La Google Cloud jerarquía de recursos es una forma de organizar tus recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar recursos a gran escala, pero modela solo algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía carece de la flexibilidad de agrupar varias dimensiones empresariales.
Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.
Etiquetas de instancia y etiquetas de recurso
Las etiquetas son una forma independiente de crear anotaciones para los recursos. En la siguiente tabla, se enumeran algunas de las diferencias entre las etiquetas y los rótulos:
| Etiquetas | Etiquetas | |
|---|---|---|
| Estructura de recursos | Las claves, los valores y las vinculaciones de etiquetas de instancia son recursos independientes | No son recursos en sí mismas, sino metadatos para recursos |
| Definición | Se definen a nivel de la organización o del proyecto | Se definen por cada recurso |
| Control de acceso | La administración y la vinculación de etiquetas requieren roles de Identity and Access Management (IAM) | La vinculación de etiquetas requiere roles de IAM, que varían según el recurso de servicio. |
| Requisito previo para el adjunto | La clave y el valor de la etiqueta deben definirse antes de que se pueda adjuntar una etiqueta a un recurso. | No hay requisitos previos para adjuntar archivos |
| Herencia | Las vinculaciones de etiquetas se heredan de los elementos secundarios del recurso en la jerarquía de Google Cloud . | No son heredadas por los elementos secundarios del recurso |
| Requisitos para la eliminación | No se pueden borrar las etiquetas, a menos que no existan vinculaciones de etiquetas para esa etiqueta | Se puede quitar de un recurso en cualquier momento. |
| Requisitos de nombres | Requisitos para los valores de etiquetas y las claves de etiquetas | Requisitos para las etiquetas |
| Longitud del nombre del par clave-valor | 256 caracteres como máximo | 63 caracteres como máximo |
| Compatibilidad con políticas de permiso y denegación | Se puede hacer referencia a las etiquetas en las condiciones de las políticas de permiso y las condiciones de las políticas de rechazo. | No se admiten políticas de permiso y denegación |
| Compatibilidad con políticas de la organización | Se puede hacer referencia a las etiquetas de algunos recursos mediante restricciones condicionales de políticas de la organización. | No se admite la política de la organización |
| Integración de Facturación de Cloud | Realizar devoluciones de cargos, auditorías y otros análisis de asignación de costos, exportar datos de costos de la Facturación de Cloud a BigQuery | Filtrar recursos por etiqueta en la Facturación de Cloud, exportar datos de Facturación de Cloud a BigQuery |
Para obtener más información sobre las etiquetas, consulta Crea y administra etiquetas.
Crea etiquetas
La estructura de las etiquetas es un par clave-valor. Se puede crear un recurso de clave de etiqueta en los recursos de tu organización o proyecto, y los valores de etiqueta son recursos que se adjuntan a una clave, por ejemplo, una clave de etiqueta environment con valores production y development.
Administración de etiquetas
Los administradores pueden controlar el uso de etiquetas restringiendo quién puede crear, actualizar, borrar y adjuntar etiquetas a los recursos. Pueden seleccionar una etiqueta individual para realizar ediciones, como agregar o quitar valores, y actualizar la descripción. Esto permite un control detallado de tus etiquetas.
Las etiquetas pueden tener una descripción opcional que se muestra cuando se recupera información sobre la etiqueta. La descripción ayuda a los usuarios que adjuntan la etiqueta al recurso a comprender su propósito.
En un proyecto o una organización principal, cada clave de etiqueta debe ser única. Esto garantiza que cada valor de etiqueta, cuando se vincula a un recurso, cree un par único con su clave de etiqueta.
Políticas y etiquetas
Puedes usar etiquetas y condiciones de IAM juntas para hacer lo siguiente:
Después de crear un valor de etiqueta, puedes vincularlo a los recursos. Luego, puedes crear políticas de IAM con condiciones que identifiquen los recursos según si se vinculó una clave de etiqueta al recurso. Para obtener información sobre el uso de etiquetas y condiciones de IAM, consulta Etiquetas y acceso condicional.
Aplicación de etiquetas obligatorias con políticas de la organización
Puedes aplicar etiquetas obligatorias en los recursos con una política de la organización. Cuando aplicas etiquetas obligatorias, solo puedes crear recursos que cumplan con las políticas de etiquetado de tu organización, es decir, los recursos se vinculan con los valores de las etiquetas obligatorias especificados en la política. Para obtener más información, consulta Cómo configurar una restricción personalizada para aplicar etiquetas.
Se admite la aplicación de etiquetas obligatorias para los siguientes tipos de recursos:
- Proyectos y carpetas de Resource Manager
- Instancias de Filestore
- Recursos de clúster y copia de seguridad de AlloyDB para PostgreSQL
- Flujo de trabajo de Workflows
Herencia de etiquetas
Cuando se adjunta un valor de etiqueta a un recurso, de forma predeterminada, todos los descendientes del recurso heredan el mismo valor de etiqueta. Puedes anular el valor de una etiqueta heredada en un recurso secundario. Para anular un valor de etiqueta heredado, vincula un valor de etiqueta diferente al recurso descendiente. El valor de etiqueta diferente debe usar la misma clave de etiqueta que el valor de etiqueta heredado.
Por ejemplo, supongamos que aplicas la etiqueta environment: development a una carpeta y que la carpeta tiene dos carpetas secundarias llamadas team-a y team-b.
También puedes aplicar una etiqueta diferente, environment: test, a la carpeta team-b. Como resultado, los proyectos y otros recursos en la carpeta team-a heredan la etiqueta environment: development, y los proyectos y otros recursos en la carpeta team-b heredan la etiqueta environment: test:
Si quitas la etiqueta environment: test de la carpeta team-b, esa carpeta y sus recursos heredarán la etiqueta environment: development.
Todas las etiquetas que se adjuntan a un recurso y que este hereda se denominan, en conjunto, etiquetas eficaces. Las etiquetas eficaces de un recurso son una combinación de las etiquetas adjuntas directamente a él y de todas las etiquetas adjuntas a todos los recursos superiores del recurso en la jerarquía.
Cuando uses etiquetas con condiciones de IAM, te recomendamos que crees un valor de etiqueta predeterminado seguro para cada clave de etiqueta que usen tus condiciones de IAM. Aplica el valor de etiqueta predeterminado seguro vinculando ese valor de etiqueta a tu organización para que se herede a todos los recursos dentro de la organización. Solo cambia el valor de la etiqueta anulando de forma explícita las vinculaciones heredadas en los recursos pertinentes. Por ejemplo, supongamos que tienes una condición de IAM que depende del valor de la etiqueta on para la clave de etiqueta enforcement, y la clave de etiqueta también tiene un valor de etiqueta off.
Vincula el valor de la etiqueta enforcement: off a la organización para crear un valor predeterminado seguro que se herede a todos los recursos de la organización.
Solo vincula el valor de la etiqueta enforcement: on para los recursos seleccionados dentro de la organización.
Luego, puedes escribir políticas que aborden la clave de la etiqueta enforcement, con condiciones que afecten un recurso si es enforcement: on o enforcement: off, y un caso seguro si es enforcement: default. Si alguna vez se quita la clave de etiqueta enforcement de un recurso, este podrá heredar el valor de la etiqueta para enforcement de su recurso principal. Si ningún recurso superior tiene la clave de etiqueta enforcement, el recurso hereda enforcement: default del recurso de organización.
Usar una etiqueta predeterminada segura puede ayudar, pero, para evitar comportamientos no deseados, te recomendamos que revises las etiquetas y las políticas condicionales vigentes antes de mover tus recursos o quitar etiquetas.
Cómo borrar claves y valores de etiquetas
Antes de borrar un valor de etiqueta, debes borrar todas las vinculaciones de recursos que lo usen.
Protege los valores de etiquetas de la eliminación
Puedes crear una capa adicional de protección para tus valores de etiqueta adjuntando una conservación de etiqueta a un valor de etiqueta. Una conservación de etiqueta de instancia, al igual que una vinculación de etiqueta, impide que un usuario borre el valor de etiqueta de instancia.
Algunos recursos crean automáticamente una retención de etiqueta en cada valor de etiqueta adjunto al recurso. Esta conservación de etiqueta se debe quitar antes de que puedas borrar el valor de etiqueta.
¿Qué sigue?
- Para obtener más información sobre cómo usar etiquetas, lee la página Crea y administra etiquetas.
- Para obtener información sobre el uso de etiquetas con Compute Engine, consulta Administra etiquetas para recursos.
- Para obtener información sobre el uso de etiquetas seguras en las políticas de firewall, consulta Crea y administra etiquetas seguras.