La Google Cloud hiérarchie des ressources permet d'organiser vos ressources en arborescence. Cette hiérarchie vous aide à gérer les ressources à grande échelle, mais elle ne modélise que quelques dimensions métier, telles que la structure organisationnelle, les régions, les types de charge de travail et les centres de coûts. La hiérarchie manque de flexibilité pour superposer plusieurs dimensions métier.
Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de stratégies pour un contrôle ultraprécis de votre hiérarchie de ressources.
Tags et étiquettes
Les libellés sont une autre façon de créer des annotations pour les ressources. Le tableau suivant présente quelques différences entre les tags et les libellés :
| Tags | Étiquettes | |
|---|---|---|
| Structure des ressources | Les clés de tag, les valeurs de tag et les liaisons de tag sont toutes des ressources distinctes. | Il ne s'agit pas d'une ressource en soi, mais de métadonnées pour les ressources. |
| Définition | Défini au niveau de l'organisation ou du projet | Défini par chaque ressource |
| Contrôle des accès | La gestion et l'association de tags nécessitent des rôles IAM (Identity and Access Management). | L'association d'étiquettes nécessite des rôles IAM, qui varient en fonction de la ressource de service. |
| Conditions préalables pour les pièces jointes | La clé et la valeur du tag doivent être définies avant de pouvoir associer un tag à une ressource. | Aucun prérequis pour les pièces jointes |
| Héritage | Les liaisons de tags sont héritées par les enfants de la ressource dans la hiérarchie Google Cloud . | Non hérité par les enfants de la ressource |
| Conditions de suppression | Les tags ne peuvent pas être supprimés s'il existe des liaisons de tags pour ce tag. | Peut être supprimé d'une ressource à tout moment |
| Exigences concernant les noms | Exigences concernant les valeurs et les clés de tag | Exigences concernant les libellés |
| Longueur du nom de la clé-valeur | 256 caractères maximum | 63 caractères maximum |
| Prise en charge des stratégies d'autorisation et de refus | Les tags peuvent être référencés par des conditions de règles d'autorisation et des conditions de règles de refus. | Aucune compatibilité avec les règles d'autorisation et de refus |
| Compatibilité avec les règles d'administration | Les tags de certaines ressources peuvent être référencés par des contraintes conditionnelles de règles d'administration. | Aucune assistance pour les règles d'administration |
| Intégration à Cloud Billing | Effectuez des rejets de débit, des audits et d'autres analyses d'allocation des coûts, et exportez les données de coût Cloud Billing vers BigQuery. | Filtrer les ressources par libellé dans Cloud Billing, exporter les données Cloud Billing vers BigQuery |
Pour en savoir plus sur les étiquettes, consultez la page Créer et gérer des étiquettes.
Créer des tags
Les tags sont structurés sous forme de paire clé/valeur. Une ressource de clé de tag peut être créée sous vos ressources d'organisation ou de projet, et les valeurs de tag sont des ressources associées à une clé (par exemple, une clé de tag environment avec les valeurs production et development).
Administration des tags
Les administrateurs peuvent contrôler l'utilisation des tags en restreignant les personnes autorisées à créer, mettre à jour, supprimer et associer des tags aux ressources. Ils peuvent sélectionner un tag individuel pour effectuer des modifications, par exemple pour ajouter ou supprimer des valeurs, et pour mettre à jour la description. Cela permet un contrôle précis de vos tags.
Les tags peuvent être associés à une description qui s'affiche lorsque des informations sur le tag sont récupérées. La description aide les utilisateurs qui associent le tag à la ressource à comprendre son objectif.
Dans un projet ou une organisation parents, chaque clé de tag doit être unique. Cela garantit que chaque valeur de tag, lorsqu'elle est associée à une ressource, crée une paire unique avec sa clé de tag.
Règles et tags
Vous pouvez utiliser des tags et des conditions IAM ensemble pour :
Une fois que vous avez créé une valeur de tag, vous pouvez l'associer à des ressources. Vous pouvez ensuite créer des stratégies IAM avec des conditions qui identifient les ressources selon qu'une clé de tag a été associée ou non à la ressource. Pour en savoir plus sur l'utilisation des tags et des conditions IAM, consultez Tags et accès conditionnel.
Appliquer des tags obligatoires à l'aide de règles d'administration'administration
Vous pouvez appliquer des tags obligatoires aux ressources à l'aide d'une règle d'administration. Lorsque vous appliquez des tags obligatoires, vous ne pouvez créer que des ressources conformes aux règles de taggage de votre organisation. Autrement dit, les ressources sont associées aux valeurs de tag pour les clés de tag obligatoires spécifiées dans la règle. Pour en savoir plus, consultez Configurer une contrainte personnalisée pour appliquer des tags.
L'application des tags obligatoires est compatible avec les types de ressources suivants :
- Projets et dossiers Resource Manager
- Instances Filestore
- Ressources de cluster et de sauvegarde AlloyDB pour PostgreSQL
- Workflow Workflows
Héritage des tags
Lorsqu'une valeur de tag est associée à une ressource, tous les descendants de la ressource héritent par défaut de la même valeur de tag. Vous pouvez remplacer la valeur d'un tag hérité sur une ressource enfant. Pour remplacer une valeur de tag héritée, associez une autre valeur de tag à la ressource enfant. La valeur de tag différente doit utiliser la même clé de tag que la valeur de tag héritée.
Par exemple, supposons que vous appliquez le tag environment: development à un dossier et que le dossier contienne deux dossiers enfants nommés team-a et team-b.
Vous pouvez également appliquer un tag différent, environment: test, au dossier team-b. Par conséquent, les projets et autres ressources du dossier team-a héritent du tag environment: development, et les projets et autres ressources du dossier team-b héritent du tag environment: test :
Si vous supprimez le tag environment: test du dossier team-b, ce dossier et ses ressources hériteront du tag environment: development.
Tous les tags associés à une ressource et hérités par celle-ci sont collectivement appelés les tags effectifs. Les tags effectifs d'une ressource sont une combinaison des tags qui lui sont directement associés et de tous les tags associés à tous les ancêtres de la ressource dans la hiérarchie.
Lorsque vous utilisez des tags avec des conditions IAM, nous vous recommandons de créer une valeur de tag par défaut sécurisée pour chaque clé de tag utilisée par vos conditions IAM. Appliquez la valeur de tag par défaut sécurisée en l'associant à votre organisation afin qu'elle soit héritée par toutes les ressources de l'organisation. Ne modifiez la valeur du tag qu'en remplaçant explicitement les liaisons héritées sur les ressources concernées. Par exemple, supposons que vous ayez une condition IAM qui dépend de la valeur de tag on pour la clé de tag enforcement, et que la clé de tag ait également une valeur de tag off.
Associez la valeur du tag enforcement: off à l'organisation pour créer une valeur par défaut sécurisée qui est héritée par toutes les ressources de l'organisation.
N'associez la valeur du tag enforcement: on qu'aux ressources sélectionnées dans l'organisation.
Vous pouvez ensuite écrire des règles pour gérer une clé de tag enforcement avec des conditions qui affectent une ressource si la valeur est définie sur enforcement: on ou enforcement: off, et un cas sécurisé avec la valeur définie sur enforcement: default. Si la clé de tag enforcement est supprimée d'une ressource, celle-ci peut hériter de la valeur de tag enforcement de sa ressource parente. Si aucune ressource parente n'est associée à la clé de tag enforcement, la ressource hérite de enforcement: default de la ressource Organisation.
L'utilisation d'un tag par défaut sécurisé peut vous aider, mais pour éviter tout comportement inattendu, nous vous recommandons d'examiner les tags et les règles conditionnelles existants avant de déplacer vos ressources ou de supprimer les tags.
Supprimer des clés et des valeurs de tags
Avant de pouvoir supprimer une valeur de tag, vous devez supprimer toutes les liaisons de ressources qui l'utilisent.
Protéger les valeurs de tag contre la suppression
Vous pouvez ajouter un niveau de protection supplémentaire à vos valeurs de tag en leur associant une retenue. Comme une liaison de tag, une retenue de tag empêche un utilisateur de supprimer la valeur du tag.
Certaines ressources créent automatiquement une retenue de tag sur chaque valeur de tag associée à la ressource. Cette retenue de tag doit être supprimée avant que vous puissiez supprimer la valeur du tag.
Étapes suivantes
- Pour en savoir plus sur l'utilisation des tags, consultez la page Créer et gérer des tags.
- Pour savoir comment utiliser les tags avec Compute Engine, consultez Gérer les tags pour les ressources.
- Pour en savoir plus sur l'utilisation de tags sécurisés pour les règles de pare-feu, consultez Créer et gérer des tags sécurisés.