La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura dell'organizzazione, le regioni, i tipi di carico di lavoro e i centri di costo. La gerarchia non offre la flessibilità di combinare più dimensioni aziendali.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.
Tag ed etichette
Le etichette sono un modo distinto per creare annotazioni per le risorse. La seguente tabella elenca alcune delle differenze tra i tag e le etichette:
Tag | Etichette | |
---|---|---|
Struttura delle risorse | Le chiavi tag, i valori tag e le associazioni di tag sono tutte risorse distinte | Non è una risorsa in sé, ma i metadati delle risorse |
Definizione | Definiti a livello di organizzazione o progetto | Definito da ogni risorsa |
Controllo dell'accesso | La gestione e l'attacco dei tag richiedono i ruoli IAM (Identity and Access Management) | L'attacco delle etichette richiede ruoli IAM, che variano in base alla risorsa di servizio |
Prerequisito per l'allegato | La chiave e il valore del tag devono essere definiti prima che un tag possa essere associato a una risorsa | Nessun prerequisito per l'allegato |
Ereditarietà | Le associazioni di tag vengono ereditate dagli elementi secondari della risorsa nella gerarchia Google Cloud | Non ereditata dalle risorse figlio |
Requisiti per l'eliminazione | I tag non possono essere eliminati a meno che non esistano associazioni di tag per quel tag | Può essere rimosso da una risorsa in qualsiasi momento |
Requisiti di denominazione | Requisiti per i valori dei tag e le chiavi dei tag | Requisiti per le etichette |
Lunghezza del nome della chiave/del valore | Massimo 256 caratteri | Massimo 63 caratteri |
Supporto dei criteri IAM | I tag possono essere richiamati dalle condizioni dei criteri IAM | Nessun supporto per i criteri IAM |
Assistenza per i criteri dell'organizzazione | I tag di alcune risorse possono essere richiamati dai vincoli delle condizioni dei criteri dell'organizzazione. | Nessun supporto per i criteri dell'organizzazione |
Integrazione di Fatturazione Cloud | Esegui chargeback, audit e altre analisi di allocazione dei costi, esporta i dati di costo di fatturazione Cloud in BigQuery | Filtra le risorse per etichetta in Fatturazione Cloud, esporta i dati di Fatturazione Cloud in BigQuery |
Per saperne di più sulle etichette, consulta Creare e gestire le etichette.
Creazione di tag
I tag sono strutturati come coppia chiave-valore. Puoi creare una risorsa chiave tag nelle risorse della tua organizzazione o del tuo progetto e i valori tag sono risorse associate a una chiave. Ad esempio, una chiave del tag environment
con valori
production
e development
.
Amministrazione dei tag
Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio aggiungere o rimuovere valori e aggiornare la descrizione. In questo modo puoi controllare i tag in modo granulare.
I tag possono essere forniti con una descrizione, che verrà visualizzata quando vengono recuperate le informazioni sul tag. Questa descrizione garantisce che chiunque aggiunga il tag alla risorsa ne comprenda lo scopo.
Un tag può avere un solo valore per una determinata chiave in una determinata risorsa. Ad esempio, un progetto con la chiave tag environment
e il valore production
non può avere anche il valore development
per la chiave environment
.
Norme e tag
Puoi utilizzare i tag con i criteri che li supportano per applicare i criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore del tag come condizione per quel criterio.
Ad esempio, puoi concedere in modo condizionale i ruoli IAM (Identity and Access Management) e negare in modo condizionale le autorizzazioni IAM in base al fatto che una risorsa abbia un tag specifico.
Dopo aver creato un tag, puoi applicarlo alle risorse. Poi, puoi creare criteri condizionali in base al fatto che un tag sia associato a una risorsa supportata. Il criterio verrà applicato in base alla presenza o all'assenza dei tag associati alle risorse.
Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle tue Google Cloud risorse, consulta Tag e controllo dell'accesso.
Eredità dei tag
Quando una coppia chiave-valore del tag viene collegata a una risorsa, tutti i discendenti della risorsa ereditano il tag. Puoi ignorare un tag ereditato in una risorsa figlia. Per sostituire un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma con un valore diverso.
Ad esempio, supponiamo che tu applichi il tag environment: development
a una cartella e che questa abbia due cartelle secondarie denominate team-a
e team-b
. Puoi anche applicare un altro tag, environment: test
, alla cartella team-b
. Di conseguenza, i progetti e le altre risorse nella cartella team-a
ereditano il tag environment: development
e i progetti e le altre risorse nella cartella team-b
ereditano il tag environment: test
:
Se rimuovi il tag environment: test
dalla cartella team-b
, la
cartella e le relative risorse erediteranno il tag environment: development
.
Tutti i tag associati a ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi di una risorsa sono una combinazione dei tag direttamente collegati e di tutti i tag collegati a tutti gli antenati della risorsa nella gerarchia.
Quando utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro.
Ciò significa che devi impostare un tag a livello di risorsa dell'organizzazione che verrà poi ereditato in tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement
e i valori default
, on
o off
. Se impostassi enforcement: default
a livello di organizzazione, questo tag verrebbe ereditato da tutte le risorse, a meno che non venga sostituito a livelli inferiori.
Potresti quindi scrivere criteri che rimandano alla chiave del tag enforcement
, con condizioni che influiscono su una risorsa se è enforcement: on
o enforcement: off
e un caso sicuro se è enforcement: default
. Se il tag enforcement
viene rimosso da una risorsa, eredita il valore del tag per enforcement
dalla risorsa principale. Se nessuna risorsa principale ha il tag enforcement
, erediterà enforcement: default
dalla risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti indesiderati, devi esaminare i tag e i criteri condizionali in vigore prima di spostare le risorse o rimuovere i tag.
Eliminazione di chiavi e valori dei tag
Quando rimuovi una definizione di chiave o valore tag, se il tag è associato a una risorsa, la rimozione non andrà a buon fine. Devi eliminare gli allegati dei tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stessa.
Protezione dei valori dei tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori dei tag collegando una sospensione dei tag a un valore del tag. Una sospensione del tag, come una associazione di tag, impedisce a un utente di eliminare il valore del tag.
Alcune risorse creano automaticamente una sospensione dei tag per ogni valore del tag associato alla risorsa. Questo blocco del tag deve essere rimosso prima che un utente possa eliminare il valore del tag.
Passaggi successivi
- Per saperne di più su come utilizzare i tag, consulta la pagina Creare e gestire i tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, consulta Gestire i tag per le risorse.