La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui struttura organizzativa, regioni, tipi di carico di lavoro e centri di costo. La gerarchia non offre la flessibilità necessaria per combinare più dimensioni aziendali.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.
Tag ed etichette
Le etichette sono un modo separato per creare annotazioni per le risorse. La seguente tabella elenca alcune differenze tra tag ed etichette:
| Tag | Etichette | |
|---|---|---|
| Struttura delle risorse | Le chiavi tag, i valori tag e le associazioni di tag sono tutte risorse discrete | Non è una risorsa in sé, ma metadati per le risorse |
| Definizione | Definito a livello di organizzazione o progetto | Definito da ogni risorsa |
| Controllo dell'accesso | La gestione e l'associazione dei tag richiedono ruoli IAM (Identity and Access Management). | L'allegato delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio |
| Prerequisito per l'allegato | La chiave tag e il valore tag devono essere definiti prima che un tag possa essere collegato a una risorsa | Nessun prerequisito per l'allegato |
| Ereditarietà | Le associazioni di tag vengono ereditate dai figli della risorsa nella gerarchia Google Cloud . | Non ereditata dai figli della risorsa |
| Requisiti per l'eliminazione | I tag non possono essere eliminati a meno che non esistano associazioni di tag per quel tag | Può essere rimosso da una risorsa in qualsiasi momento |
| Requisiti di denominazione | Requisiti per i valori dei tag e le chiavi dei tag | Requisiti per le etichette |
| Lunghezza del nome della coppia chiave-valore | Massimo 256 caratteri | Massimo 63 caratteri |
| Supporto delle policy di autorizzazione e di negazione | È possibile fare riferimento ai tag nelle condizioni dei criteri di autorizzazione e nelle condizioni dei criteri di negazione. | Nessun supporto per le policy di autorizzazione e di negazione |
| Supporto dei criteri dell'organizzazione | È possibile fare riferimento ai tag di alcune risorse tramite i vincoli condizionali delle policy dell'organizzazione | Nessun supporto per le policy dell'organizzazione |
| Integrazione di Cloud Billing | Esegui storni, audit e altre analisi di allocazione dei costi, esporta i dati sui costi di fatturazione Cloud in BigQuery | Filtrare le risorse per etichetta in Cloud Billing, esportare i dati di fatturazione Cloud in BigQuery |
Per saperne di più sulle etichette, vedi Creare e gestire le etichette.
Creazione di tag
I tag sono strutturati come coppia chiave-valore. Una risorsa chiave tag può essere creata nelle risorse dell'organizzazione o del progetto e i valori dei tag sono risorse collegate a una chiave, ad esempio una chiave tag environment con valori production e development.
Amministrazione dei tag
Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e collegare i tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori e aggiornare la descrizione. Ciò consente un controllo granulare dei tag.
I tag possono facoltativamente avere una descrizione visualizzata quando vengono recuperate informazioni sul tag. La descrizione aiuta gli utenti che collegano il tag alla risorsa a comprenderne lo scopo.
In un progetto o un'organizzazione padre, ogni chiave tag deve essere univoca. In questo modo, ogni valore del tag, quando è associato a una risorsa, crea un accoppiamento univoco con la relativa chiave del tag.
Norme e tag
Puoi utilizzare i tag e le condizioni IAM insieme per:
Dopo aver creato un valore tag, puoi associarlo alle risorse. Puoi quindi creare criteri IAM con condizioni che identificano le risorse in base al fatto che una chiave tag sia stata associata alla risorsa. Per informazioni sull'utilizzo dei tag e delle condizioni IAM, consulta Tag e accesso condizionale.
Applicazione dei tag obbligatori mediante i criteri dell'organizzazione
Puoi applicare tag obbligatori alle risorse utilizzando un criterio dell'organizzazione. Quando applichi i tag obbligatori, puoi creare solo risorse conformi ai criteri di tagging della tua organizzazione, ovvero le risorse sono associate ai valori tag per le chiavi tag obbligatorie specificate nel criterio. Per ulteriori informazioni, vedi Configurare un vincolo personalizzato per applicare i tag.
L'applicazione dei tag obbligatori è supportata per i seguenti tipi di risorse:
- Progetti e cartelle di Resource Manager
- Istanze Filestore
- Risorse di backup e cluster AlloyDB per PostgreSQL
- Workflow di Workflows
Ereditarietà dei tag
Quando un valore tag è associato a una risorsa, per impostazione predefinita tutti i discendenti della risorsa ereditano lo stesso valore tag. Puoi ignorare un valore di tag ereditato in una risorsa discendente. Per sostituire un valore del tag ereditato, associa un valore del tag diverso alla risorsa discendente. Il valore del tag diverso deve utilizzare la stessa chiave tag del valore del tag ereditato.
Ad esempio, supponiamo di applicare il tag environment: development a una cartella e che la cartella abbia due cartelle secondarie denominate team-a e team-b.
Puoi anche applicare un tag diverso, environment: test, alla cartella
team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development, mentre i progetti e le altre risorse nella cartella team-b ereditano il tag environment: test:
Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse ereditano il tag environment: development.
Tutti i tag associati a ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi per una risorsa sono una combinazione dei tag collegati direttamente alla risorsa e di tutti i tag collegati a tutti i predecessori della risorsa nella gerarchia.
Quando utilizzi i tag con le condizioni IAM, ti consigliamo di
creare un valore di tag predefinito sicuro per ogni chiave tag utilizzata dalle
condizioni IAM. Applica il valore del tag predefinito sicuro associando
questo valore del tag alla tua organizzazione in modo che venga ereditato da tutte le risorse
all'interno dell'organizzazione. Modifica il valore del tag solo eseguendo l'override esplicito
delle associazioni ereditate nelle risorse pertinenti. Ad esempio, supponiamo di avere una
condizione IAM che dipende dal valore del tag on per
la chiave tag enforcement e che la chiave tag abbia anche un valore tag off.
Collega il valore del tag enforcement: off all'organizzazione per creare un valore predefinito sicuro
che viene ereditato da tutte le risorse all'interno dell'organizzazione.
Associa solo il valore del tag enforcement: on per le risorse selezionate all'interno
dell'organizzazione.
Puoi quindi scrivere criteri che riguardano la chiave del tag enforcement, con condizioni che influiscono su una risorsa se è enforcement: on o enforcement: off e un caso sicuro se è enforcement: default. Se la chiave del tag enforcement viene rimossa da una risorsa, quest'ultima può ereditare il valore del tag per enforcement dalla risorsa padre. Se nessuna risorsa padre
ha la chiave del tag enforcement, la risorsa eredita enforcement: default
dalla risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti imprevisti, ti consigliamo di esaminare i tag e le norme condizionali in vigore prima di spostare le risorse o rimuovere i tag.
Eliminazione di chiavi e valori dei tag
Prima di poter eliminare un valore tag, devi eliminare tutte le associazioni di risorse che utilizzano il valore tag.
Protezione dei valori dei tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori dei tag collegando una sospensione del tag a un valore del tag. Un blocco tag, come un'associazione tag, impedisce a un utente di eliminare il valore tag.
Alcune risorse creano automaticamente una sospensione dei tag per ogni valore del tag collegato alla risorsa. Questo blocco del tag deve essere rimosso prima di poter eliminare il valore del tag.
Passaggi successivi
- Per saperne di più su come utilizzare i tag, consulta la pagina Creazione e gestione dei tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, vedi Gestisci i tag per le risorse.
- Per informazioni sull'utilizzo dei tag sicuri per i criteri firewall, vedi Creare e gestire tag sicuri.