La hiérarchie des ressources Google Cloud permet d'organiser vos ressources en arborescence. Cette hiérarchie vous aide à gérer les ressources à grande échelle, mais seulement quelques dimensions métier, y compris l'organisation la structure, les régions, les types de charges de travail et les centres de coûts. La hiérarchie manque de flexibilité pour superposer plusieurs dimensions métier.
Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de stratégies pour un contrôle ultraprécis de votre hiérarchie de ressources.
Tags et étiquettes
Les libellés sont une autre façon de créer des annotations pour les ressources. Le tableau suivant répertorie certaines différences entre les tags et les libellés:
| Tags | Étiquettes | |
|---|---|---|
| Structure des ressources | Les clés, les valeurs et les liaisons de tags sont toutes des ressources distinctes. | Pas une ressource en soi, mais des métadonnées pour les ressources |
| Définition | Défini au niveau de l'organisation ou du projet | Définies par chaque ressource |
| Contrôle des accès | La gestion et l'association de balises nécessitent des rôles IAM (Identity and Access Management). | L'association d'étiquettes nécessite des rôles IAM, qui varient en fonction de la ressource de service. |
| Conditions préalables à l'ajout d'une pièce jointe | La clé et la valeur du tag doivent être définies avant que vous puissiez associer un tag à une ressource. | Aucun prérequis pour la pièce jointe |
| Héritage | Les liaisons de tags sont héritées par les enfants de la ressource dans la hiérarchie Google Cloud. | Non hérité par les enfants de la ressource |
| Exigences concernant la suppression | Les tags ne peuvent être supprimés que si aucune liaison n'existe pour ces tags | Peut être supprimé d'une ressource à tout moment |
| Exigences concernant les noms | Exigences concernant les valeurs de balise et les clés de balise | Exigences concernant les libellés |
| Longueur du nom de la clé-valeur | 256 caractères maximum | 63 caractères maximum |
| Compatibilité avec les stratégies IAM | Les balises peuvent être référencées par les conditions de stratégie IAM. | Aucune prise en charge des stratégies IAM |
| Compatibilité avec les règles d'administration | Les tags de certaines ressources peuvent être référencés par des contraintes conditionnelles de règle d'administration. | Aucune compatibilité avec les règles d'administration |
| Intégration de Cloud Billing | effectuer des rejets de débit, des audits et d'autres analyses de répartition des coûts, et exporter les données de coût Cloud Billing vers BigQuery ; | Filtrer les ressources par libellé dans Cloud Billing et exporter des données Cloud Billing vers BigQuery |
Pour en savoir plus sur les étiquettes, consultez la page Créer et gérer des étiquettes.
Créer des tags
Les tags sont structurés sous forme de paire clé/valeur. Vous pouvez créer une ressource de clé de tag
les ressources de votre organisation ou de votre projet, et les valeurs de tag sont des ressources
sont associés à une clé. Par exemple, une clé de tag environment avec les valeurs production et development.
Administration des tags
Les administrateurs peuvent contrôler l'utilisation des tags en limitant les personnes autorisées à créer, mettre à jour, supprimer et associer des tags aux ressources. Ils peuvent sélectionner un tag individuel pour effectuer des modifications, par exemple pour ajouter ou supprimer des valeurs, et pour mettre à jour la description. Cela vous permet de contrôler précisément vos balises.
Vous pouvez fournir une description aux tags, qui s'affiche lorsque des informations sur le tag sont récupérées. Cette description garantit que la personne qui associe le tag à la ressource comprend l'objectif de ce tag.
Un tag ne peut avoir qu'une seule valeur pour une clé donnée sur une ressource particulière. Par exemple, un projet contenant la clé de tag environment et la valeur production ne pourrait pas également avoir la valeur development de la clé environment.
Règles et tags
Vous pouvez utiliser des tags avec des règles compatibles pour appliquer ces règles de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle.
Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle et refuser l'autorisation IAM de manière conditionnelle selon qu'une ressource est associée à un tag spécifique ou non.
Après avoir créé un tag, vous pouvez l'appliquer aux ressources. Vous pouvez ensuite créer des règles conditionnelles selon qu'un tag est associé à une ressource compatible ou non. La règle prendra effet en fonction de la présence ou de l'absence associés aux ressources.
Pour découvrir comment utiliser les tags avec IAM (Identity and Access Management) pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.
Héritage des tags
Lorsqu'une paire clé/valeur de tag est associée à une ressource, tous les descendants de cette ressource héritent du tag. Vous pouvez remplacer un tag hérité sur une ressource descendante. Pour remplacer un tag hérité, appliquez un tag utilisant la même clé que le tag hérité, mais utilisez une valeur différente.
Par exemple, supposons que vous appliquez le tag environment: development à un dossier et que le dossier contienne deux dossiers enfants nommés team-a et team-b. Vous pouvez également appliquer un tag différent, environment: test, au dossier team-b. Par conséquent, les projets et autres ressources du dossier team-a héritent du tag environment: development, et les projets et autres ressources du dossier team-b héritent du tag environment: test :
Si vous supprimez le tag environment: test du dossier team-b, ce dossier et ses ressources hériteront du tag environment: development.
Tous les tags associés à une ressource et hérités par celle-ci sont collectivement appelés tags effectifs. Les tags effectifs d'une ressource sont une combinaison des tags qui lui sont directement associés, ainsi que de tous les tags associés à tous les ancêtres de la ressource dans la hiérarchie.
Lorsque vous utilisez des tags pour gérer les règles, nous vous recommandons de créer un tag par défaut sécurisé.
En d'autres termes, vous devez définir un tag au niveau de votre ressource d'organisation, qui sera hérité tout au long de cette hiérarchie. Par exemple, une clé de tag portant le nom court enforcement et les valeurs default, on ou off. Si vous définissez enforcement: default au niveau de votre organisation, ce tag sera hérité par toutes les ressources, sauf si vous le remplacez à des niveaux inférieurs.
Vous pouvez ensuite écrire des règles pour gérer une clé de tag enforcement avec des conditions qui affectent une ressource si la valeur est définie sur enforcement: on ou enforcement: off, et un cas sécurisé avec la valeur définie sur enforcement: default. Si le tag enforcement a été supprimé d'une ressource, il hérite de la valeur de tag enforcement de sa ressource parente. Si aucune ressource parente n'est associée au tag enforcement, elle hérite de enforcement: default de la ressource Organisation.
L'utilisation d'un tag par défaut sécurisé peut vous aider, mais pour éviter tout comportement inattendu, vous devez examiner les tags et les règles conditionnelles existants avant de déplacer vos ressources ou de supprimer les tags.
Supprimer des clés et des valeurs de tags
Lors de la suppression d'une clé ou d'une définition de valeur de tag, si ce tag est associé à une ressource, la suppression échoue. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même.
Protéger les valeurs de balise contre la suppression
Vous pouvez créer un niveau de protection supplémentaire pour les valeurs de vos balises de l'une des manières suivantes : associer une obligation de conservation de tag à une valeur de tag. Un blocage de tag, comme une liaison de tag, empêche un utilisateur de supprimer la valeur du tag.
Certaines ressources créent automatiquement une préservation à titre conservatoire pour chaque valeur de tag associée à ressource. Cette obligation de conservation doit être supprimée pour qu'un utilisateur puisse supprimer la valeur de la balise.
Étape suivante
- Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.
- Pour en savoir plus sur l'utilisation des tags avec Compute Engine, consultez la page Gérer les tags pour les ressources.