Google Cloud Hierarki resource adalah cara untuk mengatur resource Anda ke dalam struktur hierarki. Hierarki ini membantu Anda mengelola resource dalam skala besar, tetapi hanya memodelkan beberapa dimensi bisnis, termasuk struktur organisasi, wilayah, jenis workload, dan pusat biaya. Hierarki tidak memiliki fleksibilitas untuk menyusun beberapa dimensi bisnis secara bersamaan.
Tag menyediakan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource.
Tag dan label
Label adalah cara terpisah untuk membuat anotasi untuk resource. Tabel berikut mencantumkan beberapa perbedaan antara tag dan label:
| Tag | Label | |
|---|---|---|
| Struktur resource | Kunci tag, nilai tag, dan binding tag adalah resource terpisah | Bukan resource itu sendiri, tetapi metadata untuk resource |
| Definisi | Ditentukan di level organisasi atau project | Ditentukan oleh setiap resource |
| Access control | Pengelolaan dan lampiran tag memerlukan peran Identity and Access Management (IAM) | Penyertaan label memerlukan peran IAM, yang bervariasi berdasarkan resource layanan |
| Prasyarat untuk lampiran | Kunci tag dan nilai tag harus ditentukan sebelum tag dapat dilampirkan ke resource | Tidak ada prasyarat untuk lampiran |
| Pewarisan | Binding tag diwarisi oleh turunan resource dalam hierarki Google Cloud | Tidak diwariskan oleh turunan resource |
| Persyaratan penghapusan | Tag tidak dapat dihapus kecuali jika tidak ada pengikatan tag untuk tag tersebut | Dapat dihapus dari resource kapan saja |
| Persyaratan penamaan | Persyaratan untuk nilai tag dan kunci tag | Persyaratan untuk label |
| Panjang nama nilai kunci | Maksimum 256 karakter | Maksimum 63 karakter |
| Dukungan kebijakan izinkan dan tolak | Tag dapat dirujuk oleh kondisi kebijakan izin dan kondisi kebijakan penolakan | Tidak ada dukungan kebijakan izinkan dan tolak |
| Dukungan kebijakan organisasi | Tag pada beberapa resource dapat dirujuk oleh batasan bersyarat kebijakan organisasi | Tidak ada dukungan kebijakan organisasi |
| Integrasi Penagihan Cloud | Lakukan penagihan balik, audit, dan analisis alokasi biaya lainnya, ekspor data biaya Penagihan Cloud ke BigQuery | Memfilter resource menurut label di Penagihan Cloud, mengekspor data Penagihan Cloud ke BigQuery |
Untuk informasi selengkapnya tentang label, lihat Membuat dan mengelola label.
Membuat tag
Tag disusun sebagai pasangan nilai kunci. Resource kunci tag dapat dibuat di bawah
resource organisasi atau project Anda, dan nilai tag adalah resource yang
dilampirkan ke kunci—misalnya, kunci tag environment dengan nilai
production dan development.
Administrasi tag
Administrator dapat mengontrol penggunaan tag dengan membatasi siapa saja yang dapat membuat, memperbarui, menghapus, dan melampirkan tag ke resource. Mereka dapat memilih masing-masing tag untuk mengeditnya, seperti menambahkan atau menghapus nilai, dan memperbarui deskripsi. Hal ini memungkinkan kontrol yang lebih terperinci atas tag Anda.
Tag secara opsional memiliki deskripsi yang ditampilkan saat informasi tentang tag diambil. Deskripsi ini membantu pengguna yang melampirkan tag ke resource memahami tujuan tag.
Dalam project atau organisasi induk, setiap kunci tag harus unik. Hal ini memastikan bahwa setiap nilai tag, saat terikat ke resource, membuat pasangan unik dengan kunci tag-nya.
Kebijakan dan tag
Anda dapat menggunakan tag dan kondisi IAM bersama-sama untuk:
Setelah membuat nilai tag, Anda dapat mengikat nilai tag ke resource. Kemudian, Anda dapat membuat kebijakan IAM dengan kondisi yang mengidentifikasi resource berdasarkan apakah kunci tag telah terikat ke resource atau tidak. Untuk mengetahui informasi tentang penggunaan tag dan kondisi IAM, lihat Tag dan akses bersyarat.
Penerapan tag wajib menggunakan kebijakan organisasi
Anda dapat menerapkan tag wajib pada resource menggunakan kebijakan organisasi. Saat menerapkan tag wajib, Anda hanya dapat membuat resource yang mematuhi kebijakan pemberian tag organisasi Anda; yaitu, resource terikat dengan nilai tag untuk kunci tag wajib yang ditentukan dalam kebijakan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan batasan kustom untuk menerapkan tag.
Penerapan tag wajib didukung untuk jenis resource berikut:
- Project dan folder Resource Manager
- Instance Filestore
- Cluster dan resource cadangan AlloyDB untuk PostgreSQL
- Alur kerja Workflows
Pewarisan tag
Saat nilai tag dilampirkan ke resource, secara default, semua turunan resource mewarisi nilai tag yang sama. Anda dapat mengganti nilai tag yang diwariskan pada resource turunan. Untuk mengganti nilai tag yang diwariskan, ikat nilai tag yang berbeda ke resource turunan. Nilai tag yang berbeda harus menggunakan kunci tag yang sama dengan nilai tag yang diwariskan.
Misalnya, Anda menerapkan tag environment: development ke folder, dan folder tersebut memiliki dua folder turunan bernama team-a dan team-b.
Anda juga dapat menerapkan tag yang berbeda, environment: test, ke
folder team-b. Akibatnya, project dan resource lain di folder
team-a mewarisi tag environment: development, dan project serta
resource lain di folder team-b mewarisi tag environment: test:
Jika Anda menghapus tag environment: test dari folder team-b, folder tersebut dan resource-nya akan mewarisi tag environment: development.
Semua tag yang dilampirkan ke dan diwarisi oleh resource secara bersama-sama disebut tag efektif. Tag efektif untuk resource adalah kombinasi dari tag yang dilampirkan langsung ke resource tersebut, serta semua tag yang dilampirkan ke semua induk resource di seluruh hierarki.
Saat menggunakan tag dengan kondisi IAM, sebaiknya Anda
membuat nilai tag default yang aman untuk setiap kunci tag yang digunakan oleh
kondisi IAM Anda. Terapkan nilai tag default aman dengan mengikat
nilai tag tersebut ke organisasi Anda sehingga diwariskan ke semua resource
dalam organisasi. Hanya ubah nilai tag dengan mengganti binding yang diwarisi secara eksplisit pada resource yang relevan. Misalnya, Anda memiliki
kondisi IAM yang bergantung pada nilai tag on untuk
kunci tag enforcement, dan kunci tag juga memiliki nilai tag off.
Ikat nilai tag enforcement: off ke organisasi untuk membuat default
aman yang diwarisi oleh semua resource dalam organisasi.
Hanya mengikat nilai tag enforcement: on untuk resource yang dipilih dalam organisasi.
Kemudian, Anda dapat menulis kebijakan yang menangani kunci tag enforcement, dengan
kondisi yang memengaruhi resource jika resource tersebut adalah enforcement: on atau
enforcement: off, dan kasus aman jika resource tersebut adalah enforcement: default. Jika kunci tag
enforcement dihapus dari resource, resource tersebut dapat mewarisi
nilai tag untuk enforcement dari resource induknya. Jika tidak ada resource induk yang memiliki kunci tag enforcement, resource akan mewarisi enforcement: default dari resource organisasi.
Menggunakan tag default yang aman dapat membantu, tetapi untuk mencegah perilaku yang tidak diinginkan, sebaiknya tinjau tag dan kebijakan bersyarat yang ada sebelum memindahkan aset atau menghapus tag.
Menghapus kunci dan nilai tag
Sebelum dapat menghapus nilai tag, Anda harus menghapus semua binding resource yang menggunakan nilai tag tersebut.
Melindungi nilai tag dari penghapusan
Anda dapat membuat lapisan perlindungan tambahan untuk nilai tag dengan melampirkan penangguhan tag ke nilai tag. Penangguhan tag, seperti binding tag, mencegah pengguna menghapus nilai tag.
Beberapa resource otomatis membuat penangguhan tag pada setiap nilai tag yang dilampirkan ke resource. Penangguhan tag ini harus dihapus sebelum Anda dapat menghapus nilai tag.
Langkah berikutnya
- Untuk mengetahui informasi selengkapnya tentang cara menggunakan tag, baca halaman Membuat dan mengelola tag.
- Untuk mengetahui informasi tentang cara menggunakan tag dengan Compute Engine, lihat Mengelola tag untuk resource.
- Untuk mengetahui informasi tentang penggunaan tag aman untuk kebijakan firewall, lihat Membuat dan mengelola tag aman.