La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia consente di gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura organizzativa, le regioni, i tipi di carichi di lavoro e i centri di costo. La gerarchia non dispone della flessibilità per integrare più dimensioni aziendali insieme.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.
Tag ed etichette
Le etichette sono un modo separato per creare annotazioni per le risorse. Nella tabella seguente sono elencate alcune delle differenze tra tag ed etichette:
| Tag | Etichette | |
|---|---|---|
| Struttura delle risorse | Chiavi tag, valori tag e associazioni di tag sono risorse discrete | Non è una risorsa in sé, ma metadati per le risorse |
| Definizione | Definite a livello di organizzazione o di progetto | Definito da ciascuna risorsa |
| Controllo dell'accesso | La gestione e il collegamento dei tag richiedono i ruoli IAM (Identity and Access Management) | Il collegamento delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio. |
| Prerequisito per l'allegato | La chiave tag e il valore tag devono essere definiti prima che un tag possa essere associato a una risorsa | Nessun prerequisito per il collegamento |
| Ereditarietà | Le associazioni di tag vengono ereditate dagli elementi secondari della risorsa nella gerarchia di Google Cloud | Non ereditato dagli elementi figlio della risorsa |
| Requisiti per l'eliminazione | Impossibile eliminare i tag a meno che non esistano associazioni di tag | Può essere rimosso da una risorsa in qualsiasi momento |
| Requisiti di denominazione | Requisiti per i valori dei tag e le chiavi dei tag | Requisiti per le etichette |
| Lunghezza del nome chiave/valore | Massimo 256 caratteri | Massimo 63 caratteri |
| Supporto dei criteri IAM | È possibile fare riferimento ai tag tramite le condizioni dei criteri IAM | Nessun supporto per criteri IAM |
| Supporto dei criteri dell'organizzazione | I tag su alcune risorse possono fare riferimento ai vincoli condizionali dei criteri dell'organizzazione | Nessun supporto per i criteri dell'organizzazione |
| Integrazione di Cloud Billing | Eseguire storni di addebito, controlli e altre analisi di allocazione dei costi ed esportare i dati di costo di fatturazione Cloud in BigQuery | Filtra le risorse per etichetta in Fatturazione Cloud, esporta i dati di fatturazione Cloud in BigQuery |
Per scoprire di più sulle etichette, consulta la sezione Creazione e gestione delle etichette.
Creazione di tag
I tag sono strutturati come coppia chiave-valore. Una risorsa della chiave tag può essere creata nelle risorse dell'organizzazione o del progetto e i valori dei tag sono risorse associate a una chiave. Ad esempio, una chiave tag environment con valori
production e development.
Amministrazione dei tag
Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio aggiungere o rimuovere valori, e aggiornare la descrizione. Ciò consente un controllo granulare dei tag.
Ai tag può essere fornita una descrizione che verrà visualizzata quando vengono recuperate le informazioni relative al tag. Questa descrizione assicura che chiunque colleghi il tag alla risorsa capisca lo scopo di quel tag.
Un tag può avere sempre un solo valore per una determinata chiave su una determinata risorsa. Ad esempio, un progetto con la chiave tag environment e il valore production non potrebbe avere anche il valore development per la chiave environment.
Criteri e tag
Puoi utilizzare i tag con criteri che li supportano per applicare questi criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore tag come condizione per il criterio.
Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) e negare in modo condizionale le autorizzazioni IAM a seconda che a una risorsa sia associato un tag specifico.
Dopo aver creato un tag, puoi applicarlo alle risorse. Puoi quindi creare criteri condizionali a seconda che un tag sia associato o meno a una risorsa supportata. Il criterio avrà effetto in base alla presenza o all'assenza di tag associati alle risorse.
Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle risorse Google Cloud, consulta Tag e controllo dell'accesso.
Ereditarietà dei tag
Quando una coppia chiave-valore tag è associata a una risorsa, tutti i discendenti della risorsa ereditano il tag. Puoi eseguire l'override di un tag ereditato su una risorsa discendente. Per eseguire l'override di un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma un valore diverso.
Ad esempio, supponiamo che applichi il tag environment: development a una cartella e che questa abbia due cartelle secondarie denominate team-a e team-b. Puoi anche applicare
un tag diverso, environment: test, alla cartella team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development, mentre i progetti e le altre risorse nella cartella team-b ereditano il tag environment: test:
Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse erediteranno il tag environment: development.
Tutti i tag associati a ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi per una risorsa sono una combinazione dei tag direttamente associati alla risorsa, nonché di tutti i tag associati a tutti i predecessori della risorsa in tutta la gerarchia.
Quando utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro.
Ciò significa impostare un tag a livello della risorsa dell'organizzazione che verrà ereditato in tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e i valori default, on o off. Se imposti enforcement: default a livello di organizzazione, il tag verrà ereditato da tutte le risorse, a meno che non venga sostituito ai livelli inferiori.
Puoi quindi scrivere criteri che riguardano la chiave tag enforcement, con
condizioni che interessano una risorsa se è enforcement: on o
enforcement: off e un caso sicuro se è enforcement: default. Se il tag enforcement viene rimosso da una risorsa, eredita il valore del tag per enforcement dalla risorsa padre. Se nessuna risorsa padre ha il tag enforcement, erediterà enforcement: default dalla risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti indesiderati devi esaminare i tag e i criteri condizionali attivi prima di spostare le risorse o rimuovere i tag.
Eliminazione di chiavi e valori dei tag
Quando rimuovi una definizione di valore o chiave del tag, se il tag è collegato a una risorsa, la rimozione non andrà a buon fine. Prima di eliminare la definizione del tag, devi eliminare gli allegati di tag esistenti, chiamati associazioni di tag.
Protezione dei valori dei tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori dei tag associando un blocco tag a un valore tag. Un blocco di tag, come un'associazione di tag, impedisce a un utente di eliminare il valore del tag.
Alcune risorse creano automaticamente una conservazione dei tag su ogni valore di tag associato alla risorsa. Questa conservazione deve essere rimossa prima che un utente possa eliminare il valore del tag.
Passaggi successivi
- Per ulteriori informazioni su come utilizzare i tag, consulta la pagina Creazione e gestione dei tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, consulta Gestione dei tag per le risorse.