La hiérarchie des ressources Google Cloud permet d'organiser vos ressources en arborescence. Cette hiérarchie vous aide à gérer les ressources à grande échelle, mais seulement quelques dimensions métier, y compris l'organisation la structure, les régions, les types de charges de travail et les centres de coûts. La hiérarchie manque la flexibilité de combiner plusieurs dimensions métier.
Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de stratégies pour un contrôle ultraprécis de votre hiérarchie de ressources.
Tags et étiquettes
Les étiquettes sont un moyen distinct de créer des annotations pour les ressources. Le tableau suivant répertorie certaines des différences entre les tags et les libellés:
| Tags | Étiquettes | |
|---|---|---|
| Structure des ressources | Les clés de tag, les valeurs de tag et les liaisons de tags sont toutes des ressources discrètes | Pas une ressource en soi, mais des métadonnées pour les ressources |
| Définition | Définie au niveau de l'organisation ou du projet | Définies par chaque ressource |
| Contrôle des accès | La gestion et l'ajout de tags nécessitent des rôles IAM (Identity and Access Management). | Le rattachement de libellés nécessite des rôles IAM, qui varient en fonction de la ressource de service |
| Condition préalable pour le rattachement | Pour qu'un tag puisse être associé à une ressource, vous devez définir la clé et la valeur du tag. | Aucun prérequis pour la pièce jointe |
| Héritage | Les liaisons de tags sont héritées par les enfants de la ressource dans la hiérarchie Google Cloud. | Non héritées par les enfants de la ressource |
| Exigences concernant la suppression | Les tags ne peuvent être supprimés que si aucune liaison n'existe pour ces tags | Peut être supprimé d'une ressource à tout moment |
| Conditions de dénomination | Exigences concernant les valeurs de tag et les clés de tag | Exigences concernant les libellés |
| Longueur du nom de la clé-valeur | 256 caractères maximum | 63 caractères maximum |
| Compatibilité avec les stratégies IAM | Les tags peuvent être référencés par des conditions de stratégie IAM. | Stratégies IAM non compatibles |
| Compatibilité avec les règles d'administration | Les tags de certaines ressources peuvent être référencés par les contraintes conditionnelles concernant les règles d'administration. | Règles d'administration non acceptées |
| Intégration de Cloud Billing | effectuer des rejets de débit, des audits et d'autres analyses de répartition des coûts, et exporter les données de coût Cloud Billing vers BigQuery ; | Filtrer les ressources par étiquette dans Cloud Billing, exporter les données Cloud Billing vers BigQuery |
Pour en savoir plus sur les étiquettes, consultez la page Créer et gérer des étiquettes.
Créer des tags
Les tags sont structurés sous forme de paire clé/valeur. Vous pouvez créer une ressource de clé de tag
les ressources de votre organisation ou de votre projet, et les valeurs de tag sont des ressources
sont associés à une clé. Par exemple, une clé de tag environment avec des valeurs
production et development.
Administration des tags
Les administrateurs peuvent contrôler l'utilisation des tags en limitant les utilisateurs autorisés à créer, mettre à jour, supprimer et associer des tags aux ressources. Ils peuvent sélectionner un tag individuel pour effectuer des modifications, par exemple pour ajouter ou supprimer des valeurs, et pour mettre à jour la description. Vous disposez ainsi d'un contrôle précis sur vos balises.
Vous pouvez fournir une description aux tags, qui s'affiche lorsque des informations sur le tag sont récupérées. Cette description garantit que la personne qui associe le tag de la ressource comprend l'objectif de ce tag.
Un tag ne peut avoir qu'une seule valeur pour une clé donnée sur une ressource particulière. Par exemple, un projet contenant la clé de tag environment et la valeur production ne pourrait pas également avoir la valeur development de la clé environment.
Règles et tags
Vous pouvez utiliser des tags avec des règles compatibles pour appliquer ces règles de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle.
Par exemple, vous pouvez attribuer de manière conditionnelle des rôles IAM (Identity and Access Management) et refuser les autorisations IAM de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non.
Après avoir créé un tag, vous pouvez l'appliquer aux ressources. Vous pouvez ensuite créer qui sont conditionnelles selon qu'une balise est associée ou non à un ressource. La règle prendra effet en fonction de la présence ou de l'absence associés aux ressources.
Pour découvrir comment utiliser les tags avec IAM (Identity and Access Management) pour contrôler l'accès à vos ressources Google Cloud, consultez la page Tags et contrôle des accès.
Héritage des tags
Lorsqu'une paire clé-valeur de tag est associée à une ressource, tous les descendants du ressource héritent du tag. Vous pouvez remplacer un tag hérité sur un descendant ressource. Pour remplacer un tag hérité, appliquez un tag en utilisant la même clé que tag hérité, mais utilisez une valeur différente.
Par exemple, supposons que vous appliquez le tag environment: development à un dossier et que le dossier contienne deux dossiers enfants nommés team-a et team-b. Vous pouvez également appliquer un tag différent, environment: test, au dossier team-b. Par conséquent, les projets et autres ressources du dossier team-a héritent du tag environment: development, et les projets et autres ressources du dossier team-b héritent du tag environment: test :
Si vous supprimez le tag environment: test du dossier team-b, ce dossier et ses ressources hériteront du tag environment: development.
Tous les tags associés à une ressource et hérités par celle-ci sont sont désignés collectivement par le terme tags effectifs. Les tags effectifs pour une ressource combine les tags directement rattachés à celui-ci, ainsi que tous les tags associés à tous les ancêtres de la ressource dans la hiérarchie.
Lorsque vous utilisez des tags pour gérer les règles, nous vous recommandons de créer un tag par défaut sécurisé.
En d'autres termes, vous devez définir un tag au niveau de votre ressource d'organisation, qui sera hérité tout au long de cette hiérarchie. Par exemple, une clé de tag portant le nom court enforcement et les valeurs default, on ou off. Si vous définissez enforcement: default au niveau de votre organisation, ce tag sera hérité par toutes les ressources, sauf si vous le remplacez à des niveaux inférieurs.
Vous pouvez ensuite écrire des règles pour gérer une clé de tag enforcement avec des conditions qui affectent une ressource si la valeur est définie sur enforcement: on ou enforcement: off, et un cas sécurisé avec la valeur définie sur enforcement: default. Si le tag enforcement a été supprimé d'une ressource, il hérite de la valeur de tag enforcement de sa ressource parente. Si aucune ressource parente n'est associée au tag enforcement, elle hérite de enforcement: default de la ressource Organisation.
L'utilisation d'un tag par défaut sécurisé peut vous aider, mais pour éviter tout comportement inattendu, vous devez examiner les tags et les règles conditionnelles existants avant de déplacer vos ressources ou de supprimer les tags.
Supprimer des clés et des valeurs de tags
Lors de la suppression d'une clé ou d'une définition de valeur de tag, si ce tag est associé à une ressource, la suppression échoue. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même.
Protéger les valeurs de balise contre la suppression
Vous pouvez créer un niveau de protection supplémentaire pour les valeurs de votre balise de l'une des manières suivantes : associer une obligation de conservation de tag à une valeur de tag. Une préservation de tag, comme une liaison de tag, empêche de supprimer la valeur de la balise.
Certaines ressources créent automatiquement une préservation à titre conservatoire pour chaque valeur de tag associée à ressource. Cette obligation de conservation doit être supprimée pour qu'un utilisateur puisse supprimer la valeur de la balise.
Étape suivante
- Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.
- Pour en savoir plus sur l'utilisation des tags avec Compute Engine, consultez Gérer les tags des ressources