Visão geral sobre tags

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

A hierarquia de recursos do Google Cloud é uma maneira de organizar seus recursos em uma estrutura em árvore. Embora a hierarquia seja útil para gerenciar recursos em escala, ela se limita à modelagem de apenas algumas dimensões de negócios, como estrutura organizacional, regiões, tipos de cargas de trabalho, centros de custo e assim por diante. A hierarquia não possui flexibilidade para agrupar várias dimensões de negócios.

As tags fornecem uma maneira de permitir ou negar políticas condicionalmente se um recurso tiver uma tag específica. Você pode usar tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.

Tags e rótulos

Os rótulos são uma ferramenta separada que permite criar anotações para recursos. A tabela a seguir lista algumas das diferenças entre tags e rótulos:

Tags Identificadores
Estrutura de recursos Chaves de tag, valores de tag e vinculações de tag são recursos discretos Não é um recurso em si, mas metadados para recursos
Definição Definido no nível da organização Definida por cada recurso
Controle de acesso O gerenciamento e a anexação de tags exigem papéis do Identity and Access Management (IAM) O anexo dos rótulos requer papéis do IAM, que variam de acordo com o recurso do serviço
Pré-requisito para anexo A chave e o valor da tag precisam ser definidos antes que uma tag possa ser anexada a um recurso Sem pré-requisitos para anexos
Herança As vinculações de tag são herdadas pelos filhos do recurso na hierarquia do Google Cloud. Não herdado por filhos do recurso
Requisitos de exclusão As tags não poderão ser excluídas se ainda houver vinculações de tag para essa tag. Pode ser removido de um recurso a qualquer momento
Requisitos de nomenclatura Requisitos para valores de tags e chaves de tag Requisitos para rótulos
Tamanho do nome da chave-valor Máximo de 63 caracteres Máximo de 63 caracteres
Compatibilidade com a política do IAM As tags podem ser referenciadas pelas condições da política do IAM. Sem suporte a políticas do IAM
Suporte à política da organização As tags podem ser referenciadas pelas restrições condicionais da Política da Organização. Sem suporte a políticas da organização
Integração com o Cloud Billing Sem integração com o Cloud Billing Filtrar recursos por rótulo na IU do Cloud Billing e exportar os dados do Cloud Billing para o BigQuery

Para mais informações sobre rótulos, consulte Como criar e gerenciar rótulos.

Como criar tags

As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado no recurso da sua organização, e os valores da tag são recursos anexados a uma chave. Por exemplo, uma chave de tag environment com os valores production e development.

Administração de tags

Os administradores podem controlar o uso de tags restringindo quem tem a capacidade de criar, atualizar, excluir e anexar Tags aos recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite o controle refinado das tags em toda a organização.

As tags podem receber uma descrição, que será exibida quando as informações sobre a tag forem recuperadas. Isso é para que quem estiver anexando a tag ao recurso entenda o objetivo dessa tag.

Uma tag só pode ter um valor para uma determinada chave em um recurso específico. Por exemplo, um projeto com a chave de tag environment e o valor production não poderia ter também o valor development para a chave environment.

Políticas e Tags

Use tags com políticas compatíveis para aplicá-las condicionalmente. Torne a presença ou ausência de um valor de tag uma condição para essa política.

Por exemplo, é possível conceder condicionalmente papéis do Gerenciamento de identidade e acesso (IAM) e negar condicionalmente as permissões do IAM com base em se um recurso tem uma tag específica.

Depois de criar uma tag, você pode aplicá-la aos recursos. Em seguida, crie políticas condicionais com base no fato de uma tag estar anexada a um recurso. A política entrará em vigor com base na presença ou ausência das tags anexadas aos recursos.

Para saber como usar tags com o gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controlar o acesso aos recursos do Google Cloud, consulte Tags e controle de acesso.

Herança de tags

Quando um par de chave-valor de tag for anexado a um recurso, ele será herdado por todos os descendentes do recurso. Para impedir que um recurso de nível inferior herde uma tag, aplique uma tag ao recurso de nível inferior que usa um valor diferente para a mesma chave da tag herdada.

Por exemplo, suponha que você aplique a tag environment: development a uma pasta e que ela tenha duas pastas filho chamadas team-a e team-b. Também é possível aplicar uma tag diferente, environment: test, à pasta team-b. Como resultado, os projetos e outros recursos na pasta team-a herdam a tag environment: development e projetos e outros recursos na pasta team-b herdam a tagenvironment: test:

Se você remover a tag environment: test da pasta team-b, essa pasta e os recursos dela herdarão a tag environment: development.

Todas as tags anexadas e herdadas por um recurso são chamadas coletivamente de tags efetivas. As tags efetivas de um recurso são uma combinação das tags diretamente vinculadas a ele, bem como todas as tags anexadas a todos os ancestrais do recurso em toda a hierarquia.

Ao usar tags para gerenciar políticas, é recomendável criar uma tag padrão segura. Isso significa definir uma tag no nível do recurso da organização que será herdada em toda a hierarquia de recursos. Por exemplo, uma chave de tag com o nome curto enforcement e os valores default, on ou off. Se você definir enforcement: default no nível da sua organização, essa tag seria herdada por todos os recursos, a menos que seja substituída em níveis inferiores.

Em seguida, crie políticas que abordem a chave de tag enforcement, com condições que afetariam um recurso se ele fosse enforcement: on ou enforcement: off e um caso seguro se fosse enforcement: default. Se a tag enforcement fosse removida de um recurso, ela herdaria o valor da tag de enforcement do recurso pai. Se nenhum recurso pai tiver a tag enforcement, ele herdaria enforcement: default do recurso da organização.

Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos não intencionais, você precisa revisar as tags e as políticas condicionais aplicadas antes de mover seus recursos ou remover tags.

Como excluir chaves e valores de tags

Ao remover uma chave de tag ou definição de valor, se essa tag estiver anexada a um recurso, a remoção falhará. Você precisa excluir os anexos de tag existentes, chamados de vinculações de tag, antes de excluir a definição da tag em si.

Proteger valores de tags contra exclusão

É possível criar uma camada adicional de proteção para os valores de tags anexando uma retenção de tag a um valor de tag. Uma retenção de tag, como uma vinculação de tag, impede que um usuário exclua o valor da tag.

Alguns recursos criam automaticamente uma retenção de tag para cada valor de tag anexado ao recurso. Esta retenção de tag precisa ser removida antes que o usuário possa excluir o valor da tag.

A seguir

Para obter mais informações sobre como usar tags, leia a página Criando e gerenciando tags.