Ringkasan tag

Google Cloud Hierarki resource adalah cara untuk mengatur resource Anda ke dalam struktur hierarki. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya membuat model beberapa dimensi bisnis, termasuk struktur organisasi, region, jenis workload, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menyusun beberapa dimensi bisnis secara bersamaan.

Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource.

Tag dan label

Label adalah cara terpisah untuk membuat anotasi resource. Tabel berikut mencantumkan beberapa perbedaan antara tag dan label:

Tag Label
Struktur resource Kunci tag, nilai tag, dan binding tag adalah semua resource terpisah Bukan resource itu sendiri, tetapi metadata untuk resource
Definisi Ditentukan di tingkat organisasi atau project Ditentukan oleh setiap resource
Access control Pengelolaan dan lampiran tag memerlukan peran Identity and Access Management (IAM) Lampiran label memerlukan peran IAM, yang akan bervariasi berdasarkan resource layanan
Prasyarat untuk lampiran Kunci tag dan nilai tag harus ditentukan sebelum tag dapat dilampirkan ke resource Tidak ada prasyarat untuk lampiran
Pewarisan Binding tag diwarisi oleh turunan resource dalam hierarki Google Cloud Tidak diwariskan oleh turunan resource
Persyaratan penghapusan Tag tidak dapat dihapus kecuali jika tidak ada binding tag untuk tag tersebut Dapat dihapus dari resource kapan saja
Persyaratan penamaan Persyaratan untuk Nilai tag dan Kunci tag Persyaratan untuk label
Panjang nama kunci/nilai Maksimum 256 karakter Maksimum 63 karakter
Dukungan kebijakan IAM Tag dapat dirujuk oleh kondisi kebijakan IAM Tidak ada dukungan kebijakan IAM
Dukungan kebijakan organisasi Tag di beberapa resource dapat dirujuk oleh Batasan bersyarat Kebijakan Organisasi Tidak ada dukungan Kebijakan Organisasi
Integrasi Penagihan Cloud Melakukan penagihan balik, audit, dan analisis alokasi biaya lainnya, ekspor data biaya Penagihan Cloud ke BigQuery Memfilter resource menurut label di Penagihan Cloud, mengekspor data Penagihan Cloud ke BigQuery

Untuk informasi selengkapnya tentang label, lihat Membuat dan mengelola label.

Membuat tag

Tag disusun sebagai pasangan nilai kunci. Resource kunci tag dapat dibuat di bawah resource organisasi atau project Anda, dan nilai tag adalah resource yang dilampirkan ke kunci. Misalnya, kunci tag environment dengan nilai production dan development.

Administrasi tag

Administrator dapat mengontrol penggunaan tag dengan membatasi siapa yang dapat membuat, memperbarui, menghapus, dan melampirkan tag ke resource. Mereka dapat memilih tag individual untuk melakukan pengeditan, seperti menambahkan atau menghapus nilai, dan memperbarui deskripsi. Hal ini memungkinkan kontrol terperinci atas tag Anda.

Tag dapat diberi deskripsi, yang akan ditampilkan saat informasi tentang tag diambil. Deskripsi ini memastikan bahwa siapa pun yang memasang tag ke resource memahami tujuan tag tersebut.

Tag hanya dapat memiliki satu nilai untuk kunci tertentu pada resource tertentu. Misalnya, project dengan kunci tag environment dan nilai production tidak dapat juga memiliki nilai development untuk kunci environment.

Kebijakan dan tag

Anda dapat menggunakan tag dengan kebijakan yang mendukungnya untuk menerapkan kebijakan tersebut secara bersyarat. Anda dapat menjadikan keberadaan atau tidak adanya nilai tag sebagai kondisi untuk kebijakan tersebut.

Misalnya, Anda dapat memberikan peran Identity and Access Management (IAM) secara bersyarat dan menolak izin IAM secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak.

Setelah membuat tag, Anda dapat menerapkannya ke resource. Kemudian, Anda dapat membuat kebijakan yang kondisional berdasarkan apakah tag dilampirkan ke resource yang didukung. Kebijakan akan berlaku berdasarkan ada atau tidaknya tag yang dilampirkan ke resource.

Untuk melihat cara menggunakan tag dengan Identity and Access Management (IAM) untuk membantu mengontrol akses ke resource Google Cloud , lihat Tag dan kontrol akses.

Pewarisan tag

Saat pasangan nilai kunci tag dilampirkan ke resource, semua turunan resource tersebut akan mewarisi tag. Anda dapat mengganti tag yang diwarisi pada resource turunan. Untuk mengganti tag yang diwariskan, terapkan tag menggunakan kunci yang sama dengan tag yang diwariskan, tetapi gunakan nilai yang berbeda.

Misalnya, Anda menerapkan tag environment: development ke folder, dan folder tersebut memiliki dua folder turunan bernama team-a dan team-b. Anda juga dapat menerapkan tag yang berbeda, environment: test, ke folder team-b. Akibatnya, project dan resource lainnya di folder team-a mewarisi tag environment: development, dan project dan resource lainnya di folder team-b mewarisi tag environment: test:

Jika Anda menghapus tag environment: test dari folder team-b, folder tersebut dan resource-nya akan mewarisi tag environment: development.

Semua tag yang dilampirkan ke dan diwarisi oleh resource secara kolektif disebut tag efektif. Tag yang efektif untuk resource adalah kombinasi tag yang langsung dilampirkan ke resource tersebut, serta semua tag yang dilampirkan ke semua ancestor resource di seluruh hierarki.

Saat menggunakan tag untuk mengelola kebijakan, sebaiknya buat tag default yang aman. Artinya, menetapkan tag di tingkat resource organisasi yang kemudian akan diwariskan di seluruh hierarki resource Anda. Misalnya, kunci tag dengan nama pendek enforcement, dan nilai default, on, atau off. Jika Anda menetapkan enforcement: default di tingkat organisasi, tag tersebut akan diwarisi oleh semua resource, kecuali jika diganti di tingkat yang lebih rendah.

Kemudian, Anda dapat menulis kebijakan yang menangani kunci tag enforcement, dengan kondisi yang akan memengaruhi resource jika enforcement: on atau enforcement: off, dan kasus aman jika enforcement: default. Jika tag enforcement pernah dihapus dari resource, tag tersebut akan mewarisi nilai tag untuk enforcement dari resource induknya. Jika tidak ada resource induk yang memiliki tag enforcement, resource tersebut akan mewarisi enforcement: default dari resource organisasi.

Menggunakan tag default yang aman dapat membantu, tetapi untuk mencegah perilaku yang tidak diinginkan, Anda harus meninjau tag dan kebijakan bersyarat yang berlaku sebelum memindahkan resource atau menghapus tag.

Menghapus kunci dan nilai tag

Saat menghapus kunci tag atau definisi nilai, jika tag tersebut dilampirkan ke resource, penghapusan akan gagal. Anda harus menghapus lampiran tag yang ada, yang disebut binding tag, sebelum menghapus definisi tag itu sendiri.

Melindungi nilai tag dari penghapusan

Anda dapat membuat lapisan perlindungan tambahan untuk nilai tag dengan melampirkan penangguhan tag ke nilai tag. Penahanan tag, seperti binding tag, mencegah pengguna menghapus nilai tag.

Beberapa resource secara otomatis membuat penangguhan tag pada setiap nilai tag yang dilampirkan ke resource. Penahanan tag ini harus dihapus sebelum pengguna dapat menghapus nilai tag.

Langkah selanjutnya