Visão geral sobre tags

A hierarquia de recursos do Google Cloud é uma maneira de organizar seus recursos em uma estrutura em árvore. Embora a hierarquia seja útil para gerenciar recursos em escala, ela se limita à modelagem de apenas algumas dimensões de negócios, como estrutura organizacional, regiões, tipos de cargas de trabalho, centros de custo e assim por diante. A hierarquia não possui flexibilidade para agrupar várias dimensões de negócios.

As tags fornecem uma maneira de permitir ou negar políticas condicionalmente se um recurso tiver uma tag específica. Você pode usar tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.

Os rótulos são uma ferramenta separada que permite criar anotações para recursos. Para saber mais, consulte Como criar e gerenciar rótulos.

Como criar tags

As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado no recurso da sua organização, e os valores da tag são recursos anexados a uma chave. Por exemplo, uma chave de tag "ambiente" com os valores "produção" e "desenvolvimento".

Administração de tags

Os administradores podem controlar o uso de tags restringindo quem tem a capacidade de criar, atualizar, excluir e anexar Tags aos recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite o controle refinado das tags em toda a organização.

As tags podem receber uma descrição, que será exibida quando as informações sobre a tag forem recuperadas. Isso é para que quem estiver anexando a tag ao recurso entenda o objetivo dessa tag.

Uma tag só pode ter um valor para uma determinada chave em um recurso específico. Por exemplo, um projeto com a chave de tag environment e o valor production não poderia ter também o valor development para a chave environment.

Políticas e Tags

Use tags com políticas compatíveis para aplicá-las condicionalmente. Torne a presença ou ausência de um valor de tag uma condição para essa política.

Por exemplo, é possível conceder condicionalmente papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) com base no fato de um recurso ter uma tag específica.

Depois de criar uma tag, você pode aplicá-la aos recursos. Em seguida, crie políticas condicionais com base no fato de uma tag estar anexada a um recurso. A política entrará em vigor com base na presença ou ausência das tags anexadas aos recursos.

Para saber como usar tags com o gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.

Herança de tags

Quando um par de chave-valor de tag for anexado a um recurso, ele será herdado por todos os descendentes do recurso. Para impedir que um recurso de nível inferior herde uma tag, aplique uma tag ao recurso de nível inferior que usa um valor diferente para a mesma chave da tag herdada.

Por exemplo, suponha que você aplique a tag environment: dev a uma pasta e que ela tenha duas pastas filho chamadas team-a e team-b. Também é possível aplicar uma tag diferente, environment: test, à pasta team-b. Como resultado, os projetos e outros recursos na pasta team-a herdam a tag environment: dev e projetos e outros recursos na pasta team-b herdam a tagenvironment: test:

Se você remover a tag environment: test da pasta team-b, essa pasta e os recursos dela herdarão a tag environment: dev.

Ao usar tags para gerenciar políticas, é recomendável criar uma tag padrão segura. Isso significa definir uma tag no nível do recurso da organização que será herdada em toda a hierarquia de recursos. Por exemplo, uma chave de tag com o nome curto enforcement e os valores default, on ou off. Se você definir enforcement: default no nível da sua organização, essa tag seria herdada por todos os recursos, a menos que seja substituída em níveis inferiores.

Em seguida, crie políticas que abordem a chave de tag enforcement, com condições que afetariam um recurso se ele fosse enforcement: on ou enforcement: off e um caso seguro se fosse enforcement: default. Se a tag enforcement fosse removida de um recurso, ela herdaria o valor da tag de enforcement do recurso pai. Se nenhum recurso pai tiver a tag enforcement, ele herdaria enforcement: default do recurso da organização.

Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos não intencionais, você precisa revisar as tags e as políticas condicionais aplicadas antes de mover seus recursos ou remover tags.

Como excluir chaves e valores de tags

Ao remover uma chave de tag ou definição de valor, se essa tag estiver anexada a um recurso, a remoção falhará. Você precisa excluir os anexos de tag existentes, chamados de vinculações de tag, antes de excluir a definição da tag em si.

A seguir

Para obter mais informações sobre como usar tags, leia a página Criando e gerenciando tags.