Introduzione ai tag

La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. La gerarchia è utile per gestire le risorse su vasta scala, ma si limita a modellare solo alcune dimensioni aziendali, come struttura organizzativa, aree geografiche, tipi di carico di lavoro, centri di costo e così via. In questa gerarchia manca la flessibilità necessaria per sovrapporre più dimensioni aziendali.

I tag offrono un modo per consentire o negare i criteri in modo condizionale, a seconda che una risorsa abbia un tag specifico. Puoi utilizzare tag e applicazione condizionale dei criteri per un controllo granulare nella gerarchia delle risorse.

Tag ed etichette

Le etichette sono uno strumento separato che consente di creare annotazioni per le risorse. La seguente tabella riporta alcune delle differenze tra tag ed etichette:

Tag Etichette
Struttura delle risorse Chiavi tag, valori tag e associazioni di tag sono tutte risorse discrete Non una risorsa di per sé, ma metadati per le risorse
Definizione Definito a livello di organizzazione Definita da ogni risorsa
Controllo dell'accesso La gestione e il collegamento dei tag richiedono ruoli di gestione di identità e accessi (IAM). Il collegamento delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio.
Prerequisito per l'allegato La chiave e il valore tag devono essere definiti prima di poter collegare un tag a una risorsa Nessun prerequisito per il collegamento
Ereditarietà Le associazioni di tag sono ereditate dalle risorse secondarie nella gerarchia di Google Cloud Non ereditata da elementi secondari della risorsa
Requisiti di eliminazione I tag non possono essere eliminati se esistono ancora associazioni di tag per il tag in questione. Può essere rimosso da una risorsa in qualsiasi momento
Requisiti per la denominazione Requisiti per i valori dei tag e le chiavi tag Requisiti per le etichette
Lunghezza nome chiave/valore Massimo 63 caratteri. Massimo 63 caratteri.
Supporto dei criteri IAM È possibile fare riferimento ai tag in base alle condizioni dei criteri IAM Nessun supporto per i criteri IAM
Supporto dei criteri dell'organizzazione È possibile fare riferimento ai tag in base a vincoli condizionali dei criteri dell'organizzazione Nessun supporto dei criteri dell'organizzazione
Integrazione della fatturazione Cloud Nessuna integrazione di fatturazione Cloud Filtra le risorse per etichetta nella UI di fatturazione Cloud, esporta i dati di fatturazione Cloud in BigQuery

Per saperne di più sulle etichette, consulta Creazione e gestione delle etichette.

Creazione di tag

I tag sono strutturati come coppie chiave/valore. Puoi creare una risorsa chiave del tag sotto la risorsa della tua organizzazione, mentre i valori tag sono risorse collegate a una chiave. Ad esempio, una chiave tag environment con i valori production e development.

Amministrazione dei tag

Gli amministratori possono controllare l'utilizzo dei tag limitando la possibilità di creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori e aggiornare la descrizione. Questo consente un controllo granulare dei tag in tutta l'organizzazione.

È possibile fornire una descrizione ai tag, che verrà visualizzata quando vengono recuperate informazioni sul tag. in modo che chiunque stia collegando il tag alla risorsa ne comprenda lo scopo.

Un tag può avere sempre un solo valore per una determinata chiave in una determinata risorsa. Ad esempio, un progetto con chiave tag environment e valore production non può avere anche il valore development per la chiave environment.

Criteri e tag

Puoi utilizzare i tag con criteri che li supportano per applicare questi criteri in modo condizionale. Puoi impostare la presenza o l'assenza di un valore tag come condizione per tale criterio.

Ad esempio, puoi concedere ruoli di Identity and Access Management (IAM) e negare in modo condizionale le autorizzazioni IAM a seconda che una risorsa abbia un tag specifico.

Una volta creato un tag, puoi applicarlo alle risorse. Puoi quindi creare criteri condizionali a seconda che un tag sia associato a una risorsa. Il criterio avrà effetto in base alla presenza o all'assenza dei tag associati alle risorse.

Per informazioni su come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle risorse di Google Cloud, vedi Tag e controllo dell'accesso.

Eredità dei tag

Una coppia chiave-valore del tag collegata a una risorsa verrà ereditata da tutti i discendenti della risorsa. Per impedire che una risorsa di livello inferiore erediti un tag, puoi applicare un tag alla risorsa di livello inferiore che utilizza un valore diverso per la stessa chiave del tag ereditato.

Ad esempio, supponiamo che tu abbia applicato il tag environment: development a una cartella e che quest'ultima abbia due cartelle secondarie denominate team-a e team-b. Puoi anche applicare un tag diverso, environment: test, alla cartella team-b. Di conseguenza, i progetti e altre risorse nella cartella team-a ereditano il tag environment: development e i progetti e altre risorse nella cartella team-b ereditano il tag environment: test:

Se rimuovi il tag environment: test dalla cartella team-b, tale cartella e le relative risorse erediteranno il tag environment: development.

Tutti i tag collegati ed ereditati da una risorsa sono chiamati collettivamente tag efficaci. I tag effettivi di una risorsa sono una combinazione dei tag collegati direttamente, nonché di tutti i tag associati a tutti i predecessori della risorsa in tutta la gerarchia.

Quando utilizzi i tag per gestire i criteri, ti consigliamo di crearne uno predefinito. Ciò significa impostare un tag a livello della risorsa dell'organizzazione che verrà ereditato durante tutta la gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e valori default, on o off. Se imposti enforcement: default a livello di organizzazione, il tag verrà ereditato da tutte le risorse, a meno che non venga sostituito a livelli inferiori.

Puoi quindi scrivere criteri che rispondano alla chiave del tag enforcement, con condizioni che potrebbero influire su una risorsa se è enforcement: on o enforcement: off, e una richiesta sicura se è enforcement: default. Se il tag enforcement dovesse essere stato rimosso da una risorsa, avrebbe ereditato il valore del tag per enforcement dalla risorsa principale. Se nessuna risorsa principale ha il tag enforcement, erediterà enforcement: default dalla risorsa dell'organizzazione.

L'utilizzo di tag predefiniti sicuri può essere utile, ma per evitare comportamenti indesiderati, dovresti esaminare i tag e i criteri condizionali applicati prima di spostare le risorse o rimuovere i tag.

Eliminazione di chiavi e valori di tag

Quando rimuovi una chiave tag o una definizione del valore, se il tag è associato a una risorsa, la rimozione non andrà a buon fine. Prima di eliminare la definizione del tag stesso, devi eliminare gli allegati tag esistenti, chiamati associazioni tag.

Proteggere i valori dei tag dall'eliminazione

Puoi creare un ulteriore livello di protezione per i valori dei tag collegando un blocco tag a un valore tag. Un blocco tag, come un'associazione di tag, impedisce a un utente di eliminare il valore tag.

Alcune risorse creano automaticamente un blocco di tag su ogni valore di tag associato alla risorsa. Questa sospensione del tag deve essere rimossa prima che un utente possa eliminare il valore del tag.

Passaggi successivi

Per ulteriori informazioni su come utilizzare i tag, consulta la pagina Creazione e gestione dei tag.