La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia consente di gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura organizzativa, le regioni, i tipi di carichi di lavoro e i centri di costo. La gerarchia non dispone della flessibilità per integrare più dimensioni aziendali insieme.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.
Tag ed etichette
Le etichette rappresentano un modo separato per creare annotazioni per le risorse. La seguente tabella elenca alcune delle differenze tra tag ed etichette:
| Tag | Etichette | |
|---|---|---|
| Struttura delle risorse | Chiavi dei tag, valori dei tag e associazioni di tag sono tutte risorse discrete | Non si tratta di una risorsa di per sé, ma di metadati per le risorse |
| Definizione | Definite a livello di organizzazione o di progetto | Definito da ciascuna risorsa |
| Controllo dell'accesso | La gestione e il collegamento dei tag richiedono i ruoli Identity and Access Management (IAM) | Il collegamento delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio |
| Prerequisito per l'allegato | È necessario definire la chiave e il valore del tag prima che un tag possa essere associato a una risorsa | Nessun prerequisito per il collegamento |
| Ereditarietà | Le associazioni di tag vengono ereditate dalle risorse secondarie della risorsa nella gerarchia di Google Cloud | Non ereditato da elementi secondari della risorsa |
| Requisiti per l'eliminazione | Impossibile eliminare i tag a meno che non esistano associazioni di tag | Può essere rimosso da una risorsa in qualsiasi momento |
| Requisiti di denominazione | Requisiti per Valori tag e Chiavi tag | Requisiti per le etichette |
| Lunghezza del nome della coppia chiave-valore | Massimo 256 caratteri | Massimo 63 caratteri |
| Supporto dei criteri IAM | È possibile fare riferimento ai tag tramite le condizioni dei criteri IAM | Nessun supporto per i criteri IAM |
| Supporto dei criteri dell'organizzazione | Ai tag di alcune risorse è possibile fare riferimento ai vincoli condizionali dei criteri dell'organizzazione | Nessun supporto per i criteri dell'organizzazione |
| Integrazione della fatturazione Cloud | Esegui storni di addebito, controlli e altre analisi di allocazione dei costi, esporta i dati di costo di fatturazione Cloud in BigQuery | Filtra le risorse per etichetta nella fatturazione Cloud, esporta i dati di fatturazione Cloud in BigQuery |
Per saperne di più sulle etichette, consulta Creazione e gestione delle etichette.
Creazione di tag
I tag sono strutturati come coppie chiave-valore. È possibile creare una risorsa della chiave tag nelle risorse dell'organizzazione o del progetto e i valori tag sono risorse collegate a una chiave. Ad esempio, una chiave tag environment con i valori production e development.
Amministrazione tag
Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio aggiungere o rimuovere valori, e aggiornare la descrizione. In questo modo hai un controllo capillare dei tag.
Ai tag può essere fornita una descrizione, che verrà visualizzata quando verranno recuperate le informazioni relative al tag. Questa descrizione assicura che chiunque colleghi il tag alla risorsa ne comprenda lo scopo.
Un tag può avere un solo valore per una determinata chiave su una particolare risorsa. Ad esempio, un progetto con la chiave tag environment e il valore production non potrebbe avere anche il valore development per la chiave environment.
Criteri e tag
Puoi utilizzare i tag con criteri che li supportano per applicare in modo condizionale questi criteri. Puoi impostare la presenza o l'assenza di un valore di tag come condizione per il criterio.
Ad esempio, puoi concedere in modo condizionale i ruoli Identity and Access Management (IAM) e negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.
Dopo aver creato un tag, puoi applicarlo alle risorse. Puoi quindi creare criteri condizionali a seconda che un tag sia collegato a una risorsa supportata. Il criterio verrà applicato in base alla presenza o all'assenza di tag collegati alle risorse.
Per scoprire come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle tue risorse Google Cloud, consulta Tag e controllo dell'accesso.
Ereditarietà dei tag
Quando una coppia chiave-valore tag è associata a una risorsa, tutti i discendenti della risorsa ereditano il tag. Puoi eseguire l'override di un tag ereditato su una risorsa discendente. Per eseguire l'override di un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma utilizza un valore diverso.
Ad esempio, supponiamo che applichi il tag environment: development a una cartella e che quest'ultima abbia due cartelle secondarie denominate team-a e team-b. Puoi anche applicare
un tag diverso, environment: test, alla cartella team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development, mentre i progetti e le altre risorse nella cartella team-b ereditano il tag environment: test:
Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse erediteranno il tag environment: development.
Tutti i tag associati ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi per una risorsa sono una combinazione dei tag direttamente associati alla risorsa, nonché di tutti i tag associati a tutti i predecessori della risorsa in tutta la gerarchia.
Se utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro.
Ciò significa impostare un tag a livello della risorsa dell'organizzazione che verrà ereditato in tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e i valori default, on o off. Se imposti enforcement: default a livello di organizzazione, il tag verrà ereditato da tutte le risorse, a meno che non venga sostituito ai livelli inferiori.
Potresti quindi scrivere criteri che riguardano la chiave tag enforcement, con condizioni che influenzerebbero una risorsa se è enforcement: on o enforcement: off e un caso sicuro se è enforcement: default. Se il tag enforcement viene rimosso da una risorsa, questo erediterebbe il valore del tag per enforcement dalla risorsa padre. Se nessuna risorsa padre ha il tag enforcement, erediterà enforcement: default dalla risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti indesiderati devi esaminare i tag e i criteri condizionali attivi prima di spostare le risorse o di rimuovere i tag.
Eliminazione di chiavi e valori tag
Quando rimuovi una chiave o una definizione di valore del tag, se quel tag è collegato a una risorsa, la rimozione non andrà a buon fine. Devi eliminare gli allegati di tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione dei tag stessa.
Protezione dei valori dei tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori dei tag associando un blocco tag a un valore tag. Un blocco tag, come un'associazione di tag, impedisce a un utente di eliminare il valore tag.
Alcune risorse creano automaticamente un blocco tag su ogni valore tag associato alla risorsa. Questo blocco tag deve essere rimosso prima che un utente possa eliminare il valore tag.
Passaggi successivi
- Per ulteriori informazioni su come utilizzare i tag, consulta la pagina Creazione e gestione dei tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, consulta Gestire i tag per le risorse.