Présentation des tags

La Google Cloud hiérarchie des ressources permet d'organiser vos ressources en arborescence. Cette hiérarchie vous aide à gérer les ressources à grande échelle, mais elle ne modélise que quelques dimensions métier, telles que la structure organisationnelle, les régions, les types de charge de travail et les centres de coûts. La hiérarchie manque de flexibilité pour superposer plusieurs dimensions métier.

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de stratégies pour un contrôle ultraprécis de votre hiérarchie de ressources.

Les libellés sont une autre façon de créer des annotations pour les ressources. Le tableau suivant présente certaines des différences entre les tags et les libellés:

Tags Étiquettes
Structure des ressources Les clés, les valeurs et les liaisons de tags sont toutes des ressources distinctes. Il ne s'agit pas d'une ressource en soi, mais de métadonnées de ressources.
Définition Définies au niveau de l'organisation ou du projet Défini par chaque ressource
Contrôle des accès La gestion et l'association de balises nécessitent des rôles IAM (Identity and Access Management). L'association d'étiquettes nécessite des rôles IAM, qui varient en fonction de la ressource de service.
Conditions préalables à l'ajout d'une pièce jointe La clé et la valeur du tag doivent être définies avant que vous puissiez associer un tag à une ressource. Aucun prérequis pour la pièce jointe
Héritage Les liaisons de tags sont héritées par les enfants de la ressource dans la hiérarchie Google Cloud . Non hérités par les enfants de la ressource
Exigences concernant la suppression Les balises ne peuvent être supprimées que si aucune liaison de balise n'existe pour cette balise. Peut être supprimé d'une ressource à tout moment
Exigences concernant les noms Exigences concernant les valeurs de balise et les clés de balise Exigences concernant les libellés
Longueur du nom de la clé/valeur 256 caractères maximum 63 caractères maximum
Compatibilité avec les stratégies IAM Les tags peuvent être référencés par des conditions de stratégie IAM. Aucune stratégie IAM compatible
Compatibilité avec les règles d'administration Les tags de certaines ressources peuvent être référencés par des contraintes conditionnelles de règle d'administration. Aucune compatibilité avec les règles d'administration
Intégration à Cloud Billing Effectuez des rejets de débit, des audits et d'autres analyses d'allocation des coûts, et exportez les données de coût Cloud Billing vers BigQuery. Filtrer les ressources par libellé dans Cloud Billing et exporter des données Cloud Billing vers BigQuery

Pour en savoir plus sur les étiquettes, consultez la page Créer et gérer des étiquettes.

Créer des tags

Les tags sont structurés sous forme de paire clé/valeur. Une ressource de clé de tag peut être créée sous les ressources de votre organisation ou de votre projet, et les valeurs de tag sont des ressources associées à une clé. Par exemple, une clé de tag environment avec les valeurs production et development.

Administration des tags

Les administrateurs peuvent contrôler l'utilisation des tags en limitant les personnes autorisées à créer, mettre à jour, supprimer et associer des tags aux ressources. Ils peuvent sélectionner un tag individuel pour effectuer des modifications, par exemple pour ajouter ou supprimer des valeurs, et pour mettre à jour la description. Cela vous permet de contrôler précisément vos balises.

Vous pouvez fournir une description aux tags, qui s'affiche lorsque des informations sur le tag sont récupérées. Cette description garantit que la personne qui associe le tag à la ressource comprend l'objectif de ce tag.

Un tag ne peut avoir qu'une seule valeur pour une clé donnée sur une ressource particulière. Par exemple, un projet contenant la clé de tag environment et la valeur production ne pourrait pas également avoir la valeur development de la clé environment.

Règles et tags

Vous pouvez utiliser des tags avec des règles compatibles pour appliquer ces règles de manière conditionnelle. Vous pouvez faire de la présence ou de l'absence d'une valeur de tag la condition de cette règle.

Par exemple, vous pouvez attribuer des rôles IAM (Identity and Access Management) de manière conditionnelle et refuser l'autorisation IAM de manière conditionnelle selon qu'une ressource est associée à un tag spécifique ou non.

Une fois que vous avez créé un tag, vous pouvez l'appliquer aux ressources. Vous pouvez ensuite créer des règles conditionnelles selon qu'un tag est associé à une ressource compatible ou non. La règle prend effet en fonction de la présence ou de l'absence des tags associés aux ressources.

Pour découvrir comment utiliser les tags avec IAM (Identity and Access Management) pour contrôler l'accès à vos Google Cloud ressources, consultez la page Tags et contrôle des accès.

Héritage des tags

Lorsqu'une paire clé/valeur de tag est associée à une ressource, tous les descendants de cette ressource héritent du tag. Vous pouvez remplacer un tag hérité sur une ressource descendante. Pour remplacer un tag hérité, appliquez un tag à l'aide de la même clé que le tag hérité, mais utilisez une valeur différente.

Par exemple, supposons que vous appliquez le tag environment: development à un dossier et que le dossier contienne deux dossiers enfants nommés team-a et team-b. Vous pouvez également appliquer un tag différent, environment: test, au dossier team-b. Par conséquent, les projets et autres ressources du dossier team-a héritent du tag environment: development, et les projets et autres ressources du dossier team-b héritent du tag environment: test :

Si vous supprimez le tag environment: test du dossier team-b, ce dossier et ses ressources hériteront du tag environment: development.

Tous les tags associés à une ressource et hérités par celle-ci sont collectivement appelés tags effectifs. Les tags effectifs d'une ressource sont une combinaison des tags qui lui sont directement associés, ainsi que de tous les tags associés à tous les ancêtres de la ressource dans la hiérarchie.

Lorsque vous utilisez des tags pour gérer les règles, nous vous recommandons de créer un tag par défaut sécurisé. En d'autres termes, vous devez définir un tag au niveau de votre ressource d'organisation, qui sera hérité tout au long de cette hiérarchie. Par exemple, une clé de tag portant le nom court enforcement et les valeurs default, on ou off. Si vous définissez enforcement: default au niveau de votre organisation, ce tag sera hérité par toutes les ressources, sauf si vous le remplacez à des niveaux inférieurs.

Vous pouvez ensuite écrire des règles pour gérer une clé de tag enforcement avec des conditions qui affectent une ressource si la valeur est définie sur enforcement: on ou enforcement: off, et un cas sécurisé avec la valeur définie sur enforcement: default. Si le tag enforcement a été supprimé d'une ressource, il hérite de la valeur de tag enforcement de sa ressource parente. Si aucune ressource parente n'est associée au tag enforcement, elle hérite de enforcement: default de la ressource Organisation.

L'utilisation d'un tag par défaut sécurisé peut vous aider, mais pour éviter tout comportement inattendu, vous devez examiner les tags et les règles conditionnelles existants avant de déplacer vos ressources ou de supprimer les tags.

Supprimer des clés et des valeurs de tags

Lors de la suppression d'une clé ou d'une définition de valeur de tag, si ce tag est associé à une ressource, la suppression échoue. Vous devez supprimer les rattachements de tag existants, appelés liaisons de tags, avant de supprimer la définition de tag elle-même.

Protéger les valeurs de balise contre la suppression

Vous pouvez ajouter une couche de protection supplémentaire à vos valeurs de tag en associant une retenue de tag à une valeur de tag. Un blocage de tag, comme une liaison de tag, empêche un utilisateur de supprimer la valeur du tag.

Certaines ressources créent automatiquement une retenue de tag pour chaque valeur de tag associée à la ressource. Cette retenue de tag doit être supprimée pour qu'un utilisateur puisse supprimer la valeur du tag.

Étape suivante