Introduzione ai tag

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia consente di gestire le risorse su vasta scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura organizzativa, le aree geografiche, i tipi di carico di lavoro e i centri di costo. Nella gerarchia manca la flessibilità di poter unire più dimensioni aziendali.

I tag forniscono un modo per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

Tag ed etichette

Le etichette sono un modo separato per creare annotazioni per le risorse. Nella tabella seguente sono elencate alcune delle differenze tra tag ed etichette:

Tag Etichette
Struttura delle risorse Le chiavi dei tag, i valori dei tag e le associazioni di tag sono tutte risorse discrete Non è una risorsa, ma i metadati delle risorse
Definizione Definito a livello di organizzazione Definito da ogni risorsa
Controllo dell'accesso La gestione e l'associazione dei tag richiede i ruoli IAM (Identity and Access Management) Il collegamento delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio
Prerequisito per l'allegato La chiave e il valore del tag devono essere definiti prima che un tag possa essere associato a una risorsa Nessun prerequisito per l'allegato
Ereditarietà Le associazioni di tag vengono ereditate dalle istanze secondarie della risorsa nella gerarchia di Google Cloud Non ereditata dai figli della risorsa
Requisiti di eliminazione I tag non possono essere eliminati a meno che non esistano associazioni di tag per quel tag. Può essere rimosso da una risorsa in qualsiasi momento
Requisiti del nome Requisiti per valori dei tag e chiavi tag Requisiti per le etichette
Lunghezza nome chiave/valore Massimo 63 caratteri Massimo 63 caratteri
Supporto dei criteri IAM È possibile fare riferimento ai tag in base alle condizioni dei criteri IAM Nessun supporto per i criteri IAM
Assistenza per i criteri dell'organizzazione I tag possono essere utilizzati come riferimento dai vincoli condizionali dei criteri dell'organizzazione Nessun supporto per i criteri dell'organizzazione
Integrazione della fatturazione Cloud Eseguire storni di addebito, controlli e altre analisi di allocazione dei costi, esportare i dati di costo della fatturazione Cloud in BigQuery Filtra le risorse per etichetta nella fatturazione Cloud, esporta i dati di fatturazione Cloud in BigQuery

Per ulteriori informazioni sulle etichette, consulta la pagina Creazione e gestione delle etichette.

Creazione dei tag

I tag sono strutturati come coppie chiave-valore. Una risorsa chiave tag può essere creata sotto la risorsa organizzazione e i valori tag sono risorse collegate a una chiave. Ad esempio, una chiave tag environment con valori production e development.

Amministrazione tag

Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori, e aggiornare la descrizione. Ciò consente un controllo granulare dei tag in tutta l'organizzazione.

È possibile fornire ai tag una descrizione che verrà visualizzata quando vengono recuperate informazioni sul tag. Questa descrizione garantisce che chiunque colleghi il tag alla risorsa ne comprenda lo scopo.

Un tag può avere sempre un solo valore per una determinata chiave su una particolare risorsa. Ad esempio, un progetto con la chiave tag environment e il valore production potrebbe non avere anche il valore development per la chiave environment.

Criteri e tag

Puoi utilizzare i tag con criteri che li supportano per applicare in modo condizionale tali criteri. Puoi specificare se la presenza o l'assenza di un valore di tag è la condizione prevista per il criterio in questione.

Ad esempio, puoi concedere i ruoli di Identity and Access Management (IAM) in modo condizionale e rifiutare le autorizzazioni IAM in base al fatto che una risorsa abbia un tag specifico.

Dopo aver creato un tag, puoi applicarlo alle risorse. Puoi quindi creare criteri condizionali a seconda che il tag sia associato a una risorsa. Il criterio avrà effetto in base alla presenza o all'assenza dei tag associati alle risorse.

Per informazioni su come utilizzare i tag con Identity and Access Management (IAM) per controllare l'accesso alle tue risorse Google Cloud, consulta Tag e controllo dell'accesso.

Eredità dei tag

Quando una coppia chiave-valore del tag è associata a una risorsa, tutti i discendenti della risorsa ereditano il tag. Puoi sostituire un tag ereditato in una risorsa discendente. Per sostituire un tag ereditato, applica un tag utilizzando la stessa chiave del tag ereditato, ma utilizza un valore diverso.

Ad esempio, supponiamo che tu abbia applicato il tag environment: development a una cartella e che la cartella abbia due cartelle secondarie denominate team-a e team-b. Puoi anche applicare un tag diverso, environment: test, alla cartella team-b. Di conseguenza, i progetti e altre risorse nella cartella team-a ereditano il tag environment: development, mentre i progetti e altre risorse nella cartella team-b ereditano il tag environment: test:

Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse erediteranno il tag environment: development.

Tutti i tag collegati ed ereditati da una risorsa vengono collettivamente chiamati tag efficaci. I tag effettivi per una risorsa sono una combinazione dei tag collegati direttamente, nonché di tutti i tag associati a tutti gli antenati della risorsa nella gerarchia.

Se utilizzi i tag per gestire i criteri, ti consigliamo di creare un tag predefinito sicuro. Ciò significa impostare un tag a livello di risorsa dell'organizzazione, che verrà poi ereditato nella gerarchia delle risorse. Ad esempio, una chiave tag con il nome breve enforcement e valori default, on o off. Se imposti enforcement: default a livello di organizzazione, il tag verrà ereditato da tutte le risorse, a meno che non venga sostituito ai livelli inferiori.

Dopodiché potresti scrivere criteri che riguardano la chiave del tag enforcement, con condizioni che influirebbero su una risorsa se è enforcement: on o enforcement: off e una situazione sicura se è enforcement: default. Se il tag enforcement viene rimosso da una risorsa, eredita il valore del tag enforcement dalla risorsa principale. Se nessuna risorsa principale ha il tag enforcement, eredita enforcement: default dalla risorsa organizzazione.

L'utilizzo di un tag predefinito sicuro può essere utile, ma per prevenire comportamenti indesiderati, è consigliabile controllare i tag e i criteri condizionali applicati prima di spostare le risorse o rimuovere i tag.

Eliminazione di chiavi e valori dei tag

Quando rimuovi una chiave tag o una definizione di valore, se il tag è associato a una risorsa, la rimozione non riuscirà. Devi eliminare gli allegati tag esistenti, chiamati associazioni di tag, prima di eliminare la definizione del tag stesso.

Protezione dei valori dei tag dall'eliminazione

Puoi creare un ulteriore livello di protezione per i valori tag collegando un blocco dei tag a un valore tag. Un blocco dei tag, come un'associazione di tag, impedisce a un utente di eliminare il valore del tag.

Alcune risorse creano automaticamente una conservazione dei tag su ciascun valore del tag associato alla risorsa. Questa sospensione del tag deve essere rimossa prima che un utente possa eliminarlo.

Passaggi successivi

Per ulteriori informazioni su come utilizzare i tag, consulta la pagina Creazione e gestione dei tag.