Introduzione ai tag

La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura dell'organizzazione, le regioni, i tipi di carico di lavoro e i centri di costo. La gerarchia non offre la flessibilità di combinare più dimensioni aziendali.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

Tag ed etichette

Le etichette sono un modo distinto per creare annotazioni per le risorse. La seguente tabella elenca alcune delle differenze tra i tag e le etichette:

Tag Etichette
Struttura delle risorse Le chiavi tag, i valori tag e le associazioni di tag sono tutte risorse distinte Non è una risorsa in sé, ma i metadati delle risorse
Definizione Definiti a livello di organizzazione o progetto Definito da ogni risorsa
Controllo dell'accesso La gestione e l'attacco dei tag richiedono i ruoli IAM (Identity and Access Management) L'attacco delle etichette richiede ruoli IAM, che variano in base alla risorsa di servizio
Prerequisito per l'allegato La chiave e il valore del tag devono essere definiti prima che un tag possa essere associato a una risorsa Nessun prerequisito per l'allegato
Ereditarietà Le associazioni di tag vengono ereditate dagli elementi secondari della risorsa nella gerarchia Google Cloud Non ereditata dalle risorse figlio
Requisiti per l'eliminazione I tag non possono essere eliminati a meno che non esistano associazioni di tag per quel tag Può essere rimosso da una risorsa in qualsiasi momento
Requisiti di denominazione Requisiti per i valori dei tag e le chiavi dei tag Requisiti per le etichette
Lunghezza del nome della chiave/del valore Massimo 256 caratteri Massimo 63 caratteri
Supporto dei criteri IAM I tag possono essere richiamati dalle condizioni dei criteri IAM Nessun supporto per i criteri IAM
Assistenza per i criteri dell'organizzazione I tag di alcune risorse possono essere richiamati dai vincoli delle condizioni dei criteri dell'organizzazione. Nessun supporto per i criteri dell'organizzazione
Integrazione di Fatturazione Cloud Esegui chargeback, audit e altre analisi di allocazione dei costi, esporta i dati di costo di fatturazione Cloud in BigQuery Filtra le risorse per etichetta in Fatturazione Cloud, esporta i dati di Fatturazione Cloud in BigQuery

Per saperne di più sulle etichette, consulta Creare e gestire le etichette.

Creazione di tag

I tag sono strutturati come coppia chiave-valore. Puoi creare una risorsa chiave tag nelle risorse della tua organizzazione o del tuo progetto e i valori tag sono risorse associate a una chiave. Ad esempio, una chiave del tag environment con valori production e development.

Amministrazione dei tag

Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio aggiungere o rimuovere valori e aggiornare la descrizione. In questo modo puoi controllare i tag in modo granulare.

I tag possono essere forniti con una descrizione, che verrà visualizzata quando vengono recuperate le informazioni sul tag. Questa descrizione garantisce che chiunque aggiunga il tag alla risorsa ne comprenda lo scopo.

Un tag può avere un solo valore per una determinata chiave in una determinata risorsa. Ad esempio, un progetto con la chiave tag environment e il valore production non può avere anche il valore development per la chiave environment.

Norme e tag

Puoi utilizzare i tag con i criteri che li supportano per applicare i criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore del tag come condizione per quel criterio.

Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) e negare in modo condizionale le autorizzazioni IAM in base al fatto che una risorsa abbia un tag specifico.

Dopo aver creato un tag, puoi applicarlo alle risorse. Poi, puoi creare criteri condizionali in base al fatto che un tag sia associato a una risorsa supportata. Il criterio verrà applicato in base alla presenza o all'assenza dei tag associati alle risorse.

Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle tue Google Cloud risorse, consulta Tag e controllo dell'accesso.

Eredità dei tag

Quando una coppia chiave-valore del tag viene collegata a una risorsa, tutti i discendenti della risorsa ereditano il tag. Puoi ignorare un tag ereditato in una risorsa figlia. Per sostituire un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma con un valore diverso.

Ad esempio, supponiamo che tu applichi il tag environment: development a una cartella e che questa abbia due cartelle secondarie denominate team-a e team-b. Puoi anche applicare un altro tag, environment: test, alla cartella team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development e i progetti e le altre risorse nella cartella team-b ereditano il tag environment: test:

Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse erediteranno il tag environment: development.

Tutti i tag associati a ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi di una risorsa sono una combinazione dei tag direttamente collegati e di tutti i tag collegati a tutti gli antenati della risorsa nella gerarchia.

Quando utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro. Ciò significa che devi impostare un tag a livello di risorsa dell'organizzazione che verrà poi ereditato in tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e i valori default, on o off. Se impostassi enforcement: default a livello di organizzazione, questo tag verrebbe ereditato da tutte le risorse, a meno che non venga sostituito a livelli inferiori.

Potresti quindi scrivere criteri che rimandano alla chiave del tag enforcement, con condizioni che influiscono su una risorsa se è enforcement: on o enforcement: off e un caso sicuro se è enforcement: default. Se il tag enforcement viene rimosso da una risorsa, eredita il valore del tag per enforcement dalla risorsa principale. Se nessuna risorsa principale ha il tag enforcement, erediterà enforcement: default dalla risorsa dell'organizzazione.

L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti indesiderati, devi esaminare i tag e i criteri condizionali in vigore prima di spostare le risorse o rimuovere i tag.

Eliminazione di chiavi e valori dei tag

Quando rimuovi una definizione di chiave o valore tag, se il tag è associato a una risorsa, la rimozione non andrà a buon fine. Devi eliminare gli allegati dei tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stessa.

Protezione dei valori dei tag dall'eliminazione

Puoi creare un ulteriore livello di protezione per i valori dei tag collegando una sospensione dei tag a un valore del tag. Una sospensione del tag, come una associazione di tag, impedisce a un utente di eliminare il valore del tag.

Alcune risorse creano automaticamente una sospensione dei tag per ogni valore del tag associato alla risorsa. Questo blocco del tag deve essere rimosso prima che un utente possa eliminare il valore del tag.

Passaggi successivi