Introduzione ai tag

Il team di gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura dell'organizzazione, le regioni, i tipi di carico di lavoro e i centri di costo. La gerarchia è carente la flessibilità di sovrapporre più dimensioni aziendali.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

Tag ed etichette

Le etichette sono un modo separato per creare annotazioni per le risorse. La seguente tabella elenca alcune delle differenze tra i tag e le etichette:

Tag Etichette
Struttura delle risorse Le chiavi tag, i valori tag e le associazioni di tag sono tutte risorse distinte Non è una risorsa in sé, ma i metadati delle risorse
Definizione Definiti a livello di organizzazione o progetto Definite da ogni risorsa
Controllo dell'accesso La gestione e l'attacco dei tag richiedono i ruoli IAM (Identity and Access Management) L'attacco delle etichette richiede ruoli IAM, che variano in base alla risorsa di servizio
Prerequisito per l'allegato La chiave e il valore del tag devono essere definiti prima che un tag possa essere associato a una risorsa Nessun prerequisito per l'allegato
Ereditarietà Le associazioni di tag vengono ereditate dagli elementi figlio della risorsa nella gerarchia di Google Cloud Non ereditata dalle risorse figlio
Requisiti per l'eliminazione I tag non possono essere eliminati a meno che non esistano associazioni di tag per i tag in questione Può essere rimosso da una risorsa in qualsiasi momento
Requisiti di denominazione Requisiti per i valori dei tag e le chiavi dei tag Requisiti per le etichette
Lunghezza del nome della chiave/del valore Massimo 256 caratteri Massimo 63 caratteri
Supporto dei criteri IAM I tag possono essere richiamati dalle condizioni dei criteri IAM Nessun supporto per i criteri IAM
Assistenza per i criteri dell'organizzazione I tag di alcune risorse possono essere richiamati dai vincoli dei criteri dell'organizzazione condizionali Nessun supporto per i criteri dell'organizzazione
Integrazione di Cloud Billing Esegui storni di addebito, controlli e altre analisi di allocazione dei costi, esporta i dati di costo della fatturazione Cloud in BigQuery Filtra le risorse per etichetta in Fatturazione Cloud, esporta i dati di Fatturazione Cloud in BigQuery

Per ulteriori informazioni sulle etichette, consulta Creazione e gestione delle etichette.

Creazione di tag

I tag sono strutturati come coppia chiave-valore. Puoi creare una risorsa chiave tag nelle risorse della tua organizzazione o del tuo progetto e i valori tag sono risorse associate a una chiave. Ad esempio, una chiave del tag environment con valori production e development.

Amministrazione dei tag

Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Può selezionare singoli tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori e aggiornare la descrizione. In questo modo puoi controllare i tag in modo granulare.

I tag possono essere forniti con una descrizione, che verrà visualizzata quando vengono recuperate le informazioni sul tag. Questa descrizione garantisce che chiunque alleghi il tag alla risorsa ne comprenda lo scopo.

Un tag può avere un solo valore per una determinata chiave in una determinata risorsa. Per Ad esempio, un progetto con la chiave tag environment e il valore production potrebbe non presentano anche il valore development per la chiave environment.

Norme e tag

Puoi utilizzare i tag con criteri che li supportano per applicarli in modo condizionale criteri. Puoi impostare la presenza o l'assenza di un valore del tag come condizione per quel criterio.

Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) e negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.

Dopo aver creato un tag, puoi applicarlo alle risorse. Poi, puoi creare criteri condizionali in base al fatto che un tag sia associato a una risorsa supportata. Le norme entreranno in vigore a seconda della presenza o dell'assenza del collegati alle risorse.

Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso a le risorse Google Cloud, Tag e controllo dell'accesso.

Eredità dei tag

Quando una coppia chiave-valore di tag è collegata a una risorsa, tutti i discendenti di e la risorsa eredita il tag. Puoi sostituire un tag ereditato su un discendente risorsa. Per sostituire un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma con un valore diverso.

Ad esempio, supponiamo di applicare il tag environment: development a una cartella e la cartella ha due cartelle secondarie denominate team-a e team-b. Puoi anche applicare un altro tag, environment: test, alla cartella team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development, progetti e altre risorse nella cartella team-b eredita il tag environment: test:

Se rimuovi il tag environment: test dalla cartella team-b, e le relative risorse erediteranno il tag environment: development.

Tutti i tag associati a ed ereditati da una risorsa vengono collettivamente chiamati tag effettivi. I tag effettivi di una risorsa sono una combinazione dei tag direttamente associati e di tutti i tag associati a tutti gli antenati della risorsa nella gerarchia.

Quando utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro. Ciò significa che devi impostare un tag a livello di risorsa dell'organizzazione che verrà poi ereditato in tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e i valori default, on o off. Se impostassi enforcement: default a livello di organizzazione, questo tag verrebbe ereditato da tutte le risorse, a meno che non venga sostituito a livelli inferiori.

Puoi quindi scrivere criteri per gestire la chiave tag enforcement, con che potrebbero influire su una risorsa se è enforcement: on o enforcement: off e una custodia sicura se si tratta di enforcement: default. Se il tag enforcement viene rimosso da una risorsa, eredita il valore del tag per enforcement dalla risorsa principale. Se non esistono risorse padre contiene il tag enforcement, che erediterà enforcement: default dal risorsa dell'organizzazione.

L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti indesiderati, devi esaminare i tag e i criteri condizionali in vigore prima di spostare le risorse o rimuovere i tag.

Eliminazione di chiavi e valori dei tag

Quando rimuovi una definizione di chiave o valore tag, se il tag è associato a una risorsa, la rimozione non andrà a buon fine. Devi eliminare gli allegati di tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stesso.

Protezione dei valori dei tag dall'eliminazione

Puoi creare un ulteriore livello di protezione per i valori dei tag: collegando un blocco tag a un valore tag. Una sospensione del tag, come una associazione di tag, impedisce a un utente di eliminare il valore del tag.

Alcune risorse creano automaticamente una sospensione dei tag per ogni valore del tag associato alla risorsa. Questo blocco del tag deve essere rimosso prima che un utente possa eliminare il valore del tag.

Passaggi successivi