Esta página foi traduzida pela API Cloud Translation.
Switch to English

Visão geral das tags

A hierarquia de recursos do Google Cloud é uma maneira de organizar seus recursos em uma estrutura em árvore. Embora a hierarquia seja útil para gerenciar recursos em escala, ela se limita à modelagem de apenas algumas dimensões de negócios, como estrutura organizacional, regiões, tipos de cargas de trabalho, centros de custo e assim por diante. A hierarquia não possui flexibilidade para agrupar várias dimensões de negócios.

Com as tags, é possível permitir ou negar condicionalmente políticas com base no fato de um recurso ter uma tag específica. Use tags e a aplicação condicional de políticas para ter um controle refinado na hierarquia de recursos.

Como criar tags

As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado no recurso da sua organização, e os valores da tag são recursos anexados a uma chave. Por exemplo, uma chave de tag "environment" com valores "production" e "development".

Administração de tags

Os administradores podem controlar o uso de tags restringindo quem tem a capacidade de criar, atualizar, excluir e anexar tags a recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite um controle minucioso de tags em toda a organização.

As tags podem ser fornecidas uma descrição, que será exibida quando as informações sobre a tag forem recuperadas. Dessa forma, qualquer pessoa que anexe a tag ao recurso entenderá a finalidade dessa tag.

Uma tag só pode ter um valor para uma determinada chave em um recurso específico. Por exemplo, um projeto com a chave de tag environment e o valor production não pode ter também o valor development para a chave environment.

Políticas e tags

É possível usar tags com políticas compatíveis com elas para aplicar condicionalmente essas políticas. É possível tornar a presença ou a ausência de um valor de tag a condição dessa política.

Por exemplo, é possível conceder papéis condicionalmente o gerenciamento de identidade e acesso (IAM, na sigla em inglês) com base no recurso para uma tag específica.

Depois de criar uma tag, você pode aplicá-la aos recursos. Também é possível criar políticas condicionais com base no fato de uma tag estar anexada a um recurso. A política entrará em vigor com base na presença ou ausência de tags anexadas aos recursos.

Para ver como usar tags com o Identity and Access Management (IAM) para ajudar a controlar o acesso aos seus recursos do Google Cloud, consulte Tags e controle de acesso.

Herança de tags

Quando um par de chave-valor de tag é anexado a um recurso, ele é herdado por todos os descendentes do recurso. Para evitar que um recurso de nível inferior herde uma tag, aplique uma tag ao recurso de nível inferior que usa um valor diferente para a mesma chave da tag herdada.

Por exemplo, suponha que você aplique a tag environment: dev a uma pasta e que ela tenha duas pastas filho chamadas team-a e team-b. Também é possível aplicar uma tag diferente, environment: test, à pasta team-b. Como resultado, os projetos e outros recursos na pasta team-a herdam a tag environment: dev e projetos e outros recursos na pasta team-b herdam a tagenvironment: test:

Se você remover a tag environment: test da pasta team-b, essa pasta e os recursos dela herdarão a tag environment: dev.

Ao usar tags para gerenciar políticas, recomendamos que você crie uma tag padrão segura. Isso significa definir uma tag no nível do recurso da organização que será herdada em toda a hierarquia de recursos. Por exemplo, uma chave de tag com o nome curto enforcement e valores default, on ou off. Se você definir enforcement: default no nível da organização, essa tag será herdada por todos os recursos, a menos que seja modificada em níveis mais baixos.

Escreva políticas que abordem a chave da tag enforcement, com condições que afetariam um recurso se ele fosse enforcement: on ou enforcement: off, e um caso seguro se fosse enforcement: default. Se a tag enforcement já tiver sido removida de um recurso, ela herdará o valor da tag enforcement do recurso pai. Se nenhum recurso pai tiver a tag enforcement, ele herdará enforcement: default do recurso da organização.

Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos indesejados, revise as tags e políticas condicionais antes de mover os recursos ou remover tags.

Como excluir chaves e valores de tag

Ao remover uma chave de tag ou uma definição de valor, se essa tag estiver anexada a um recurso, a remoção falhará. Exclua os anexos de tags atuais, chamados vinculações de tags, antes de excluir a própria definição de tag.

A seguir

Para mais informações sobre como usar tags, leia a página Como criar e gerenciar tags.