Crear y gestionar etiquetas

En esta guía se describe cómo crear y gestionar etiquetas. Una etiqueta es un par clave-valor que se puede adjuntar a un Google Cloud recurso. Puedes usar etiquetas para permitir o denegar políticas de forma condicional en función de si un recurso admitido tiene una etiqueta específica.

Antes de empezar

Para obtener más información sobre qué son las etiquetas y cómo funcionan, consulta el artículo Descripción general de las etiquetas.

Permisos obligatorios

Los permisos que necesitas dependen de la acción que quieras realizar.

Para obtener estos permisos, pide a tu administrador que te asigne el rol sugerido en el nivel adecuado de la jerarquía de recursos.

Ver etiquetas

Para ver las definiciones de etiquetas y las etiquetas que están asociadas a recursos, necesitas el rol Lector de etiquetas (roles/resourcemanager.tagViewer) u otro rol que incluya los siguientes permisos:

Permisos obligatorios

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • listTagBindings del tipo de recurso correspondiente. Por ejemplo, compute.instances.listTagBindings para ver las etiquetas asociadas a las instancias de Compute Engine.
  • listEffectiveTags
    • para el tipo de recurso adecuado. Por ejemplo, compute.instances.listEffectiveTags para ver todas las etiquetas asociadas a las instancias de Compute Engine o heredadas por ellas.

Para ver las etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.

Administrar etiquetas

Para crear, actualizar y eliminar definiciones de etiquetas, necesitas el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) u otro rol que incluya los siguientes permisos:

Permisos obligatorios

  • resourcemanager.tagKeys.create
  • resourcemanager.tagKeys.update
  • resourcemanager.tagKeys.delete
  • resourcemanager.tagKeys.list
  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.getIamPolicy
  • resourcemanager.tagKeys.setIamPolicy
  • resourcemanager.tagValues.create
  • resourcemanager.tagValues.update
  • resourcemanager.tagValues.delete
  • resourcemanager.tagValues.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.getIamPolicy
  • resourcemanager.tagValues.setIamPolicy

Para administrar etiquetas a nivel de organización, debes tener el rol Lector de organización (roles/resourcemanager.organizationViewer) en el recurso de organización.

Gestionar etiquetas en recursos

Para añadir y quitar etiquetas asociadas a recursos, necesitas el rol Usuario de etiquetas (roles/resourcemanager.tagUser) u otro rol con permisos equivalentes en el valor de etiqueta y en los recursos a los que vas a asociar el valor de etiqueta. El rol Etiquetar usuario incluye los siguientes permisos:

Permisos obligatorios

  • Permisos necesarios para el recurso al que vas a adjuntar el valor de la etiqueta
    • Permiso createTagBinding específico de un recurso, como compute.instances.createTagBinding para las instancias de Compute Engine.
    • Permiso deleteTagBinding específico de un recurso, como compute.instances.deleteTagBinding para las instancias de Compute Engine.
  • Permisos necesarios para el valor de la etiqueta:
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete
  • Permisos que te permiten ver proyectos y definiciones de etiquetas:
    • resourcemanager.tagValues.get
    • resourcemanager.tagValues.list
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.projects.get

Crear y definir una etiqueta

Las etiquetas se componen de un par clave-valor y se adjuntan a un recurso de tu Google Cloud jerarquía. Para crear una etiqueta, primero debe crear una clave de etiqueta que describa la etiqueta que va a crear. Por ejemplo, puede especificar entornos de producción, prueba y desarrollo para los recursos de su jerarquía de recursos creando una clave con el nombre environment.

Después, puedes crear los distintos valores que puede tener la clave. Si ha creado una clave de etiqueta llamada environment, puede especificar que hay tres entornos posibles y crear un valor para cada uno: production, development y test.

Puedes crear un máximo de 1000 claves en una organización o un proyecto determinados, y se pueden crear un total de 1000 valores para cada clave.

Por último, puede asociar estos valores a los recursos de su jerarquía, lo que conlleva la asociación del par clave-valor. Por ejemplo, puedes adjuntar test a varias carpetas de entornos de prueba de tu organización y cada una de ellas tendrá el par clave-valor environment: test.

Crear una etiqueta

Para empezar, debes crear una clave de etiqueta.

El shortName de la clave de la etiqueta puede tener una longitud máxima de 256 caracteres. El conjunto de caracteres permitidos para shortName incluye caracteres Unicode codificados en UTF-8, excepto las comillas simples ('), las comillas dobles ("), las barras invertidas (\) y las barras (/).

Una vez que se ha creado el shortName, no se puede cambiar y debe ser único en el mismo espacio de nombres.

Consola

Para crear una clave de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto en el que quiera crear una clave de etiqueta.

  3. Haz clic en Crear.

  4. En el cuadro Clave de etiqueta, introduce el nombre visible de la clave de etiqueta. Este se convierte en parte del nombre con espacio de nombres de tu etiqueta.

  5. En el cuadro Descripción de la clave de etiqueta, introduce una descripción de la clave de etiqueta.

  6. Si quiere añadir valores de etiqueta a esta clave, haga clic en Añadir valor por cada valor de etiqueta que quiera crear.

  7. En el cuadro Valor de la etiqueta, introduzca el nombre visible del valor de la etiqueta. Este se convierte en parte del nombre con espacio de nombres de tu etiqueta.

  8. En el cuadro Descripción del valor de la etiqueta, introduce una descripción del valor de la etiqueta.

  9. Cuando haya terminado de añadir valores de etiqueta, haga clic en Crear clave de etiqueta.

gcloud

Para crear una clave de etiqueta, usa el gcloud resource-manager tags keys create comando:

gcloud resource-manager tags keys create SHORT_NAME \
    --parent=RESOURCE_ID

Donde:

  • SHORT_NAME es el nombre visible de la clave de su etiqueta. Por ejemplo, environment.

  • RESOURCE_ID es el ID del recurso de organización o proyecto principal de esta clave de etiqueta. Por ejemplo: organizations/123456789012, projects/test-project123 o projects/234567890123. Para saber cómo obtener el ID de tu organización, consulta el artículo Crear y gestionar organizaciones. Para saber cómo obtener el ID de tu proyecto, consulta el artículo Crea y gestiona proyectos.

Deberías obtener una respuesta similar a la siguiente:

Creating tag key environment in organization 1234567890...
<blocking wait until creation completes>
name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

Terraform

Usa el recurso google_tags_tag_key.

Antes de crear claves de etiquetas con Terraform, habilita la API Cloud Resource Manager.

En el siguiente ejemplo, se crean claves de etiqueta llamadas env y department:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department"
}

Para aplicar la configuración de Terraform en un proyecto, sigue los pasos que se indican en las siguientes secciones. Google Cloud

Preparar Cloud Shell

  1. Abre Cloud Shell.

  2. Define el Google Cloud proyecto Google Cloud predeterminado en el que quieras aplicar tus configuraciones de Terraform.

    Solo tiene que ejecutar este comando una vez por proyecto y puede hacerlo en cualquier directorio.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Las variables de entorno se anulan si defines valores explícitos en el archivo de configuración de Terraform.

Preparar el directorio

Cada archivo de configuración de Terraform debe tener su propio directorio (también llamado módulo raíz).

  1. En Cloud Shell, crea un directorio y un archivo nuevo en ese directorio. El nombre del archivo debe tener la extensión .tf. Por ejemplo, main.tf. En este tutorial, nos referiremos al archivo como main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Si estás siguiendo un tutorial, puedes copiar el código de ejemplo de cada sección o paso.

    Copia el código de ejemplo en el archivo main.tf que acabas de crear.

    También puedes copiar el código de GitHub. Se recomienda cuando el fragmento de Terraform forma parte de una solución integral.

  3. Revisa y modifica los parámetros de ejemplo para aplicarlos a tu entorno.
  4. Guarda los cambios.
  5. Inicializa Terraform. Solo tienes que hacerlo una vez por directorio. 
    terraform init

    Si quieres usar la versión más reciente del proveedor de Google, incluye la opción -upgrade: 

    terraform init -upgrade

Aplica los cambios

  1. Revisa la configuración y comprueba que los recursos que va a crear o actualizar Terraform se ajustan a tus expectativas: 
    terraform plan

    Haga las correcciones necesarias en la configuración.

  2. Aplica la configuración de Terraform ejecutando el siguiente comando e introduciendo yes en la petición: 
    terraform apply

    Espera hasta que Terraform muestre el mensaje "Apply complete!".

  3. Abre tu Google Cloud proyecto para ver los resultados. En la Google Cloud consola, ve a tus recursos en la interfaz de usuario para asegurarte de que Terraform los ha creado o actualizado.

API

Para crear una clave de etiqueta, crea una representación JSON de la clave. Para obtener más información sobre el formato de una clave de etiqueta, consulta la referencia de TagKey.

A continuación, usa el método tagKeys.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagKeys/ -d

Cuerpo JSON de la solicitud:

{
    "parent": RESOURCE_ID,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Donde:

  • SHORT_NAME es el nombre visible de la clave de su etiqueta. Por ejemplo, environment.

  • RESOURCE_ID es el ID del recurso de organización o proyecto principal de esta clave de etiqueta. Por ejemplo: organizations/123456789012, projects/test-project123 o projects/234567890123. Para saber cómo obtener el ID de tu organización, consulta el artículo Crear y gestionar organizaciones. Para saber cómo obtener el ID de tu proyecto, consulta el artículo Crea y gestiona proyectos.

  • DESCRIPTION es una descripción de la clave que no puede superar los 256 caracteres.

Una vez que haya creado la clave, podrá encontrar el nombre visible único y legible por humanos, denominado namespacedName, que está en el espacio de nombres de su recurso principal, y un ID permanente único a nivel global, denominado name.

Ver una clave de etiqueta

Puede encontrar información sobre una clave de etiqueta concreta mediante el ID permanente o el nombre con espacio de nombres que se muestra cuando la creó.

Consola

Para ver una etiqueta creada, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto que contenga la etiqueta.

  3. En la lista se muestran todas las etiquetas de la organización o el proyecto seleccionados. Haga clic en la etiqueta de la que quiera ver la clave.

gcloud

Para mostrar la información relacionada con una clave de etiqueta determinada, usa el comando gcloud resource-manager tags keys describe:

gcloud resource-manager tags keys describe TAGKEY_NAME

TAGKEY_NAME es el ID permanente o el nombre con espacio de nombres de la clave de etiqueta de la que quieres mostrar información. Por ejemplo, tagKeys/123456789012 o project-id/environment.

Deberías obtener una respuesta similar a la siguiente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
parent: organizations/123456789012

API

Para mostrar la información relacionada con una clave de etiqueta determinada, usa el método tagKeys.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEY_NAME}

TAGKEY_NAME es el ID permanente de la clave de etiqueta de la que quieres mostrar información. Por ejemplo: tagKeys/123456789012.

Para mostrar la información relacionada con una clave de etiqueta determinada mediante su nombre con espacio de nombres, usa el método tagKeys.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys/namespaced?name={TAGKEY_NAMESPACED_NAME}

TAGKEY_NAMESPACED_NAME es el nombre con espacio de nombres de la clave de la etiqueta y tiene el formato parentNamespace/tagKeyShortName.

Añadir valores de etiquetas

Una vez que hayas creado una clave de etiqueta, podrás añadir valores aceptados para la clave.

El valor de la etiqueta shortName debe cumplir los siguientes requisitos:

  • Un shortName puede tener una longitud máxima de 256 caracteres.

  • Un shortName debe empezar con un carácter alfanumérico.

  • Una shortName puede contener caracteres Unicode codificados en UTF-8, excepto comillas simples ('), comillas dobles ("), barras invertidas (\) y barras (/).

  • Un shortName no se puede cambiar una vez creado y debe ser único en el mismo espacio de nombres.

Consola

Para crear un valor de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto en el que quiera crear un valor de etiqueta.

  3. En la lista de etiquetas, haga clic en la etiqueta a la que quiera añadir un nuevo valor.

  4. Haz clic en Añadir valor.

  5. En el cuadro Valor de la etiqueta, introduzca el nombre visible del valor de la etiqueta. Este se convierte en parte del nombre con espacio de nombres de tu etiqueta.

  6. En el cuadro Descripción del valor de la etiqueta, introduce una descripción del valor de la etiqueta.

  7. Haz clic en Guardar.

gcloud

Para crear un valor de etiqueta, usa el comando gcloud resource-manager tags values create. Debes especificar la clave con la que se crea este valor:

gcloud resource-manager tags values create TAGVALUE_SHORTNAME \
    --parent=TAGKEY_NAME

Donde:

  • TAGVALUE_SHORTNAME es el nombre abreviado del nuevo valor de la etiqueta; por ejemplo, production.

  • TAGKEY_NAME es el ID permanente o el nombre con espacio de nombres de la clave de la etiqueta superior. Por ejemplo: tagKeys/4567890123.

Deberías obtener una respuesta similar a la siguiente:

Creating tag value production in tag key 123456789012/environment...
<blocking wait until creation completes>
name: tagValues/7890123456
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

Terraform

Usa el recurso google_tags_tag_value.

Antes de crear valores de etiqueta con Terraform, habilita la API Cloud Resource Manager.

En el siguiente ejemplo se crean valores de etiqueta llamados prod y sales:

data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env1"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department1"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

Para aplicar la configuración de Terraform en un proyecto, sigue los pasos que se indican en las siguientes secciones. Google Cloud

Preparar Cloud Shell

  1. Abre Cloud Shell.

  2. Define el Google Cloud proyecto Google Cloud predeterminado en el que quieras aplicar tus configuraciones de Terraform.

    Solo tiene que ejecutar este comando una vez por proyecto y puede hacerlo en cualquier directorio.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Las variables de entorno se anulan si defines valores explícitos en el archivo de configuración de Terraform.

Preparar el directorio

Cada archivo de configuración de Terraform debe tener su propio directorio (también llamado módulo raíz).

  1. En Cloud Shell, crea un directorio y un archivo nuevo en ese directorio. El nombre del archivo debe tener la extensión .tf. Por ejemplo, main.tf. En este tutorial, nos referiremos al archivo como main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Si estás siguiendo un tutorial, puedes copiar el código de ejemplo de cada sección o paso.

    Copia el código de ejemplo en el archivo main.tf que acabas de crear.

    También puedes copiar el código de GitHub. Se recomienda cuando el fragmento de Terraform forma parte de una solución integral.

  3. Revisa y modifica los parámetros de ejemplo para aplicarlos a tu entorno.
  4. Guarda los cambios.
  5. Inicializa Terraform. Solo tienes que hacerlo una vez por directorio. 
    terraform init

    Si quieres usar la versión más reciente del proveedor de Google, incluye la opción -upgrade: 

    terraform init -upgrade

Aplica los cambios

  1. Revisa la configuración y comprueba que los recursos que va a crear o actualizar Terraform se ajustan a tus expectativas: 
    terraform plan

    Haga las correcciones necesarias en la configuración.

  2. Aplica la configuración de Terraform ejecutando el siguiente comando e introduciendo yes en la petición: 
    terraform apply

    Espera hasta que Terraform muestre el mensaje "Apply complete!".

  3. Abre tu Google Cloud proyecto para ver los resultados. En la Google Cloud consola, ve a tus recursos en la interfaz de usuario para asegurarte de que Terraform los ha creado o actualizado.

API

Para crear un valor de etiqueta, crea una representación JSON del valor. Para obtener más información sobre el formato de un valor de etiqueta, consulte la referencia de TagValue.

A continuación, usa el método tagValues.create:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/ -d

Cuerpo JSON de la solicitud:

{
    "parent": TAGKEY_NAME,
    "shortName": SHORT_NAME,
    "description": DESCRIPTION,
}

Donde:

  • TAGKEY_NAME es el ID permanente de la clave de la etiqueta principal; por ejemplo:tagKeys/4567890123.

  • SHORT_NAME es el nombre visible del valor de la etiqueta. Por ejemplo, environment.

  • DESCRIPTION es una descripción del valor que no puede tener más de 256 caracteres. Una vez que haya creado el valor, podrá encontrar el nombre visible único legible por humanos, denominado namespacedName, que está en el espacio de nombres de su recurso principal, y un ID permanente único global, denominado name.

Obtener valores de etiquetas

Puede encontrar información sobre un valor de etiqueta concreto mediante el ID permanente o el nombre con espacio de nombres que se muestra cuando lo crea.

Consola

Para ver una etiqueta creada, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto que contenga la etiqueta.

  3. Todas las etiquetas que haya creado en esta organización o proyecto aparecerán en la lista. Haga clic en la etiqueta de la que quiera ver los valores.

gcloud

Para mostrar la información relacionada con un valor de etiqueta concreto, usa el comando gcloud resource-manager tags values describe:

gcloud resource-manager tags values describe TAGVALUE_NAME

TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta. Por ejemplo, tagValues/4567890123 o 123456789012/environment/production.

Deberías obtener una respuesta similar a la siguiente:

name: tagValues/456789012345
short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012

API

Para mostrar la información relacionada con un valor de etiqueta concreto, usa el método tagValues.get:

GET https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME es el ID permanente del valor de la etiqueta. Por ejemplo: tagValues/4567890123.

Para mostrar la información relacionada con un valor de etiqueta determinado mediante su nombre con espacio de nombres, usa el método tagValues.getNamespaced:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues/namespaced?name={TAGVALUE_NAMESPACED_NAME}

TAGVALUE_NAMESPACED_NAME es el nombre con espacio de nombres del valor de la etiqueta y tiene el formato parentNamespace/tagKeyShortName/tagValueShortName.

Cuando hagas referencia a etiquetas mediante la CLI de Google Cloud, puedes usar el nombre con espacio de nombres o el ID permanente de las claves y los valores de las etiquetas. Las llamadas a la API, excepto getNamespaced, solo deben usar el ID permanente. Consulta Definiciones e identificadores de etiquetas para obtener más información sobre los tipos de identificadores que usa una etiqueta.

Actualizar etiquetas

Puedes modificar una etiqueta cambiando la clave o los valores asociados a ella. Puedes actualizar la descripción de una etiqueta, pero no el nombre abreviado.

Consola

Para actualizar la descripción de una clave de etiqueta, siga estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto que contenga su clave de etiqueta.

  3. Haz clic en Acciones junto a la clave de etiqueta que quieras actualizar y, a continuación, en Ver detalles.

  4. Haz clic en Editar junto a Descripción, en la parte superior de la pantalla.

  5. Actualiza la descripción de la clave de la etiqueta.

  6. Haz clic en Guardar.

gcloud

Para modificar la descripción de una clave de etiqueta, usa el comando gcloud resource-manager tags keys update:

gcloud resource-manager tags keys update TAGKEY_NAME \
    --description=NEW_DESCRIPTION

Donde:

  • TAGKEY_NAME es el ID permanente o el nombre con espacio de nombres de la clave que se va a actualizar. Por ejemplo: tagKeys/123456789012.

  • NEW_DESCRIPTION es una cadena de no más de 256 caracteres que se usará como nueva descripción.

Deberías obtener una respuesta similar a la siguiente:

name: tagKeys/123456789012
short_name: environment
namespaced_name: 123456789012/environment
description: "new description"
parent: organizations/123456789012

API

Para modificar la descripción de una clave de etiqueta, usa el método tagKeys.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGKEY_NAME} -d

Cuerpo JSON de la solicitud:

{
    "description": DESCRIPTION,
}

Donde:

  • TAGKEY_NAME es el ID permanente de la clave de la etiqueta. Por ejemplo: tagKeys/123456789012.

  • DESCRIPTION es una descripción de la clave que no puede superar los 256 caracteres.

También puedes cambiar la descripción de los valores de las etiquetas.

Consola

Para actualizar la descripción de un valor de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de alcance de la parte superior de la página, selecciona la organización o el proyecto que contenga el valor de la etiqueta.

  3. Haga clic en Acciones junto a la clave de la etiqueta del valor que quiera actualizar y, a continuación, haga clic en Ver detalles.

  4. Haz clic en Acciones junto al valor de la etiqueta que quieras actualizar y, a continuación, en Ver detalles.

  5. Haz clic en Editar junto a Descripción, en la parte superior de la pantalla.

  6. Actualiza la descripción del valor de la etiqueta.

  7. Haz clic en Guardar.

gcloud

Para modificar la descripción de un valor de etiqueta, usa el comando gcloud resource-manager tags values update:

gcloud resource-manager tags values update TAGVALUE_NAME \
    --description="NEW_DESCRIPTION"

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se va a actualizar. Por ejemplo, tagValues/4567890123.

  • NEW_DESCRIPTION es una cadena de no más de 256 caracteres que se usará como nueva descripción.

Deberías obtener una respuesta similar a la siguiente:

short_name: production
namespaced_name: 123456789012/environment/production
parent: tagKeys/123456789012
description: "new description"

API

Para modificar la descripción de una clave de etiqueta, usa el comando tagValues.patch:

PATCH https://cloudresourcemanager.googleapis.com/v3/{tagKey.name=TAGVALUE_NAME} -d

Cuerpo JSON de la solicitud:

{
    "description": DESCRIPTION,
}

Donde:

  • TAGVALUE_NAME es el nombre del ID permanente del valor de la etiqueta. Por ejemplo: tagValues/4567890123.

  • DESCRIPTION es una descripción de la clave que no puede superar los 256 caracteres.

Claves de etiquetas de fichas

Puedes consultar todas las claves de etiquetas asociadas a una organización o un proyecto concretos mediante la Google Cloud consola, la CLI de gcloud o una llamada a la API.

Consola

Para ver todas las etiquetas:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, selecciona la organización o el proyecto que contenga las etiquetas.

  3. Todas las etiquetas que haya creado en esta organización o proyecto aparecerán en la lista.

gcloud

Para devolver una lista de todas las claves de etiqueta creadas en una organización o en un recurso de proyecto, usa el comando gcloud resource-manager tags keys list:

gcloud resource-manager tags keys list --parent=RESOURCE_ID

RESOURCE_ID es el ID del recurso de organización o proyecto del que quieres buscar las claves de etiqueta asociadas.

  • Se debe proporcionar un ID de organización o de proyecto con el formato organizations/ORGANIZATION_ID o projects/PROJECT_NAME. Por ejemplo: organizations/123456789012 y projects/test-project123. Para saber cómo obtener el ID de tu organización, consulta el artículo Crear y gestionar organizaciones. Para saber cómo obtener el ID de tu proyecto, consulta el artículo Crea y gestiona proyectos. Deberías obtener una respuesta similar a la siguiente:
NAME                     SHORT_NAME      DESCRIPTION
tagKeys/123456789012     environment     description of tag key

API

Para devolver una lista de todas las claves de etiqueta de un recurso determinado, usa el método tagKeys.list y especifica el recurso superior en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagKeys

{
    "parent": "RESOURCE_ID"
}

RESOURCE_ID es el ID del recurso de organización o proyecto del que quieres obtener las claves de etiqueta adjuntas. Por ejemplo, organizations/123456789012 y projects/test-project123.

Lista de valores de etiquetas

Puede consultar todos los valores de etiqueta asociados a una clave de etiqueta concreta mediante laGoogle Cloud consola, la CLI de gcloud o una llamada a la API.

Consola

Para ver todos los valores de etiqueta asociados a una clave de etiqueta, siga estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto que contenga su clave de etiqueta.

  3. Haga clic en Acciones junto a la clave de la etiqueta que contiene los valores que quiere encontrar y, a continuación, haga clic en Ver detalles.

  4. En la lista se muestran todos los valores de etiqueta que haya creado con esta clave de etiqueta.

gcloud

Para obtener una lista de todos los valores de etiqueta asociados a una clave, usa el comando gcloud resource-manager tags values list:

gcloud resource-manager tags values list --parent=TAGKEY_NAME

TAGKEY_NAME es el ID permanente o el nombre con espacio de nombres de la clave de etiqueta de la que quiere buscar los valores asociados. Por ejemplo, tagKeys/123456789012 o 1234567/environment.

Deberías obtener una respuesta similar a la siguiente:

NAME                     SHORT_NAME
tagValues/123456789012   production

API

Para devolver una lista de todos los valores de etiqueta asociados a una clave, utilice el método tagValues.list con la clave de etiqueta superior especificada en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagValues

{
    "parent": "TAGKEY_NAME"
}

TAGKEY_NAME es el nombre del ID permanente de la clave de etiqueta. Por ejemplo, tagKeys/123456789012.

Gestionar el acceso a etiquetas

Puedes dar a los usuarios acceso específico para gestionar etiquetas y adjuntar valores de etiquetas a recursos mediante la Google Cloud consola. Consulta la sección Permisos necesarios para ver una lista de los roles relacionados con las etiquetas y los permisos que contienen.

Claves de etiqueta

Para gestionar el acceso de los usuarios a una clave de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, selecciona la organización o el proyecto que contenga la clave de etiqueta en la que quieras gestionar el acceso.

  3. Haz clic en la casilla situada junto a la etiqueta cuyo acceso quieras gestionar.

  4. Haz clic en Gestionar acceso.

  5. Para añadir un rol a una cuenta principal, haz clic en Añadir cuenta principal.

    1. En el cuadro de texto Nuevos principales, escribe la dirección de correo del principal al que quieras asignar un nuevo rol.

    2. Selecciona un rol en el menú desplegable Seleccionar un rol. Si quieres añadir más de un rol, haz clic en Añadir otro rol.

    3. Haz clic en Guardar.

  6. Para editar el rol de un principal, haz clic en Editar junto al principal que quieras editar.

    1. Para cambiar los roles asignados a los principales de esta etiqueta, haz clic en el menú desplegable Rol y elige un nuevo rol.

    2. Si quieres añadir más roles, haz clic en Añadir otro rol.

    3. Para eliminar un rol de este principal en esta etiqueta, haga clic en Eliminar rol junto al rol que quiera eliminar.

    4. Haz clic en Guardar.

  7. Para eliminar el rol de un principal, haz clic en Eliminar rol junto al rol que quieras eliminar.

    1. Haz clic en Eliminar.

Valores de etiqueta

Para gestionar el acceso de los usuarios a un valor de etiqueta, siga estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, selecciona la organización o el proyecto que contenga la clave de etiqueta para la que quieras gestionar el acceso.

  3. Haz clic en Acciones junto a la clave de la etiqueta del valor para el que quieras gestionar el acceso y, a continuación, haz clic en Ver detalles.

  4. Haz clic en Gestionar acceso.

  5. Para añadir un rol a una cuenta principal, haz clic en Añadir cuenta principal.

    1. En el cuadro de texto Nuevos principales, escribe la dirección de correo del principal al que quieras asignar un nuevo rol.

    2. Selecciona un rol en el menú desplegable Seleccionar un rol. Si quieres añadir más de un rol, haz clic en Añadir otro rol.

    3. Haz clic en Guardar.

  6. Para editar el rol de un principal, haz clic en Editar junto al principal que quieras editar.

    1. Para cambiar los roles asignados a los principales de esta etiqueta, haz clic en el menú desplegable Rol y elige un nuevo rol.

    2. Si quieres añadir más roles, haz clic en Añadir otro rol.

    3. Para eliminar un rol de este principal en esta etiqueta, haga clic en Eliminar rol junto al rol que quiera eliminar.

    4. Haz clic en Guardar.

  7. Para eliminar el rol de un principal, haz clic en Eliminar rol junto al rol que quieras eliminar.

    1. Haz clic en Eliminar.

Adjuntar etiquetas a recursos

Una vez que se ha creado una etiqueta y se ha concedido acceso adecuado tanto a la etiqueta como al recurso, la etiqueta se puede asociar a un Google Cloud recurso como par clave-valor. Solo se puede asociar un valor a un recurso para una clave determinada. Por ejemplo, si se adjunta environment: development, no se pueden adjuntar environment: production ni environment: test. Cada recurso puede tener un máximo de 50 pares clave-valor asociados.

Las etiquetas se asocian a los recursos creando un recurso de vinculación de etiquetas que vincula el valor al recurso Google Cloud . En el siguiente flujo de trabajo se describe cómo adjuntar una etiqueta a un recurso de organización, carpeta o proyecto. Para obtener información sobre cómo adjuntar etiquetas a otro tipo de recurso, consulta la documentación de ese recurso en Servicios que admiten etiquetas.

Consola

Para adjuntar una etiqueta a un recurso de organización, carpeta o proyecto, sigue estos pasos:

  1. Abre la página Gestionar recursos en la Google Cloud consola.

    Abrir la página Gestionar recursos

  2. Haz clic en la organización, la carpeta o el proyecto al que quieras adjuntar una etiqueta.

  3. Haz clic en Etiquetas.

  4. En el panel Etiquetas, haga clic en Seleccionar ámbito.

  5. Selecciona la organización o el proyecto que contenga las etiquetas y, a continuación, haz clic en Abrir.

  6. En el panel Etiquetas, selecciona Añadir etiqueta.

  7. En el campo Clave, selecciona la clave de la etiqueta que quieras adjuntar de la lista. Puedes filtrar la lista escribiendo palabras clave.

  8. En el campo Valor, selecciona el valor de la etiqueta que quieras adjuntar de la lista. Puedes filtrar la lista escribiendo palabras clave.

  9. Si quiere adjuntar más etiquetas, haga clic en Añadir etiqueta y, a continuación, seleccione la clave y el valor de cada una.

  10. Haz clic en Guardar.

  11. En el cuadro de diálogo Confirmar, haz clic en Confirmar para adjuntar la etiqueta.

  12. Recibirás una notificación para confirmar que se han actualizado las etiquetas. Las nuevas etiquetas aparecen en la columna Etiquetas de la página Gestionar recursos.

gcloud

Para adjuntar una etiqueta a un recurso, debes crear un recurso de vinculación de etiquetas mediante el comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta que se va a adjuntar. Por ejemplo: tagValues/4567890123 o 12345678/environment/production.

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/7890123456, el ID completo sería //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es la ubicación de tu recurso. Si vas a adjuntar una etiqueta a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si vas a asociar una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para asociar una etiqueta a un recurso, primero debes crear una representación JSON de una asociación de etiquetas que incluya el ID permanente o el nombre con espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de un enlace de etiqueta, consulta la referencia de TagBinding.

Si va a asociar la etiqueta a un recurso global, como una organización, utilice el método tagBindings.create con el nombre de host del endpoint global:

POST https://cloudresourcemanager.googleapis.com/v3/tagBindings

Si vas a asociar la etiqueta a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.create con el endpoint regional en el que se encuentre el recurso.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

Cuerpo JSON de la solicitud:

{
    "parent": RESOURCE_ID,
    "tagValue": TAGVALUE_NAME,
}

O

{
    "parent": RESOURCE_ID,
    "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME,
}

Donde:

  • RESOURCE_ID es el ID completo del recurso, incluido el nombre de dominio de la API para identificar el tipo de recurso (//cloudresourcemanager.googleapis.com/). Por ejemplo, para adjuntar una etiqueta a projects/7890123456, el ID completo sería //cloudresourcemanager.googleapis.com/projects/7890123456.

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: tagValues/4567890123.

  • TAGVALUE_NAMESPACED_NAME es el nombre con espacio de nombres del valor de la etiqueta adjunta y tiene el formato parentNamespace/tagKeyShortName/tagValueShortName.

Mostrar todas las etiquetas asociadas a un recurso

Puedes obtener una lista de todas las etiquetas asociadas a un recurso, tanto las heredadas como las asociadas directamente.

Consola

Para ver todas las etiquetas asociadas a un recurso o heredadas por él, haz lo siguiente:

  1. Abre la página Gestionar recursos en la Google Cloud consola.

    Abrir la página Gestionar recursos

  2. Busca tu organización, carpeta o proyecto en la lista de recursos.

  3. Las etiquetas asociadas al recurso aparecen en la columna Etiquetas. Las etiquetas heredadas se marcarán como Heredada.

gcloud

Para obtener una lista de enlaces de etiquetas directamente asociados a un recurso, usa el comando gcloud resource-manager tags bindings list. Si añade la marca --effective, también se devolverá una lista de etiquetas heredadas por este recurso.

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Donde:

  • RESOURCE_ID es el ID completo del recurso. Por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es la ubicación de tu recurso. Si vas a enumerar las etiquetas asociadas a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si vas a asociar una etiqueta a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación. Por ejemplo: us-central1.

Deberías obtener una respuesta similar a la siguiente:

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Si añade la marca --effective al comando tags bindings list, también se devolverá una lista de todas las etiquetas heredadas por este recurso. Deberías obtener una respuesta similar a esta:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si todas las etiquetas evaluadas en un recurso están asociadas directamente, el campo inherited tiene el valor false y se omite.

API

Para obtener una lista de vinculaciones de etiquetas asociadas directamente a un recurso global, como una organización, utilice el método tagBindings.list y especifique el recurso superior en la consulta:

GET https://cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Si quieres enumerar las asociaciones de etiquetas adjuntas a un recurso regional, como las instancias de Compute Engine, usa el método tagBindings.list con el endpoint regional en el que se encuentra el recurso.

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "RESOURCE_ID"
}

Donde:

  • RESOURCE_ID es el ID completo del recurso. Por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456.

  • LOCATION es el endpoint regional de tu recurso. Por ejemplo: us-central1.

Si la solicitud se completa correctamente, el cuerpo de la respuesta debe incluir una lista de objetos TagBinding. Por ejemplo:

name: tagBindings/cloudresourcemanager.googleapis.com/projects/7890123456/567890123456
tagValue: tagValues/567890123456
resource: //cloudresourcemanager.googleapis.com/projects/7890123456

Desasociar una etiqueta de un recurso

Para separar una etiqueta de un recurso, elimina el recurso de vinculación de etiquetas.

Consola

Para desvincular una etiqueta de un recurso de organización, carpeta o proyecto, siga estos pasos:

  1. Abre la página Gestionar recursos en la Google Cloud consola.

    Abrir la página Gestionar recursos

  2. Haz clic en la organización, la carpeta o el proyecto del que quieras desvincular una etiqueta.

  3. Haz clic en Etiquetas.

  4. En el panel Etiquetas, junto a la etiqueta que quieras desvincular, haz clic en Eliminar elemento.

  5. Haz clic en Guardar.

  6. En el cuadro de diálogo Confirmar, haz clic en Confirmar para desvincular la etiqueta.

  7. Recibirás una notificación para confirmar que se han actualizado las etiquetas. La lista de etiquetas actualizada aparece en la columna Etiquetas de la página Gestionar recursos.

gcloud

Para eliminar un enlace de etiqueta, usa el comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta adjunta. Por ejemplo: tagValues/567890123456.

  • RESOURCE_ID es el ID completo del recurso. Por ejemplo: //cloudresourcemanager.googleapis.com/projects/7890123456

  • LOCATION es la ubicación de tu recurso. Si vas a eliminar un enlace de etiqueta que está asociado a un recurso global, como una carpeta o un proyecto, debes omitir esta marca. Si vas a eliminar un enlace de etiqueta asociado a un recurso regional, como una instancia de Compute Engine, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para eliminar un enlace de etiqueta que esté asociado a un recurso global, como una organización, utilice el método tagBindings.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Si quieres eliminar un enlace de etiqueta asociado a un recurso regional, como una instancia de Compute Engine, usa el método tagBindings.delete con el endpoint regional en el que se encuentra tu recurso.

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Donde:

  • TAGBINDINGS_NAME es el ID permanente de TagBinding. Por ejemplo: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

  • LOCATION es el endpoint regional de tu recurso. Por ejemplo: us-central1.

Aplicar etiquetas obligatorias en los recursos

Para aplicar etiquetas obligatorias en los recursos, crea una política de organización personalizada y define la política en un recurso de organización, carpeta o proyecto para aplicar la restricción personalizada.

Para obtener más información sobre la aplicación de etiquetas, consulta Aplicación de etiquetas obligatorias mediante políticas de organización.

Configurar una restricción personalizada para aplicar etiquetas

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona la organización en la que quieras aplicar la restricción personalizada.

  4. Configura una restricción personalizada con los siguientes parámetros:

    • Método de implementación obligatoria: Govern tags
    • Tipo de recurso: nombre completo del recurso REST Google Cloud en el que quieres aplicar las etiquetas obligatorias. Por ejemplo, file.googleapis.com/Instance
    • Condición: una condición de lenguaje de expresión común (CEL) que especifica las claves de etiqueta que quieres aplicar al recurso. Por ejemplo, resource.hasDirectTagKey("1234567890/owner") para aplicar un enlace de etiqueta a la clave de etiqueta 1234567890/owner. La función CEL resource.hasDirectTagKey solo coincide con las etiquetas aplicadas directamente a un recurso y no tiene en cuenta las etiquetas heredadas de los ancestros en la jerarquía de recursos.
    • Acción: Allow o Deny.
      • Permitir: si se cumple la condición especificada, se permite la acción para crear o actualizar el recurso.
      • Denegar: si se cumple la condición especificada, se bloquea la acción para crear o actualizar el recurso.

  5. Haz clic en Crear restricción.

gcloud

Crea un archivo YAML para la restricción personalizada:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- GOVERN_TAGS
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización, como 1234567890.

  • CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.enforceMandatoryTags.

  • RESOURCE_NAME: nombre completo del recurso RESTGoogle Cloud en el que quieres aplicar las etiquetas obligatorias (por ejemplo, file.googleapis.com/Instance).

  • CONDITION: una condición de lenguaje de expresión común (CEL) que especifica las claves de etiqueta que quieres aplicar al recurso. Por ejemplo, resource.hasDirectTagKey("1234567890/owner") para aplicar un enlace de etiqueta a la clave de etiqueta 1234567890/owner.

  • ACTION: la acción que se debe llevar a cabo si se cumple la condición condition. Puede ser ALLOW o DENY.

    La acción de denegación significa que, si se cumple la condición especificada, se bloqueará la operación para crear o actualizar el recurso.

    La acción de permitir significa que, si se cumple la condición especificada, se permite la operación para crear o actualizar el recurso. Esto también significa que se bloquearán todos los demás casos, excepto el que se haya incluido explícitamente en la condición.

  • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.

  • DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.

Configura la restricción personalizada para que esté disponible en las políticas de la organización.

Una vez que hayas definido la restricción personalizada, podrás probar y analizar los cambios en la política de la organización y aplicar la restricción.

Proteger los valores de las etiquetas con retenciones de etiquetas

Un bloqueo de etiqueta es un recurso que puede crear para evitar que se elimine el valor de una etiqueta. Si un valor de etiqueta tiene una retención de etiqueta, los usuarios no podrán eliminarlo a menos que se elimine primero la retención de etiqueta.

Crear retenciones de etiquetas

Puedes crear manualmente un bloqueo de etiquetas con la CLI de gcloud o la API.

gcloud

Para crear una retención de etiqueta, usa el comando de gcloud resource-manager tags holds create gcloud CLI:

  gcloud resource-manager tags holds create TAGVALUE_NAME \
  --holder=HOLDER_NAME \
  --location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta para el que se debe crear este bloqueo de etiqueta. Por ejemplo, tagValues/567890123456.

  • HOLDER_NAME es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.

  • LOCATION es la ubicación de tu recurso. Si vas a crear una retención de etiquetas para un recurso global, como unGoogle Cloud proyecto, debes omitir esta marca. Si vas a crear un bloqueo de etiqueta para un recurso regional o zonal, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para crear una retención de una etiqueta, primero debes crear una representación JSON de la retención. Esta referencia JSON debe incluir una referencia al recurso al que se adjunta el valor de la etiqueta. Para obtener más información sobre el formato de una retención de etiquetas, consulta la referencia de TagHolds.

Si vas a crear una retención de etiquetas para un valor de etiqueta asociado a un recurso global, como una organización, usa el método tagHolds.create con el nombre de host del endpoint global:

POST https://cloudresourcemanager.googleapis.com/v3/tagValues/TAGVALUE_NAME/tagHolds

Si vas a crear una retención de etiquetas para un valor de etiqueta asociado a un recurso regional, como una instancia de Compute Engine, usa el método tagHolds.create con el endpoint regional en el que se encuentre el recurso.

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAGVALUE_NAME/tagHolds

Cuerpo JSON de la solicitud:

{
    "holder":HOLDER_NAME,
    "origin":ORIGIN_NAME
}

Donde:

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta que se ha adjuntado. Por ejemplo: tagValues/4567890123.

  • HOLDER_NAME es el nombre del recurso al que se adjunta el valor de la etiqueta. Debe tener menos de 200 caracteres.

  • ORIGIN_NAME es una cadena opcional que representa el origen de esta solicitud. Este campo debe incluir información que puedan entender los usuarios para distinguir los orígenes entre sí. Debe tener menos de 200 caracteres.

Retenciones de etiquetas de ficha

Puedes consultar todos los bloqueos de etiquetas de un valor de etiqueta concreto mediante la CLI de gcloud o la API.

gcloud

Para ver una lista de los bloqueos de etiquetas que se encuentran en un valor de etiqueta, usa el comando de gcloud resource-manager tags holds list gcloud CLI:

  gcloud resource-manager tags holds list TAGVALUE_NAME \
  --location=LOCATION

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta. Por ejemplo, tagValues/567890123456.

  • LOCATION es la ubicación de tu recurso. Si quieres buscar retenciones de etiquetas creadas de forma global, debes omitir esta marca. Si buscas retenciones de etiquetas en un recurso regional o zonal, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para obtener una lista de retenciones de etiquetas de un valor de etiqueta, utilice el método tagHolds GET y especifique el valor de la etiqueta superior en la URL:

GET https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds

Donde:

  • TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de la etiqueta. Por ejemplo, tagValues/567890123456.

Quitar retenciones de etiquetas

Puedes quitar las retenciones de etiquetas creadas en un valor de etiqueta concreto mediante la CLI de gcloud o la API.

Algunos recursos añaden retenciones de etiquetas a un valor de etiqueta que está asociado a ese recurso. Si adjuntas una etiqueta a un recurso de este tipo, el recurso crea una retención de etiqueta que impide que los usuarios eliminen el valor de la etiqueta adjunta.

Puedes eliminar una retención de etiquetas con la CLI de gcloud o con la API.

gcloud

Para eliminar una retención de etiqueta, usa el comando de gcloud resource-manager tags holds delete gcloud CLI:

  gcloud resource-manager tags holds delete TAGHOLD_NAME \
  --location=LOCATION

Donde:

  • TAGHOLD_NAME es el nombre con espacio de nombres de la etiqueta hold, que se puede encontrar con el comando list. Por ejemplo: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

  • LOCATION es la ubicación de tu recurso. Si va a eliminar un bloqueo de etiqueta que está asociado a un valor de etiqueta vinculado a un recurso global, como una carpeta o un proyecto, debe omitir esta marca. Si vas a eliminar una retención de etiqueta creada a partir de un proceso regional o zonal, debes especificar la ubicación. Por ejemplo: us-central1.

API

Para eliminar un valor de etiqueta, usa el método tagHolds.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{TAGVALUE_NAME}/tagHolds/{TAGHOLD_NAME}

Donde:

  • TAGVALUE_NAME es el ID permanente del valor de la etiqueta al que está adjunto el bloqueo de la etiqueta que quieres eliminar. Por ejemplo: tagValues/567890123456.

  • TAGHOLD_NAME es el nombre con espacio de nombres de la etiqueta hold que quieres eliminar. Puedes encontrarlo con el comando list. Por ejemplo: tagValues/1012910994523/tagHolds/d1c8f5e2-2954-43d6-8f46-5f812ab48c37.

Eliminar etiquetas

Para eliminar una etiqueta, debes eliminar cada uno de sus componentes definitorios. Primero, debes eliminar todos los enlaces de etiquetas que asocien esta etiqueta a recursos de tu jerarquía. Para obtener instrucciones sobre cómo eliminar vinculaciones de etiquetas, consulta Desvincular una etiqueta de un recurso.

Si otro recurso usa la etiqueta o un usuario ha creado manualmente un bloqueo de etiqueta, es posible que tengas que quitar los bloqueos de etiqueta y eliminar las vinculaciones de etiquetas para poder eliminar los valores de etiqueta. Para obtener información sobre cómo quitar retenciones de etiquetas, consulta el artículo Quitar retenciones de etiquetas.

Cuando no haya más enlaces de etiquetas para los valores de etiqueta que quieras eliminar, podrás eliminarlos.

Consola

Para eliminar un valor de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de alcance de la parte superior de la página, selecciona la organización o el proyecto que contenga el valor de la etiqueta.

  3. Haga clic en Acciones junto a la clave de etiqueta que contenga el valor de etiqueta que quiera eliminar y, a continuación, haga clic en Ver detalles.

  4. En la lista de valores de etiqueta asociados a esta clave de etiqueta, haga clic en el valor de etiqueta que quiera eliminar.

  5. Marca la casilla situada junto al valor de la etiqueta que quieras eliminar y, a continuación, haz clic en Eliminar valores.

  6. Haz clic en Confirmar.

gcloud

Para eliminar un valor de etiqueta, usa el comando gcloud resource-manager tag values delete:

gcloud resource-manager tags values delete TAGVALUE_NAME

TAGVALUE_NAME es el ID permanente o el nombre con espacio de nombres del valor de etiqueta que quieres eliminar. Por ejemplo: tagValues/567890123456.

API

Para eliminar un valor de etiqueta, usa el método tagValues.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGVALUE_NAME}

TAGVALUE_NAME es el ID permanente del valor de la etiqueta que quieres eliminar. Por ejemplo: tagValues/567890123456.

Una vez que se hayan eliminado todos los valores de etiqueta asociados a una clave, podrá eliminarla.

Consola

Para eliminar una clave de etiqueta, sigue estos pasos:

  1. Abre la página Etiquetas en la consola de Google Cloud .

    Abrir la página Etiquetas

  2. En el selector de ámbito de la parte superior de la página, seleccione la organización o el proyecto que contenga su clave de etiqueta.

  3. Marca la casilla situada junto a la clave de etiqueta que quieras eliminar.

  4. Haz clic en Eliminar etiquetas.

  5. Haz clic en Confirmar.

gcloud

Para eliminar una clave de etiqueta, usa el comando gcloud resource-manager tags keys delete:

gcloud resource-manager tags keys delete TAGKEYS_NAME

TAGKEYS_NAME es el ID permanente o el nombre con espacio de nombres de la clave de etiqueta que quieres eliminar. Por ejemplo: tagKeys/123456789012.

API

Para eliminar una clave de etiqueta, usa el método tagKeys.delete:

DELETE https://cloudresourcemanager.googleapis.com/v3/{name=TAGKEYS_NAME}

TAGKEYS_NAME es el ID permanente de la clave de etiqueta que quieres eliminar. Por ejemplo: tagKeys/123456789012.

Políticas y etiquetas

Puedes usar etiquetas con políticas que las admitan para aplicar esas políticas de forma condicional. Puedes hacer que la presencia o ausencia de un valor de etiqueta sea la condición de esa política.

Por ejemplo, puedes asignar roles de Gestión de Identidades y Accesos (IAM) de forma condicional en función de si un recurso tiene una etiqueta específica.

Condiciones y etiquetas de gestión de identidades y accesos

Puedes usar etiquetas y condiciones de gestión de identidades y accesos para conceder roles de forma condicional a los usuarios de tu jerarquía. Este proceso hace que los recursos sean inaccesibles para los usuarios hasta que se adjunte una etiqueta asociada a una política condicional. Por ejemplo, puede que quiera exigir que sus desarrolladores asignen un centro de costes a un recurso antes de poder usarlo.

  1. Crea una etiqueta que puedas usar para asociar recursos con algo que identifique si se han aplicado las medidas de control adecuadas. Por ejemplo, puede crear una etiqueta con la clave costCenter y los valores 0001, 0002, etc., para asociar los recursos con los distintos centros de costes de su empresa.

  2. Crea un rol personalizado a nivel de organización que permita a los usuarios añadir etiquetas a los recursos que las necesiten. De esta forma, se conceden estos permisos a las entidades de seguridad especificadas en cualquier parte de tu organización.

    Por ejemplo, un rol personalizado que permita a los usuarios añadir etiquetas a proyectos incluiría los siguientes permisos:

    • resourcemanager.projects.get
    • resourcemanager.hierarchyNodes.create
    • resourcemanager.hierarchyNodes.delete
    • resourcemanager.hierarchyNodes.list

  3. Cuando crees proyectos para tus desarrolladores, asígnales este rol personalizado en el proyecto.

  4. Asigna a tus desarrolladores cualquier otro rol que incluya los permisos necesarios para realizar las acciones que quieras en ese proyecto. Cuando asignes roles a los usuarios del proyecto, estos siempre deben concederse de forma condicional para que se requiera la inclusión de la etiqueta costCenter.

    resource.hasTagKey('123456789012/costCenter')

Ahora, cada vez que se cree un proyecto, tus desarrolladores deberán adjuntarle la etiqueta costCenter para poder realizar las acciones que les permita la política de permiso.

Políticas de organización y etiquetas

Puedes usar etiquetas y la aplicación condicional de políticas de organización para controlar de forma centralizada los recursos de tu jerarquía. Para obtener más información, consulta Configurar una política de organización con etiquetas.

Servicios admitidos

Para ver una lista de los servicios que admiten etiquetas, consulta Servicios que admiten etiquetas.