Google Cloud La jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar los recursos a gran escala, pero solo modela unas pocas dimensiones empresariales, incluida la organización. la estructura, las regiones, los tipos de cargas de trabajo y los centros de costos. A la jerarquía le falta la flexibilidad de crear capas de varias dimensiones empresariales.
Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.
Etiquetas de instancia y etiquetas de recurso
Las etiquetas son una forma independiente de crear anotaciones para los recursos. En la siguiente tabla, se enumeran algunas de las diferencias entre las etiquetas y las etiquetas:
Etiquetas | Etiquetas | |
---|---|---|
Estructura de recursos | Las claves y valores de etiquetas y las vinculaciones de etiquetas son recursos discretos | No es un recurso en sí, sino metadatos para los recursos |
Definición | Se definen a nivel de la organización o del proyecto | Definido por cada recurso |
Control de acceso | La administración y la conexión de etiquetas requiere roles de Identity and Access Management (IAM) | La vinculación de etiquetas requiere roles de IAM, que variarán según el recurso de servicio |
Requisito previo para el archivo adjunto | La clave y el valor de la etiqueta deben definirse para poder adjuntar una etiqueta a un recurso | No hay requisitos previos para el archivo adjunto |
Herencia | Los recursos secundarios del recurso en la jerarquía de Google Cloud heredan las vinculaciones de etiquetas. | No lo heredan los elementos secundarios del recurso. |
Requisitos de eliminación | Las etiquetas no se pueden borrar, a menos que no existan vinculaciones de etiquetas para ellas | Se pueden quitar de un recurso en cualquier momento |
Requisitos para los nombres | Requisitos para los valores de etiqueta y las claves de etiqueta | Requisitos para las etiquetas |
Longitud del nombre de clave-valor | 256 caracteres como máximo | Máximo de 63 caracteres |
Compatibilidad con políticas de IAM | Las condiciones de las políticas de IAM pueden hacer referencia a las etiquetas. | No se admite la política de IAM |
Compatibilidad con las políticas de la organización | Las restricciones condicionales de la política de la organización pueden hacer referencia a las etiquetas de algunos recursos. | No es compatible con las políticas de la organización |
Integración de la Facturación de Cloud | Realiza devoluciones de cargos, auditorías y otros análisis de asignación de costos, exporta datos de costos de la Facturación de Cloud a BigQuery | Filtra recursos por etiqueta en Facturación de Cloud y exporta datos de Facturación de Cloud a BigQuery. |
Para obtener más información sobre las etiquetas, consulta Crea y administra etiquetas.
Crea etiquetas
La estructura de las etiquetas es un par clave-valor. Puedes crear un recurso de clave de etiqueta
los recursos de tu organización o proyecto, y los valores de las etiquetas son recursos
se adjuntan a una clave. Por ejemplo, una clave de etiqueta environment
con valores.
production
y development
.
Administración de etiquetas
Los administradores pueden controlar el uso de etiquetas restringiendo quién puede crear, actualizar, borrar y adjuntar etiquetas a los recursos. Puede seleccionar un etiqueta individual para realizar cambios, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de tus etiquetas.
A las etiquetas se les puede proporcionar una descripción, que se mostrará cuando la información acerca de la etiqueta. Esta descripción garantiza que quien sea que adjunte Que la etiqueta del recurso comprenda el propósito de esa etiqueta.
Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Para
Por ejemplo, un proyecto con la clave de etiqueta environment
y el valor production
podría
No tienen también el valor development
para la clave environment
.
Políticas y etiquetas
Puedes usar etiquetas con políticas que las admitan para aplicarlas de forma condicional y políticas de seguridad. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición dicha política.
Por ejemplo, puedes asignar de forma condicional roles de Identity and Access Management (IAM) y denegar condicionalmente los permisos de IAM según si un recurso tiene una etiqueta específica.
Después de crear una etiqueta, puedes aplicarla a los recursos. Luego, puedes crear que son condicionales en base a si una etiqueta está adjunta a un recurso. La política entrará en vigencia en función de la presencia o ausencia de las etiquetas adjuntas a los recursos.
Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.
Herencia de etiquetas
Cuando un par clave-valor de etiqueta se adjunta a un recurso, todos los subordinados del recurso heredan la etiqueta. Puedes anular una etiqueta heredada en un elemento subordinado. recurso. Para anular una etiqueta heredada, aplica una etiqueta con la misma clave que heredada, pero usan un valor diferente.
Por ejemplo, supongamos que aplicas la etiqueta environment: development
a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a
y team-b
. También puedes aplicar una etiqueta diferente, environment: test
, a la carpeta team-b
. Como resultado, los proyectos y otros recursos en la carpeta team-a
heredan la etiqueta
environment: development
, y los proyectos y otros recursos de la carpeta team-b
heredan la etiqueta environment: test
:
Si quitas la etiqueta environment: test
de la carpeta team-b
, esa carpeta y sus recursos heredarán la etiqueta environment: development
.
Todas las etiquetas adjuntas y heredadas de un recurso se denominan, en conjunto, etiquetas eficaces. Etiquetas eficaces para un recurso son una combinación de las etiquetas directamente adjuntas a ella, así como todas las etiquetas que se conectan a todos los elementos principales del recurso en toda la jerarquía.
Cuando uses etiquetas para administrar políticas, te recomendamos que crees una etiqueta predeterminada segura.
Esto significa establecer una etiqueta a nivel del recurso de organización que
se heredarán en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta
con el nombre corto enforcement
y los valores default
, on
o off
. Si
establece enforcement: default
en el nivel de tu organización, esa etiqueta
en los niveles inferiores.
Luego, puedes escribir políticas que aborden la clave de etiqueta enforcement
, con
condiciones que afectarían a un recurso si es enforcement: on
o
enforcement: off
y un caso seguro si es enforcement: default
. Si el botón
La etiqueta enforcement
se quitaba de un recurso y, luego, heredaría el
valor de etiqueta para enforcement
desde su recurso superior. Si no hay recursos superiores
tiene la etiqueta enforcement
, heredaría enforcement: default
de
recurso de la organización.
Una etiqueta predeterminada segura puede ser útil, pero para evitar comportamientos no deseados debe revisar las etiquetas y las políticas condicionales vigentes antes de mover recursos o quitar etiquetas.
Borra claves y valores de etiquetas
Al quitar una clave de etiqueta o una definición de valor, si esa etiqueta está adjunta a una recurso, la eliminación fallará. Debes borrar los archivos adjuntos de etiquetas existentes, llamada vinculaciones de etiquetas, antes de borrar la definición de la etiqueta.
Cómo proteger los valores de etiqueta contra la eliminación
Puedes crear una capa adicional de protección para los valores de tus etiquetas si adjuntas una retención de etiqueta a un valor de etiqueta. Una conservación de etiqueta, como una vinculación de etiqueta, evita que borrar el valor de la etiqueta.
Algunos recursos crean automáticamente una conservación de etiqueta en cada valor de etiqueta adjunto al recurso. Se debe quitar esta conservación de etiqueta antes de que un usuario pueda borrar el valor de la etiqueta.
¿Qué sigue?
- Para obtener más información sobre el uso de etiquetas, lee el Página Crea y administra etiquetas.
- Para obtener información sobre el uso de etiquetas con Compute Engine, consulta Administra las etiquetas de los recursos.