Descripción general de las etiquetas

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

La jerarquía de recursos de Google Cloud es una forma de organizar tus recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar los recursos a gran escala, pero solo modela algunas dimensiones empresariales, incluida la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía no tiene flexibilidad para superponer varias dimensiones empresariales.

Las etiquetas proporcionan una forma de permitir o rechazar políticas de manera condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de las políticas para obtener un control detallado en la jerarquía de recursos.

Etiquetas

Las etiquetas son una forma independiente de crear anotaciones para los recursos. En la siguiente tabla, se enumeran algunas de las diferencias entre las etiquetas y las etiquetas:

Etiquetas Etiquetas
Estructura de recursos Las claves, los valores y las vinculaciones de etiquetas son recursos discretos No es un recurso en sí mismo, sino metadatos para recursos
Definición Definido a nivel de la organización Definido por cada recurso
Control de acceso La administración y el adjunto de etiquetas requieren funciones de administración de identidades y accesos (IAM). El adjunto de etiquetas requiere funciones de IAM, que variarán según el recurso de servicio.
Requisito previo para adjuntar archivos La clave y el valor de la etiqueta deben definirse antes de que se pueda adjuntar una etiqueta a un recurso No hay prerrequisitos para adjuntar
Herencia Las vinculaciones de etiquetas las heredan los elementos secundarios del recurso en la jerarquía de Google Cloud. No lo heredan elementos secundarios del recurso
Requisitos para la eliminación Las etiquetas no se pueden borrar, a menos que no exista ninguna vinculación de etiqueta para esa etiqueta Se puede quitar de un recurso en cualquier momento
Requisitos para los nombres Requisitos para los valores de etiqueta y las claves de etiqueta Requisitos para las etiquetas
Longitud del nombre del par clave-valor 63 caracteres como máximo 63 caracteres como máximo
Compatibilidad con políticas de IAM Se puede hacer referencia a las etiquetas según las condiciones de la política de IAM No se admite la política de IAM
Asistencia de políticas de la organización Se puede hacer referencia a las etiquetas según las restricciones condicionales de la Política de la organización. No se admite la política de la organización
Integración con la Facturación de Cloud Realizar contracargos, auditorías y otros análisis de asignación de costos, exportar datos de costos de Facturación de Cloud a BigQuery Filtrar recursos por etiqueta en Facturación de Cloud y exportar datos de Facturación de Cloud a BigQuery

Para obtener más información sobre las etiquetas, consulta Crea y administra etiquetas.

Crea etiquetas

Las etiquetas se estructuran como un par clave-valor. Se puede crear un recurso de clave de etiqueta en el recurso de organización, y los valores de etiqueta son recursos adjuntos a una clave. Por ejemplo, una clave de etiqueta environment con los valores production y development.

Administración de etiquetas

Los administradores pueden controlar el uso de las etiquetas mediante la restricción de quién puede crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para realizar ediciones, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de las etiquetas en toda la organización.

Las etiquetas pueden proporcionar una descripción, que se mostrará cuando se recupere la información sobre la etiqueta. Esta descripción garantiza que la persona que adjunte la etiqueta al recurso comprenda el propósito de esa etiqueta.

Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Por ejemplo, un proyecto con la clave de etiqueta environment y el valor production tampoco podría tener el valor development para la clave environment.

Políticas y etiquetas

Puedes usar etiquetas con políticas que las admitan para aplicar de forma condicional esas políticas. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición para esa política.

Por ejemplo, puedes otorgar de forma condicional Identity and Access Management (IAM) y denegar permisos de IAM de forma condicional según si un recurso tiene una etiqueta específica.

Después de crear una etiqueta, puedes aplicarla a los recursos. Luego, puedes crear políticas condicionales que dependan de si una etiqueta se adjunta a un recurso. La política entrará en vigor según la presencia o ausencia de las etiquetas adjuntas a los recursos.

Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.

Herencia de etiquetas

Cuando se adjunta un par clave-valor de etiqueta a un recurso, todos los descendientes del recurso heredan la etiqueta. Puedes anular una etiqueta heredada en un recurso descendiente. Para anular una etiqueta heredada, aplica una etiqueta con la misma clave que la etiqueta heredada, pero usa un valor diferente.

Por ejemplo, supongamos que aplicas la etiqueta environment: development a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b. También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta environment: development, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:

Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: development.

Todas las etiquetas adjuntas a un recurso y heredadas por un recurso se denominan de forma colectiva etiquetas efectivas. Las etiquetas efectivas para un recurso son una combinación de las etiquetas directamente adjuntas a este, así como de todas las etiquetas adjuntas a todos los principales del recurso en toda la jerarquía.

Cuando utilice etiquetas para administrar las políticas, le recomendamos que cree una etiqueta predeterminada segura. Esto significa que se debe configurar una etiqueta al nivel del recurso de tu organización que luego se heredará en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta con el nombre corto enforcement y los valores default, on o off. Si estableces enforcement: default a nivel de la organización, todos los recursos heredarán esa etiqueta, a menos que se anule en niveles inferiores.

Luego, puedes escribir políticas que aborden la clave de etiqueta enforcement, con condiciones que afecten a un recurso si es enforcement: on o enforcement: off, y un caso seguro si es enforcement: default. Si alguna vez se quita la etiqueta enforcement de un recurso, este heredará el valor enforcement de su recurso superior. Si ningún recurso superior tiene la etiqueta enforcement, heredará enforcement: default del recurso de la organización.

Usar una etiqueta predeterminada segura puede ser útil, pero para evitar comportamientos no deseados, debes revisar las etiquetas y las políticas condicionales establecidas antes de mover los recursos o quitar las etiquetas.

Borra claves y valores de etiquetas

Cuando se quita una clave de etiqueta o una definición de valor, si esa etiqueta está adjunta a un recurso, la eliminación fallará. Debes borrar los adjuntos de etiqueta existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta en sí.

Protección de los valores de etiquetas contra la eliminación

Puedes crear una capa adicional de protección para los valores de tus etiquetas si adjuntas una retención de etiquetas a un valor de etiqueta. Una retención de etiqueta, como una vinculación de etiqueta, evita que un usuario borre el valor de la etiqueta.

Algunos recursos crean automáticamente una conservación de etiqueta en cada valor de etiqueta adjunto al recurso. Se debe quitar esta retención de etiquetas antes de que un usuario pueda borrar el valor de la etiqueta.

¿Qué sigue?

Para obtener más información sobre cómo usar etiquetas, lee la página Crea y administra etiquetas.