Hierarki resource Google Cloud adalah cara untuk mengatur resource Anda ke dalam struktur pohon. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya memodelkan beberapa dimensi bisnis, termasuk struktur organisasi, region, jenis workload, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menggabungkan beberapa dimensi bisnis.
Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak. Anda dapat menggunakan tag dan penegakan bersyarat kebijakan untuk kontrol terperinci di seluruh hierarki resource.
Tag dan label
Label adalah cara terpisah untuk membuat anotasi untuk resource. Tabel berikut mencantumkan beberapa perbedaan antara tag dan label:
Tag | Label | |
---|---|---|
Struktur resource | Kunci tag, nilai tag, dan binding tag merupakan resource yang berbeda | Bukan resource itu sendiri, tapi metadata untuk resource |
Definisi | Ditentukan pada tingkat organisasi atau proyek | Ditentukan oleh setiap resource |
Access control | Pengelolaan dan lampiran tag memerlukan peran Pengelolaan Akses dan Identitas (IAM) | Lampiran label memerlukan peran IAM, yang akan bervariasi berdasarkan resource layanan |
Prasyarat untuk lampiran | Kunci tag dan nilai tag harus ditentukan sebelum tag dapat dilampirkan ke resource | Tidak ada prasyarat untuk lampiran |
Pewarisan | Binding tag diwarisi oleh turunan resource dalam hierarki Google Cloud | Tidak diwarisi oleh turunan resource |
Persyaratan penghapusan | Tag tidak dapat dihapus kecuali jika tidak ada binding tag untuk tag tersebut | Dapat dihapus dari referensi kapan saja |
Persyaratan penamaan | Persyaratan untuk Nilai tag dan Kunci tag | Persyaratan untuk label |
Panjang nama kunci/nilai | Maksimum 256 karakter | Maksimum 63 karakter |
Dukungan kebijakan IAM | Tag dapat dirujuk oleh kondisi kebijakan IAM | Tidak ada dukungan kebijakan IAM |
Dukungan kebijakan organisasi | Tag pada beberapa resource dapat direferensikan oleh batasan bersyarat Kebijakan Organisasi | Tidak ada dukungan Kebijakan Organisasi |
Integrasi Penagihan Cloud | Melakukan penagihan balik, audit, dan analisis alokasi biaya lainnya, serta mengekspor data biaya Penagihan Cloud ke BigQuery | Filter resource menurut label di Penagihan Cloud, ekspor data Cloud Billing ke BigQuery |
Untuk informasi selengkapnya tentang label, lihat Membuat dan mengelola label.
Membuat tag
Tag disusun sebagai pasangan nilai kunci. Resource kunci tag dapat dibuat berdasarkan resource project atau organisasi Anda, dan nilai tag adalah resource yang dilampirkan ke kunci. Misalnya, kunci tag environment
dengan nilai
production
dan development
.
Administrasi tag
Administrator dapat mengontrol penggunaan tag dengan membatasi siapa yang dapat membuat, memperbarui, menghapus, dan melampirkan tag ke resource. Mereka dapat memilih tag individual untuk mengeditnya, seperti menambahkan atau menghapus nilai, dan memperbarui deskripsi. Hal ini memungkinkan kontrol tag yang terperinci.
Tag dapat diberikan deskripsi, yang akan ditampilkan saat informasi tentang tag diambil. Deskripsi ini memastikan bahwa siapa pun yang melampirkan tag ke resource dapat memahami tujuan tag tersebut.
Tag hanya dapat memiliki satu nilai untuk kunci tertentu pada resource tertentu. Misalnya, project dengan kunci tag environment
dan nilai production
tidak boleh memiliki nilai development
untuk kunci environment
.
Kebijakan dan tag
Anda dapat menggunakan tag dengan kebijakan yang mendukungnya untuk menerapkan kebijakan tersebut secara bersyarat. Anda dapat membuat ada atau tidaknya nilai tag sebagai kondisi untuk kebijakan tersebut.
Misalnya, Anda dapat memberikan peran Identity and Access Management (IAM) secara bersyarat dan menolak izin IAM secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak.
Setelah membuat tag, Anda dapat menerapkannya ke resource. Kemudian, Anda dapat membuat kebijakan yang kondisional berdasarkan apakah tag dilampirkan ke resource yang didukung atau tidak. Kebijakan ini akan berlaku berdasarkan ada atau tidaknya tag yang dilampirkan ke resource.
Untuk melihat cara menggunakan tag dengan Identity and Access Management (IAM) untuk membantu mengontrol akses ke resource Google Cloud Anda, lihat Tag dan kontrol akses.
Pewarisan tag
Jika pasangan nilai kunci tag dilampirkan ke resource, semua turunan resource tersebut akan mewarisi tag tersebut. Anda dapat mengganti tag yang diwarisi pada resource turunan. Untuk mengganti tag yang diwarisi, terapkan tag menggunakan kunci yang sama seperti tag yang diwarisi, tetapi gunakan nilai yang berbeda.
Misalnya, Anda menerapkan tag environment: development
ke sebuah folder, dan folder tersebut memiliki dua folder turunan bernama team-a
dan team-b
. Anda juga dapat menerapkan tag lain, environment: test
, ke folder team-b
. Akibatnya, project dan resource lain di folder team-a
mewarisi tag environment: development
, sementara project serta resource lainnya di folder team-b
mewarisi tag environment: test
:
Jika Anda menghapus tag environment: test
dari folder team-b
, folder tersebut dan resource-nya akan mewarisi tag environment: development
.
Semua tag yang dilampirkan dan diwarisi oleh resource secara kolektif disebut tag efektif. Tag yang efektif untuk resource adalah kombinasi tag yang langsung disertakan pada resource, serta semua tag yang dilampirkan pada semua ancestor resource di seluruh hierarki.
Saat menggunakan tag untuk mengelola kebijakan, sebaiknya buat tag default yang aman.
Artinya, Anda harus menetapkan tag di level resource organisasi yang kemudian akan
diwariskan ke seluruh hierarki resource. Misalnya, kunci tag
dengan nama pendek enforcement
, dan nilai default
, on
, atau off
. Jika Anda
menetapkan enforcement: default
pada tingkat organisasi, tag tersebut akan
diwarisi oleh semua resource, kecuali jika diganti pada tingkat yang lebih rendah.
Anda kemudian dapat menulis kebijakan yang menangani kunci tag enforcement
, dengan kondisi yang akan memengaruhi resource jika enforcement: on
atau enforcement: off
, dan kasus aman jika adalah enforcement: default
. Jika
tag enforcement
pernah dihapus dari resource, tag tersebut akan mewarisi
nilai tag untuk enforcement
dari resource induknya. Jika tidak ada resource induk
yang memiliki tag enforcement
, resource tersebut akan mewarisi enforcement: default
dari
resource organisasi.
Menggunakan tag default yang aman dapat membantu, tetapi untuk mencegah perilaku yang tidak diinginkan, Anda harus meninjau tag dan kebijakan kondisional sebelum memindahkan resource atau menghapus tag.
Menghapus kunci dan nilai tag
Saat menghapus kunci tag atau definisi nilai, jika tag tersebut dikaitkan ke resource, penghapusan akan gagal. Anda harus menghapus lampiran tag yang ada, yang disebut binding tag, sebelum menghapus definisi tag itu sendiri.
Melindungi nilai tag dari penghapusan
Anda dapat membuat lapisan perlindungan tambahan untuk nilai tag dengan melampirkan penahanan tag ke nilai tag. Penangguhan tag, seperti binding tag, mencegah pengguna menghapus nilai tag.
Beberapa resource secara otomatis membuat penangguhan tag pada setiap nilai tag yang dilampirkan ke resource. Penangguhan tag ini harus dihapus sebelum pengguna dapat menghapus nilai tag.
Langkah selanjutnya
- Untuk mendapatkan informasi selengkapnya tentang cara menggunakan tag, baca halaman Membuat dan mengelola tag.
- Untuk mengetahui informasi tentang penggunaan tag dengan Compute Engine, lihat Mengelola tag untuk resource.