La jerarquía de recursos de Google Cloud es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar los recursos a gran escala, pero modela solo algunas dimensiones empresariales, incluidas la estructura de la organización, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía carece de la flexibilidad para superponer varias dimensiones empresariales.
Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permiten o rechazan de forma condicional políticas en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.
Etiquetas de instancia y etiquetas de recurso
Las etiquetas son una forma independiente de crear anotaciones para los recursos. En la siguiente tabla, se enumeran algunas de las diferencias entre las etiquetas y las etiquetas:
| Etiquetas | Etiquetas | |
|---|---|---|
| Estructura de los recursos | Las claves, los valores de las etiquetas y las vinculaciones de etiquetas son recursos discretos | No es un recurso en sí, sino metadatos de los recursos |
| Definición | Se define a nivel de organización o proyecto. | Definido por cada recurso |
| Control de acceso | La administración y la vinculación de etiquetas requieren roles de Identity and Access Management (IAM). | La vinculación de etiquetas requiere roles de IAM, que varían según el recurso de servicio |
| Requisito previo para el archivo adjunto | La clave y el valor de la etiqueta deben definirse antes de que se pueda adjuntar una etiqueta a un recurso | No hay requisitos previos para el adjunto |
| Herencia | Los elementos secundarios del recurso en la jerarquía de Google Cloud heredan las vinculaciones de etiquetas. | No heredada por elementos secundarios del recurso |
| Requisitos para la eliminación | No se pueden borrar las etiquetas, a menos que no existan vinculaciones para ellas | Se puede quitar de un recurso en cualquier momento. |
| Requisitos para asignar nombres | Requisitos para los valores de etiqueta y las claves de etiqueta | Requisitos para las etiquetas |
| Longitud del nombre del par clave-valor | 256 caracteres como máximo | Máximo de 63 caracteres |
| Asistencia de la política de IAM | Se puede hacer referencia a las etiquetas mediante las condiciones de la política de IAM. | No se admite la política de IAM |
| Asistencia para las políticas de la organización | Se puede hacer referencia a las etiquetas de algunos recursos mediante las restricciones condicionales de las políticas de la organización | No se admite la política de la organización |
| Integración de la Facturación de Cloud | Realizar devoluciones de cargos, auditorías y otros análisis de asignación de costos, y exportar datos de costos de Facturación de Cloud a BigQuery | Filtra recursos por etiqueta en Facturación de Cloud y exporta datos de Facturación de Cloud a BigQuery. |
Para obtener más información sobre las etiquetas, consulta Crea y administra etiquetas.
Crea etiquetas
Las etiquetas se estructuran como un par clave-valor. Se puede crear un recurso de clave de etiqueta en los recursos de tu organización o proyecto, y los valores de etiqueta son recursos que se adjuntan a una clave. Por ejemplo, una clave de etiqueta environment con los valores production y development.
Administración de etiquetas
Los administradores pueden controlar el uso de etiquetas mediante la restricción de quién puede crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para realizar modificaciones, como agregar o quitar valores, y actualizar la descripción. Esto te permite tener un control más detallado de tus etiquetas.
A las etiquetas se les puede proporcionar una descripción, que se mostrará cuando se recupere la información sobre ellas. Esta descripción garantiza que quien adjunta la etiqueta al recurso comprenda su propósito.
Una etiqueta solo puede tener un valor para una clave determinada en un recurso en particular. Por ejemplo, un proyecto con la clave de etiqueta environment y el valor production no podría tener también el valor development para la clave environment.
Políticas y etiquetas
Puedes usar etiquetas con políticas que las admitan para aplicar esas políticas de manera condicional. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición para esa política.
Por ejemplo, puedes otorgar de forma condicional roles de Identity and Access Management (IAM) y Rechazar de forma condicional permisos de IAM en función de si un recurso tiene una etiqueta específica.
Después de crear una etiqueta, puedes aplicarla a los recursos. Luego, puedes crear políticas condicionales en función de si una etiqueta se adjunta a un recurso compatible. La política entrará en vigencia según la presencia o ausencia de las etiquetas adjuntas a los recursos.
Para ver cómo usar etiquetas con la administración de identidades y accesos (IAM) a fin de ayudar a controlar el acceso a tus recursos de Google Cloud, consulta Etiquetas y control de acceso.
Herencia de etiquetas
Cuando se adjunta un par clave-valor de etiqueta a un recurso, todos los descendientes del recurso heredan la etiqueta. Puedes anular una etiqueta heredada en un recurso subordinado. Para anular una etiqueta heredada, aplica una etiqueta con la misma clave que la heredada, pero usa un valor diferente.
Por ejemplo, supongamos que aplicas la etiqueta environment: development a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b. También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta
environment: development, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:
Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: development.
Todas las etiquetas que un recurso adjunta y hereda se denominan etiquetas efectivas de manera colectiva. Las etiquetas eficaces para un recurso son una combinación de las etiquetas adjuntas directamente, así como todas las etiquetas adjuntas a todas las principales del recurso en toda la jerarquía.
Cuando uses etiquetas para administrar políticas, te recomendamos que crees una etiqueta predeterminada segura.
Esto significa configurar una etiqueta a nivel del recurso de la organización, que luego se heredará en toda la jerarquía de recursos. Por ejemplo, una clave de etiqueta con el nombre corto enforcement y los valores default, on o off. Si configuras enforcement: default en el nivel de la organización, todos los recursos heredarán esa etiqueta, a menos que se anule en niveles inferiores.
Luego, puedes escribir políticas que aborden la clave de etiqueta enforcement, con condiciones que afectarían un recurso si es enforcement: on o enforcement: off, y un caso seguro si es enforcement: default. Si alguna vez se quitara la etiqueta enforcement de un recurso, heredaría el valor de etiqueta de enforcement de su recurso superior. Si ningún recurso superior tiene la etiqueta enforcement, heredaría enforcement: default del recurso de la organización.
El uso de una etiqueta predeterminada segura puede ayudar, pero para evitar comportamientos no deseados, debes revisar las etiquetas y las políticas condicionales existentes antes de mover tus recursos o quitar etiquetas.
Cómo borrar claves y valores de etiquetas
Cuando se quita una definición de clave o valor de etiqueta, si la etiqueta se adjunta a un recurso, fallará la eliminación. Debes borrar los adjuntos de etiquetas existentes, llamados vinculaciones de etiquetas, antes de borrar la definición de la etiqueta.
Cómo proteger los valores de etiqueta contra la eliminación
Si deseas crear una capa de protección adicional para los valores de tu etiqueta, adjunta una retención de etiqueta a un valor de etiqueta. Al igual que una vinculación de etiqueta, una retención de etiqueta evita que un usuario borre el valor de etiqueta.
Algunos recursos crean automáticamente una conservación de etiqueta en cada valor de etiqueta adjunto al recurso. Se debe quitar esta retención de etiqueta para que un usuario pueda borrar el valor de la etiqueta.
¿Qué sigue?
- Para obtener más información sobre cómo usar las etiquetas, lee la página Crea y administra etiquetas.
- Para obtener información sobre el uso de etiquetas con Compute Engine, consulta Cómo administrar etiquetas de recursos.