A hierarquia de recursos do Google Cloud é uma maneira de organizar seus recursos em uma estrutura em árvore. Essa hierarquia ajuda a gerenciar recursos em escala, mas modela somente algumas dimensões de negócios, incluindo estrutura organizacional, regiões, tipos de carga de trabalho e centros de custo. A hierarquia não tem a flexibilidade de agrupar várias dimensões de negócios.
As tags fornecem uma maneira de permitir ou negar políticas condicionalmente, caso um recurso tenha uma tag específica. Você pode usar tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.
Tags e rótulos
Os rótulos são uma forma separada de criar anotações para recursos. A tabela a seguir lista algumas das diferenças entre tags e rótulos:
Tags | Rótulos | |
---|---|---|
Estrutura de recursos | Chaves de tag, valores de tag e vinculações de tag são recursos discretos | Não é um recurso em si, mas metadados para recursos. |
Definição | Definido no nível da organização | definido por cada recurso; |
Controle de acesso | O gerenciamento e o anexo de tags exigem papéis de gerenciamento de identidade e acesso (IAM) | O anexo dos rótulos requer papéis do IAM, que variam de acordo com o recurso do serviço |
Pré-requisito para anexos | A chave e o valor da tag precisam ser definidos antes de uma tag ser anexada a um recurso. | Não há pré-requisitos para o anexo |
Herança | As vinculações de tags são herdadas pelos filhos do recurso na hierarquia do Google Cloud | Não herdados pelos filhos do recurso |
Requisitos de exclusão | As tags só podem ser excluídas se não houver vinculações de tags para essa tag | Pode ser removido de um recurso a qualquer momento |
Requisitos de nomenclatura | Requisitos para valores de tag e chaves de tag | Requisitos para rótulos |
Tamanho do nome da chave/valor | Até 63 caracteres | Até 63 caracteres |
Suporte a políticas do IAM | As tags podem ser referenciadas pelas condições da política do IAM. | Sem suporte a políticas do IAM |
Suporte às políticas da organização | As tags podem ser referenciadas por restrições condicionais da política da organização. | Sem suporte à política da organização |
Integração do Cloud Billing | Execute estornos, auditorias e outras análises de alocação de custos, exporte dados de custo do Cloud Billing para o BigQuery | Filtrar recursos por rótulo no Cloud Billing, exportar dados do Cloud Billing para o BigQuery |
Para mais informações sobre rótulos, consulte Como criar e gerenciar rótulos.
Como criar tags
As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado no recurso da sua organização, e os valores da tag são recursos anexados a uma chave. Por exemplo, uma chave de tag environment
com os valores production
e development
.
Administração de tags
Os administradores podem controlar o uso de tags restringindo quem pode criar, atualizar, excluir e anexar tags aos recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite o controle refinado das tags em toda a organização.
As tags podem receber uma descrição, que será exibida quando as informações sobre a tag forem recuperadas. Essa descrição garante que a pessoa que está anexando a tag ao recurso entenda o propósito dessa tag.
Uma tag só pode ter um valor para uma determinada chave em um recurso específico. Por exemplo, um projeto com a chave de tag environment
e o valor production
não poderia ter também o valor development
para a chave environment
.
Políticas e Tags
Use tags com políticas compatíveis para aplicá-las condicionalmente. Torne a presença ou ausência de um valor de tag uma condição para essa política.
Por exemplo, é possível conceder condicionalmente papéis do Identity and Access Management (IAM) e negar condicionalmente as permissões do IAM com base em se um recurso tem uma tag específica.
Depois de criar uma tag, você poderá aplicá-la aos recursos. Em seguida, crie políticas condicionais com base no fato de uma tag estar anexada a um recurso. A política entrará em vigor com base na presença ou ausência das tags anexadas aos recursos.
Para saber como usar tags com o gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.
Herança de tags
Quando um par de chave-valor da tag é anexado a um recurso, todos os descendentes do recurso herdam a tag. É possível substituir uma tag herdada em um recurso descendente. Para substituir uma tag herdada, aplique uma tag usando a mesma chave da tag herdada, mas use um valor diferente.
Por exemplo, suponha que você aplique a tag environment: development
a uma pasta e que ela tenha duas pastas filho chamadas team-a
e team-b
. Também é possível aplicar uma tag diferente, environment: test
, à pasta team-b
. Como resultado, os projetos e outros recursos na pasta team-a
herdam a tag
environment: development
e projetos e outros recursos na pasta team-b
herdam a tagenvironment: test
:
Se você remover a tag environment: test
da pasta team-b
, essa pasta e os recursos dela herdarão a tag environment: development
.
Todas as tags anexadas e herdadas por um recurso são chamadas coletivamente de tags eficazes. As tags eficazes de um recurso são uma combinação das tags vinculadas diretamente a ele e de todas as tags anexadas a todos os ancestrais do recurso em toda a hierarquia.
Ao usar tags para gerenciar políticas, é recomendável criar uma tag padrão segura.
Isso significa definir uma tag no nível do recurso da organização que será herdada em toda a hierarquia de recursos. Por exemplo, uma chave de tag com o nome curto enforcement
e os valores default
, on
ou off
. Se você definir enforcement: default
no nível da sua organização, essa tag seria herdada por todos os recursos, a menos que seja substituída em níveis inferiores.
Em seguida, crie políticas que abordem a chave de tag enforcement
, com
condições que afetariam um recurso se ele fosse enforcement: on
ou
enforcement: off
e um caso seguro se fosse enforcement: default
. Se a tag enforcement
fosse removida de um recurso, ela herdaria o valor da tag de enforcement
do recurso pai. Se nenhum recurso pai
tiver a tag enforcement
, ele herdaria enforcement: default
do
recurso da organização.
Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos não intencionais, você precisa revisar as tags e as políticas condicionais aplicadas antes de mover seus recursos ou remover tags.
Como excluir chaves e valores de tags
Ao remover uma chave de tag ou definição de valor, se essa tag estiver anexada a um recurso, a remoção falhará. Você precisa excluir os anexos de tag existentes, chamados de vinculações de tag, antes de excluir a definição da tag em si.
Proteção dos valores da tag contra exclusão
Crie uma camada extra de proteção para os valores de tag anexando uma retenção de tag a um valor de tag. Uma retenção de tag, como uma vinculação de tags, impede que um usuário exclua o valor da tag.
Alguns recursos criam automaticamente uma retenção de tag em cada valor de tag anexado ao recurso. Essa retenção de tag precisa ser removida antes que o usuário possa excluir o valor da tag.
A seguir
Para obter mais informações sobre como usar tags, leia a página Criando e gerenciando tags.