A hierarquia de recursos é uma forma de organizar os seus recursos numa estrutura de árvore. Google CloudEsta hierarquia ajuda a gerir recursos em grande escala, mas modela apenas algumas dimensões da empresa, incluindo a estrutura organizacional, as regiões, os tipos de carga de trabalho e os centros de custos. A hierarquia não tem a flexibilidade necessária para sobrepor várias dimensões da empresa.
As etiquetas oferecem uma forma de criar anotações para recursos e, em alguns casos, permitem ou negam condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Pode usar etiquetas e a aplicação condicional de políticas para ter um controlo detalhado na hierarquia de recursos.
Etiquetas
As etiquetas são uma forma separada de criar anotações para recursos. A tabela seguinte lista algumas das diferenças entre etiquetas e rótulos:
| Etiquetas | Etiquetas | |
|---|---|---|
| Estrutura de recursos | As chaves de etiquetas, os valores de etiquetas e as associações de etiquetas são todos recursos discretos | Não é um recurso em si, mas metadados para recursos |
| Definição | Definidas ao nível da organização ou do projeto | Definido por cada recurso |
| Controlo de acesso | A gestão e a associação de etiquetas requerem funções de gestão de identidade e de acesso (IAM) | A associação de etiquetas requer funções do IAM, que variam consoante o recurso do serviço |
| Pré-requisito para o anexo | A chave e o valor da etiqueta têm de ser definidos antes de uma etiqueta poder ser anexada a um recurso | Sem pré-requisitos para o anexo |
| Herança | As associações de etiquetas são herdadas pelos elementos subordinados do recurso na Google Cloud hierarquia | Não é herdado pelos filhos do recurso |
| Requisitos de eliminação | Não é possível eliminar etiquetas, a menos que não existam associações de etiquetas para essa etiqueta | Pode ser removido de um recurso em qualquer altura |
| Requisitos de nomenclatura | Requisitos para valores de etiquetas e chaves de etiquetas | Requisitos para etiquetas |
| Comprimento do nome da chave-valor | Máximo de 256 carateres | Máximo de 63 carateres |
| Permita e recuse o apoio técnico de políticas | As etiquetas podem ser referenciadas por condições de política de autorização e condições de política de recusa | Sem suporte de políticas de permissão e recusa |
| Apoio técnico para políticas de organização | As etiquetas em alguns recursos podem ser referenciadas por restrições condicionais da política da organização | Sem apoio técnico de políticas organizacionais |
| Integração do Cloud Billing | Realize chargebacks, auditorias e outras análises de atribuição de custos, exporte dados de custos da Cloud Billing para o BigQuery | Filtre recursos por etiqueta na Faturação do Google Cloud e exporte dados da Faturação do Google Cloud para o BigQuery |
Para mais informações sobre etiquetas, consulte o artigo Criar e gerir etiquetas.
Criar etiquetas
As etiquetas são estruturadas como um par de chave-valor. Pode criar um recurso de chave de etiqueta nos recursos da sua organização ou projeto, e os valores de etiqueta são recursos que estão anexados a uma chave, por exemplo, uma chave de etiqueta environment com os valores production e development.
Administração de etiquetas
Os administradores podem controlar a utilização de etiquetas restringindo quem pode criar, atualizar, eliminar e anexar etiquetas a recursos. Podem selecionar uma etiqueta individual para fazer edições, como adicionar ou remover valores, e atualizar a descrição. Isto permite um controlo detalhado das suas etiquetas.
Opcionalmente, as etiquetas têm uma descrição que é apresentada quando são obtidas informações sobre a etiqueta. A descrição ajuda os utilizadores que associam a etiqueta ao recurso a compreenderem a finalidade da etiqueta.
Num projeto ou numa organização principal, cada chave de etiqueta tem de ser exclusiva. Isto garante que cada valor de etiqueta, quando associado a um recurso, cria uma associação única com a respetiva chave de etiqueta.
Políticas e etiquetas
Pode usar etiquetas e condições da IAM em conjunto para:
Depois de criar um valor de etiqueta, pode associá-lo a recursos. Em seguida, pode criar políticas IAM com condições que identificam recursos com base no facto de uma chave de etiqueta ter sido associada ao recurso. Para obter informações sobre a utilização de etiquetas e condições da IAM, consulte o artigo Etiquetas e acesso condicional.
Aplicação de etiquetas obrigatórias através de políticas da organização
Pode aplicar etiquetas obrigatórias aos recursos através de uma política da organização. Quando aplica etiquetas obrigatórias, só pode criar recursos em conformidade com as políticas de etiquetagem da sua organização. Ou seja, os recursos estão associados aos valores das chaves de etiquetas obrigatórias especificadas na política. Para mais informações, consulte o artigo Configure uma restrição personalizada para aplicar etiquetas.
A aplicação de etiquetas obrigatórias é suportada para os seguintes tipos de recursos:
- Projetos e pastas do Resource Manager
- Instâncias do Filestore
- Recursos de clusters e cópias de segurança do AlloyDB para PostgreSQL
- Fluxo de trabalho do Workflows
Herança de etiquetas
Quando um valor de etiqueta é anexado a um recurso, por predefinição, todos os descendentes do recurso herdam o mesmo valor de etiqueta. Pode substituir um valor de etiqueta herdado num recurso descendente. Para substituir um valor de etiqueta herdado, associe um valor de etiqueta diferente ao recurso descendente. O valor de etiqueta diferente tem de usar a mesma chave de etiqueta que o valor de etiqueta herdado.
Por exemplo, suponhamos que aplica a etiqueta environment: development a uma pasta e que a pasta tem duas subpastas denominadas team-a e team-b.
Também pode aplicar uma etiqueta diferente, environment: test, à pasta team-b. Como resultado, os projetos e outros recursos na pasta team-a herdam a etiqueta environment: development, e os projetos e outros recursos na pasta team-b herdam a etiqueta environment: test:
Se remover a etiqueta environment: test da pasta team-b, essa pasta e os respetivos recursos herdam a etiqueta environment: development.
Todas as etiquetas anexadas e herdadas por um recurso são denominadas etiquetas efetivas. As etiquetas em vigor de um recurso são uma combinação das etiquetas diretamente anexadas ao mesmo, bem como todas as etiquetas anexadas a todos os antecessores do recurso ao longo da hierarquia.
Quando usar etiquetas com condições da IAM, recomendamos que
crie um valor de etiqueta predefinido seguro para cada chave de etiqueta usada pelas
condições da IAM. Aplique o valor da etiqueta predefinido seguro associando-o à sua organização para que seja herdado por todos os recursos na organização. Altere o valor da etiqueta substituindo explicitamente as associações herdadas nos recursos relevantes. Por exemplo, suponhamos que tem uma condição de IAM que depende do valor da etiqueta on para a chave da etiqueta enforcement e que a chave da etiqueta também tem um valor da etiqueta off.
Associe o valor da etiqueta enforcement: off à organização para criar uma predefinição segura que é herdada por todos os recursos na organização.
Apenas associa o valor da etiqueta enforcement: on aos recursos selecionados na organização.
Em seguida, pode escrever políticas que abordem a chave da etiqueta enforcement, com condições que afetam um recurso se for enforcement: on ou enforcement: off, e um caso seguro se for enforcement: default. Se a chave da etiqueta enforcement for removida de um recurso, o recurso pode herdar o valor da etiqueta enforcement do respetivo recurso principal. Se nenhum recurso principal tiver a chave de etiqueta enforcement, o recurso herda enforcement: default do recurso da organização.
A utilização de uma etiqueta predefinida segura pode ajudar, mas, para evitar comportamentos não intencionais, recomendamos que reveja as etiquetas e as políticas condicionais em vigor antes de mover os seus recursos ou remover etiquetas.
Eliminar chaves e valores de etiquetas
Antes de poder eliminar um valor de etiqueta, tem de eliminar todas as associações de recursos que usam o valor de etiqueta.
Proteger valores de etiquetas contra eliminação
Pode criar uma camada adicional de proteção para os valores das etiquetas associando uma retenção de etiquetas a um valor de etiqueta. Uma retenção de etiqueta, como uma associação de etiqueta, impede que um utilizador elimine o valor da etiqueta.
Alguns recursos criam automaticamente uma retenção de etiquetas em cada valor de etiqueta anexado ao recurso. Esta retenção de etiqueta tem de ser removida antes de poder eliminar o valor da etiqueta.
O que se segue?
- Para mais informações sobre como usar etiquetas, leia a página Criar e gerir etiquetas.
- Para obter informações sobre a utilização de etiquetas com o Compute Engine, consulte o artigo Gerir etiquetas para recursos.
- Para ver informações sobre a utilização de etiquetas seguras para políticas de firewall, consulte o artigo Crie e faça a gestão de etiquetas seguras.