La Google Cloud jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a gestionar los recursos a gran escala, pero solo modela algunas dimensiones empresariales, como la estructura de la organización, las regiones, los tipos de cargas de trabajo y los centros de costes. La jerarquía no tiene la flexibilidad necesaria para combinar varias dimensiones empresariales.
Las etiquetas permiten crear anotaciones para los recursos y, en algunos casos, permiten o deniegan políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para controlar de forma pormenorizada la jerarquía de recursos.
Etiquetas
Las etiquetas son otra forma de crear anotaciones para los recursos. En la siguiente tabla se enumeran algunas de las diferencias entre las etiquetas:
| Etiquetas | Etiquetas | |
|---|---|---|
| Estructura de recursos | Las claves de etiquetas, los valores de etiquetas y las vinculaciones de etiquetas son recursos independientes | No es un recurso en sí, sino metadatos de recursos |
| Definición | Definido a nivel de organización o de proyecto | Definido por cada recurso |
| Control de acceso | Para gestionar y adjuntar etiquetas, se necesitan roles de Gestión de Identidades y Accesos (IAM). | Para adjuntar etiquetas, se necesitan roles de gestión de identidades y accesos, que varían en función del recurso de servicio. |
| Requisito previo para los archivos adjuntos | La clave y el valor de la etiqueta deben definirse antes de que se pueda adjuntar una etiqueta a un recurso | No hay requisitos previos para los archivos adjuntos |
| Ajustes heredados | Los enlaces de etiquetas se heredan de los elementos secundarios del recurso en la jerarquía Google Cloud . | No se hereda de los elementos secundarios del recurso |
| Requisitos de eliminación | Las etiquetas no se pueden eliminar a menos que no haya enlaces de etiquetas para esa etiqueta | Se puede quitar de un recurso en cualquier momento |
| Requisitos de nomenclatura | Requisitos de los valores de las etiquetas y de las claves de las etiquetas | Requisitos de las etiquetas |
| Longitud del nombre del par clave-valor | 256 caracteres como máximo | 63 caracteres como máximo |
| Permitir y denegar la asistencia de políticas | Se puede hacer referencia a las etiquetas en las condiciones de las políticas de permitir y en las condiciones de las políticas de denegar. | No se admite la política de permitir y denegar |
| Asistencia para políticas de organización | Las etiquetas de algunos recursos se pueden usar en restricciones condicionales de políticas de organización | No se admite ninguna política de organización |
| Integración con Facturación de Cloud | Hacer contracargos, auditorías y otros análisis de asignación de costes, así como exportar datos de costes de Facturación de Cloud a BigQuery | Filtrar recursos por etiqueta en Facturación de Cloud y exportar datos de Facturación de Cloud a BigQuery |
Para obtener más información sobre las etiquetas, consulta el artículo Crear y gestionar etiquetas.
Crear etiquetas
Las etiquetas se estructuran como un par clave-valor. Un recurso de clave de etiqueta se puede crear en los recursos de tu organización o proyecto, y los valores de etiqueta son recursos que se adjuntan a una clave. Por ejemplo, una clave de etiqueta environment con los valores production y development.
Administración de etiquetas
Los administradores pueden controlar el uso de las etiquetas restringiendo quién puede crear, actualizar, eliminar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta concreta para hacer cambios, como añadir o quitar valores, y actualizar la descripción. Esto le permite controlar sus etiquetas de forma precisa.
Las etiquetas pueden tener una descripción que se muestra cuando se obtiene información sobre la etiqueta. La descripción ayuda a los usuarios que adjuntan la etiqueta al recurso a entender su finalidad.
En un proyecto o una organización principales, cada clave de etiqueta debe ser única. De esta forma, cada valor de etiqueta, cuando se vincula a un recurso, crea un emparejamiento único con su clave de etiqueta.
Políticas y etiquetas
Puedes usar etiquetas y condiciones de gestión de identidades y accesos juntas para hacer lo siguiente:
- Conceder roles de gestión de identidades y accesos de forma condicional
- Denegar permisos de gestión de identidades y accesos de forma condicional
Una vez que hayas creado un valor de etiqueta, podrás vincularlo a recursos. A continuación, puedes crear políticas de gestión de identidades y accesos con condiciones que identifiquen recursos en función de si se ha vinculado una clave de etiqueta al recurso. Para obtener información sobre cómo usar etiquetas y condiciones de IAM, consulta el artículo Etiquetas y acceso condicional.
Aplicación de etiquetas obligatorias mediante políticas de organización
Puedes aplicar etiquetas obligatorias a los recursos mediante una política de organización. Cuando aplicas etiquetas obligatorias, solo puedes crear recursos que cumplan las políticas de etiquetado de tu organización. Es decir, los recursos están vinculados a los valores de las claves de etiqueta obligatorias especificadas en la política. Para obtener más información, consulta Configurar una restricción personalizada para aplicar etiquetas.
Se admite la aplicación de etiquetas obligatorias en los siguientes tipos de recursos:
- Proyectos y carpetas de Resource Manager
- Instancias de Filestore
- Recursos de clústeres y copias de seguridad de AlloyDB para PostgreSQL
- Flujo de trabajo de Workflows
Herencia de etiquetas
Cuando se asocia un valor de etiqueta a un recurso, de forma predeterminada, todos los elementos descendientes del recurso heredan el mismo valor de etiqueta. Puedes anular el valor de una etiqueta heredada en un recurso descendiente. Para anular un valor de etiqueta heredado, vincula un valor de etiqueta diferente al recurso descendiente. El valor de la etiqueta diferente debe usar la misma clave de etiqueta que el valor de la etiqueta heredada.
Por ejemplo, supongamos que aplicas la etiqueta environment: development a una carpeta y que esta tiene dos subcarpetas llamadas team-a y team-b.
También puedes aplicar otra etiqueta, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos de la carpeta team-a heredan la etiqueta environment: development, y los proyectos y otros recursos de la carpeta team-b heredan la etiqueta environment: test:
Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: development.
Todas las etiquetas que se adjuntan a un recurso y que hereda se denominan etiquetas efectivas. Las etiquetas efectivas de un recurso son una combinación de las etiquetas que tiene asignadas directamente, así como de todas las etiquetas asignadas a todos los ancestros del recurso en la jerarquía.
Cuando uses etiquetas con condiciones de gestión de identidades y accesos, te recomendamos que crees un valor de etiqueta predeterminado seguro para cada clave de etiqueta que usen tus condiciones de gestión de identidades y accesos. Aplica el valor de etiqueta predeterminado seguro vinculando ese valor de etiqueta a tu organización para que se herede a todos los recursos de la organización. Solo se debe cambiar el valor de la etiqueta anulando explícitamente las vinculaciones heredadas en los recursos pertinentes. Por ejemplo, supongamos que tiene una condición de IAM que depende del valor de la etiqueta on de la clave de etiqueta enforcement, y que la clave de etiqueta también tiene el valor de etiqueta off.
Vincula el valor de la etiqueta enforcement: off a la organización para crear un valor predeterminado seguro que se herede a todos los recursos de la organización.
Solo se vincula el valor de la etiqueta enforcement: on a los recursos seleccionados de la organización.
Después, puedes escribir políticas que aborden la clave de la etiqueta enforcement, con condiciones que afecten a un recurso si es enforcement: on o enforcement: off, y un caso seguro si es enforcement: default. Si la clave de la etiqueta enforcement se elimina de un recurso, este podrá heredar el valor de la etiqueta enforcement de su recurso principal. Si ningún recurso superior tiene la clave de etiqueta enforcement, el recurso hereda enforcement: default del recurso de organización.
Usar una etiqueta predeterminada segura puede ser útil, pero, para evitar comportamientos no deseados, te recomendamos que revises las etiquetas y las políticas condicionales que tengas antes de mover tus recursos o quitar etiquetas.
Eliminar claves y valores de etiquetas
Para poder eliminar un valor de etiqueta, primero debe eliminar todas las vinculaciones de recursos que lo usen.
Proteger los valores de las etiquetas para que no se eliminen
Puedes crear una capa de protección adicional para los valores de tus etiquetas asociando una retención de etiqueta a un valor de etiqueta. Al igual que una vinculación de etiquetas, una retención de etiquetas impide que un usuario elimine el valor de la etiqueta.
Algunos recursos crean automáticamente una retención de etiquetas en cada valor de etiqueta asociado al recurso. Este bloqueo de etiqueta debe eliminarse para poder eliminar el valor de la etiqueta.
Siguientes pasos
- Para obtener más información sobre cómo usar las etiquetas, consulta la página Crear y gestionar etiquetas.
- Para obtener información sobre cómo usar etiquetas con Compute Engine, consulta el artículo Gestionar etiquetas de recursos.
- Para obtener información sobre cómo usar etiquetas seguras en las políticas de firewall, consulta Crear y gestionar etiquetas seguras.