etiqueta al recurso de nivel inferior que use un valor diferente para la misma clave que la etiqueta heredada.

Por ejemplo, supongamos que aplicas la etiqueta environment: dev a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b. También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta environment: dev, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:

Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: dev.

Cuando uses etiquetas para administrar políticas, te recomendamos que crees una etiqueta predeterminada segura. Esto significa configurar una etiqueta a nivel de tu recurso de organización que se heredará en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta con el nombre corto enforcement, y los valores default, on o off. Si configuras enforcement: default a nivel de tu organización, todos los recursos heredarán esa etiqueta, a menos que se anule en niveles inferiores.

Luego, puedes escribir políticas que aborden los resultadosenforcement con las condiciones que afectarían a un recurso si se encontraraenforcement: on oenforcement: off y un caso seguro si corresponde.enforcement: default , Si alguna vez se quitó la etiqueta enforcement de un recurso, entonces heredará el valor de etiqueta de enforcement de su recurso superior. Si ningún recurso superior tiene la etiqueta enforcement, heredará enforcement: default del recurso de la organización.

Usar una etiqueta predeterminada segura puede ayudar, pero para evitar comportamientos no deseados, debes revisar las etiquetas y las políticas condicionales implementadas antes de mover los recursos o quitar etiquetas.

Borra valores y claves de etiquetas

Cuando se quita una clave de etiqueta o una definición de valor, si esa etiqueta se adjunta a un recurso, la eliminación fallará. Debes borrar los adjuntos de etiquetas existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí.

¿Qué sigue?

Para obtener más información sobre cómo usar etiquetas, lee la página Crea y administra etiquetas.