Gestionar etiquetas de recursos

En esta guía se describe cómo crear y gestionar etiquetas de recursos de Compute Engine. Una etiqueta es un par clave-valor que se puede adjuntar a un Google Cloud recurso. Las etiquetas se usan con varios fines, entre los que se incluyen los siguientes:

  • Permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica.
  • Define orígenes y destinos en las políticas de cortafuegos de red globales y regionales.
  • Organizar los recursos de forma lógica.

Después de crear una etiqueta y conceder el acceso adecuado tanto a la etiqueta como al recurso, puedes adjuntar la etiqueta como un par clave-valor. Solo puedes asociar un valor a un recurso para una clave determinada. Por ejemplo, si adjunta la etiqueta environment: development, no podrá adjuntar las etiquetas environment: production ni environment: test. Cada recurso puede tener un máximo de 50 pares clave-valor asociados.

Para adjuntar etiquetas a los recursos, debes crear un recurso TagBinding que vincule el valor de la etiqueta al recurso. Google Cloud Para obtener más información sobre las etiquetas y cómo funcionan, consulta el documento Descripción general de las etiquetas.

Antes de empezar

  • Consulta el resumen de etiquetas en la documentación de Resource Manager.
  • Consulta el artículo Crear y gestionar etiquetas de la documentación de Resource Manager.
  • Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    2. Set a default region and zone.

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Roles obligatorios

Para obtener los permisos que necesitas para crear y gestionar etiquetas de recursos de Compute Engine, pide a tu administrador que te asigne los siguientes roles de gestión de identidades y accesos en tu organización o proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear y gestionar etiquetas de recursos de Compute Engine. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para crear y gestionar etiquetas de recursos de Compute Engine, se necesitan los siguientes permisos:

  • Ver etiquetas:
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.tagValues.list
    • resourcemanager.tagValues.get
    • compute.instances.listTagBindings
    • compute.instances.listEffectiveTags
    • resourcemanager.projects.get
  • Crea etiquetas:
    • resourcemanager.tagKeys.create
    • resourcemanager.tagValues.create
    • resourcemanager.tagKeys.setIamPolicy
    • resourcemanager.tagValues.setIamPolicy
  • Gestionar etiquetas:
    • resourcemanager.tagKeys.update
    • resourcemanager.tagValues.update
    • resourcemanager.tagKeys.delete
    • resourcemanager.tagValues.delete
    • resourcemanager.tagKeys.getIamPolicy
    • resourcemanager.tagValues.getIamPolicy
    • resourcemanager.tagKeys.setIamPolicy
    • resourcemanager.tagValues.setIamPolicy
  • Añade o quita etiquetas de una instancia de proceso:
    • compute.instances.createTagBinding
    • compute.instances.deleteTagBinding
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Recursos compatibles

Compute Engine admite el etiquetado de los siguientes recursos:

  • Solo después de crear el recurso:

    • Grupos de instancias gestionados
    • Imágenes
    • Capturas
    • La mayoría de los recursos de red, como los recursos de red, subred, cortafuegos y comprobación de estado.

  • Durante y después de la creación de recursos: instancias de máquina virtual (VM) y discos

Añadir etiquetas a un recurso

Puede adjuntar etiquetas a determinados recursos. Una vez creado el recurso, adjunta etiquetas a ese recurso siguiendo estas instrucciones.

Consola

Los pasos exactos pueden variar en función del tipo de recurso. Por ejemplo, los siguientes pasos asocian una etiqueta a una VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la VM a la que quieras añadir etiquetas.

  4. En la página de detalles de la instancia de VM, sigue estos pasos:

    1. Haz clic en Editar.
    2. En la sección Información básica, haga clic en Gestionar etiquetas y añada las etiquetas que quiera para la instancia.
    3. Haz clic en Guardar.

gcloud

Para obtener información sobre cómo usar estas marcas, consulta el artículo Asignar etiquetas a recursos de la documentación de Resource Manager.

Por ejemplo, el siguiente comando adjunta una etiqueta a una VM:

gcloud resource-manager tags bindings create \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Haz los cambios siguientes:

  • LOCATION_NAME: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de máquina virtual.
  • TAGVALUE_ID: el ID numérico del valor de la etiqueta.
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.
  • VM_ID: el ID de la instancia de VM

REST

Para adjuntar una etiqueta a un recurso, primero debe crear una representación JSON de un enlace de etiqueta que incluya el ID permanente o el nombre del espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de un enlace de etiqueta, consulta la referencia de tagBindings.

Para asociar la etiqueta a un recurso zonal, como una instancia de VM, usa el método tagBindings.create con el endpoint regional en el que se encuentre el recurso. Por ejemplo:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

El cuerpo de la solicitud puede ser una de las dos opciones siguientes:

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Haz los cambios siguientes:

  • LOCATION_NAME: la región que contiene el recurso de destino. En este ejemplo, la región de la instancia de VM.
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: la zona que contiene el recurso de destino. En este ejemplo, la zona de la instancia de VM.
  • VM_ID: el ID de la instancia de VM
  • TAGVALUE_ID: el ID permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123
  • TAGVALUE_NAMESPACED_NAME: el nombre del espacio de nombres de la etiqueta valor que se adjunta y tiene el siguiente formato: parentNamespace/tagKeyShortName/tagValueShortName

Añadir etiquetas a un recurso durante la creación del recurso

En algunos casos, puede que quieras etiquetar recursos durante la creación de recursos, en lugar de hacerlo después.

Consola

Los pasos exactos pueden variar en función del tipo de recurso. Sigue estos pasos para una máquina virtual:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. Haz clic en Crear instancia. Aparecerá la página Crear una instancia y se mostrará el panel Configuración de la máquina.

  4. En el menú de navegación, haz clic en Opciones avanzadas. En el panel Avanzado que aparece, haz lo siguiente:

    1. Despliega la sección Gestionar etiquetas
    2. Haz clic en Añadir etiquetas.
    3. En el panel Etiquetas que se abre, siga las instrucciones para añadir una etiqueta a la instancia.
    4. Haz clic en Guardar.

  5. Especifica otras opciones de configuración para tu instancia. Para obtener más información, consulta Opciones de configuración durante la creación de instancias.

  6. Para crear e iniciar la VM, haz clic en Crear.

gcloud

Para adjuntar una etiqueta a un recurso durante la creación del recurso, añade la marca --resource-manager-tags con el comando create correspondiente. Por ejemplo, para adjuntar una etiqueta a una máquina virtual, usa el siguiente comando:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Haz los cambios siguientes:

  • INSTANCE_NAME: el nombre de tu instancia de VM
  • ZONE: la zona que contiene la instancia de VM
  • TAGKEY_ID: el ID numérico de la clave de la etiqueta
  • TAGVALUE_ID: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123.

Para especificar varias etiquetas, sepáralas con comas. Por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Envía una solicitud POST a la siguiente URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Incluye el siguiente cuerpo JSON de la solicitud:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Haz los cambios siguientes:

  • INSTANCE_NAME: el nombre de tu instancia de VM
  • TAGKEY_ID: el ID numérico de la clave de la etiqueta
  • TAGVALUE_ID: el ID numérico permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: 4567890123.

Usar etiquetas con reglas de cortafuegos

Para habilitar de forma segura el tráfico de red a una instancia de Compute Engine específica, puedes aplicar una etiqueta de red o una etiqueta segura a la instancia. Después, puedes crear una regla de cortafuegos que tenga como destino esa etiqueta. Esto resulta útil para gestionar el acceso a tus instancias a gran escala.

Por ejemplo, supongamos que tienes una instancia de computación que ejecuta un servidor web y has creado una nueva aplicación web a la que debe poder acceder el público a través del puerto HTTP estándar (80). Puedes usar una red o una etiqueta segura para implementar una regla de firewall que conceda acceso HTTP solo a la instancia de proceso en la que se ejecuta el servidor web.

Para obtener instrucciones sobre cómo crear etiquetas que se puedan usar en políticas de cortafuegos, consulta lo siguiente:

  • Para usar etiquetas de red con reglas de cortafuegos de VPC, consulta Añadir etiquetas de red.
  • Para usar etiquetas seguras con políticas de cortafuegos de jerarquía, políticas de cortafuegos de red globales y regionales, o con orígenes conectados mediante el emparejamiento entre redes de VPC, consulta Crear y gestionar etiquetas seguras.

Para obtener información sobre si debes usar cuentas de servicio o etiquetas de red para definir los destinos y las fuentes de las reglas de entrada de red, consulta Filtrar por cuenta de servicio o por etiqueta de red.

Desasociar una etiqueta de un recurso

Para separar una etiqueta de un recurso, elimina el recurso de vinculación de etiquetas.

Para consultar las instrucciones sobre cómo desvincular etiquetas, consulta el artículo Desvincular una etiqueta de un recurso de la documentación de Resource Manager.

Consola

Los pasos exactos pueden variar en función del tipo de recurso. Por ejemplo, sigue estos pasos para separar una etiqueta de una VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la instancia de la que quieras quitar etiquetas.

  4. En la página de detalles de la instancia de VM, sigue estos pasos:

    1. Haz clic en Editar.
    2. En el caso de las etiquetas del gestor de recursos, en la sección Información básica, haga clic en Gestionar etiquetas. Quita las etiquetas que quieras de la instancia. Solo puedes quitar las etiquetas que se hayan añadido directamente a la instancia.
    3. En el caso de las etiquetas de red, vaya a la sección Redes y quite la etiqueta de la lista Etiquetas de red.
    4. Haz clic en Guardar.

gcloud

Para desvincular una etiqueta de una instancia de computación, usa el comando resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --location LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

Haz los cambios siguientes:

  • LOCATION_NAME: la zona del recurso de destino, como us-central1-a
  • TAGVALUE_ID: el ID numérico de la clave de etiqueta
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: el nombre de la zona, como us-central1-a
  • INSTANCE_ID: ID numérico de la instancia de proceso

Para actualizar o sustituir un enlace de etiqueta por otro, desvincula el antiguo y vincula el nuevo.

REST

Para eliminar un enlace de etiqueta asociado a un recurso, como una instancia de computación, usa el método tagBindings.delete con el endpoint regional en el que se encuentre el recurso.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Haz los cambios siguientes:

  • LOCATION: el endpoint regional de tu recurso. Por ejemplo, us-central1
  • TAGBINDINGS_NAME: el ID permanente de TagBinding; por ejemplo: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456

Ver las etiquetas asociadas a un recurso

Para consultar instrucciones detalladas sobre cómo enumerar etiquetas, consulte el artículo Listar todas las etiquetas asociadas a un recurso de la documentación de Resource Manager.

Consola

Los pasos exactos pueden variar en función del tipo de recurso. Por ejemplo, en los siguientes pasos se muestra cómo ver las etiquetas de una máquina virtual:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la VM cuyas etiquetas quieras ver.

  4. En la página de detalles de la instancia de VM, busca las etiquetas en la sección Etiquetas.

gcloud

Para obtener una lista de enlaces de etiquetas directamente asociados a un recurso, usa el comando gcloud resource-manager tags bindings list. Si añade la marca --effective, también se devolverá una lista de etiquetas heredadas por este recurso. Por ejemplo:

gcloud resource-manager tags bindings list \
    --location=LOCATION_NAME \
    --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID

Haz los cambios siguientes:

  • LOCATION_NAME: la zona del recurso de destino, como us-central1-a
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino
  • ZONE: el nombre de la zona, como us-central1-a
  • VM_ID: ID numérico de la instancia de VM

Si añade la marca --effective al comando tags bindings list, también se devolverá una lista de todas las etiquetas heredadas por este recurso.

El resultado debería ser similar al siguiente:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si todas las etiquetas evaluadas en un recurso están asociadas directamente, el campo inherited tiene el valor false y se omite.

REST

Para enumerar las vinculaciones de etiquetas asociadas a un recurso regional, como las instancias de Compute Engine, usa el método tagBindings.list con el endpoint regional en el que se encuentra el recurso. Por ejemplo:

GET https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID"
}

Haz los cambios siguientes:

  • LOCATION_NAME: la región del recurso de destino, como us-central1
  • PROJECT_NUMBER: el ID numérico de tu proyecto que contiene el recurso de destino.
  • ZONE: el nombre de la zona, como us-central1-a
  • VM_ID: ID numérico de la instancia de VM

Siguientes pasos