A Google Cloud hierarquia de recursos é uma maneira de organizar seus recursos em uma estrutura em árvore. Essa hierarquia ajuda a gerenciar recursos em grande escala, mas modela apenas algumas dimensões de negócios, incluindo estrutura organizacional, regiões, tipos de carga de trabalho e centros de custo. A hierarquia não tem flexibilidade para agrupar várias dimensões de negócios.
As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação obrigatória condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.
Tags e rótulos
Os rótulos são uma maneira separada de criar anotações para recursos. A tabela a seguir lista algumas das diferenças entre tags e rótulos:
| Tags | Rótulos | |
|---|---|---|
| Estrutura de recursos | Chaves de tag, valores de tag e vinculações de tag são todos recursos discretos. | Não são um recurso em si, mas metadados de recursos. |
| Definição | Eles são definidos no nível da organização ou do projeto. | São definidos para cada recurso. |
| Controle de acesso | A gestão e o anexo de tags exigem papéis de gerenciamento de identidade e acesso (IAM) | A inclusão de rótulos requer papéis do IAM, que variam de acordo com o recurso do serviço. |
| Pré-requisito para anexo | A chave e o valor da tag precisam ser definidos antes que ela possa ser anexada a um recurso. | Sem pré-requisitos para anexos |
| Herança | As vinculações de tags são herdadas por recursos filhos na hierarquia Google Cloud | Não são herdados por recursos filhos. |
| Requisitos de exclusão | As tags só podem ser excluídas se não houver vinculações para elas. | Podem ser removidos de um recurso a qualquer momento |
| Requisitos de nomenclatura | Requisitos para valores de tags e chaves de tags | Requisitos para rótulos |
| Comprimento do nome da chave/valor | Podem ter no máximo 256 caracteres. | Podem ter 63 caracteres no máximo. |
| Suporte a políticas do IAM | As tags podem ser referenciadas por condições de políticas do IAM | Sem suporte à política do IAM |
| Suporte a políticas da organização | As tags em alguns recursos podem ser referenciadas por restrições condicionais da política da organização | Sem suporte à política da organização |
| Integração do Cloud Billing | Realize chargebacks, auditorias e outras análises de alocação de custos. Exporte dados de custo do Cloud Billing para o BigQuery. | Filtrar recursos por rótulo no Cloud Billing e exportar dados do Cloud Billing para o BigQuery |
Para mais informações sobre rótulos, consulte Como criar e gerenciar rótulos.
Como criar tags
As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado nos recursos da sua organização ou projeto, e os valores de tag são recursos anexados a uma chave. Por exemplo, uma chave de tag environment com os valores
production e development.
Administração de tags
Os administradores podem controlar o uso de tags restringindo quem pode criar, atualizar, excluir e anexar tags aos recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite o controle refinado das tags.
As tags podem receber uma descrição, que será exibida quando as informações sobre a tag forem recuperadas. Essa descrição garante que quem estiver anexando a tag ao recurso entenda o objetivo dela.
Uma tag só pode ter um valor para uma determinada chave em um recurso específico. Por exemplo, um projeto com a chave de tag environment e o valor production não poderia ter também o valor development para a chave environment.
Políticas e Tags
Use tags com políticas compatíveis para aplicá-las condicionalmente. Torne a presença ou ausência de um valor de tag uma condição para essa política.
Por exemplo, é possível conceder papéis de gerenciamento de identidade e acesso (IAM) condicionalmente e negar condicionalmente permissões do IAM com base no fato de um recurso ter uma tag específica.
Depois de criar uma tag, você pode aplicá-la aos recursos. Em seguida, crie políticas condicionais com base no fato de uma tag estar anexada a um recurso compatível. A política entrará em vigor com base na presença ou ausência das tags anexadas aos recursos.
Para saber como usar tags com o Identity and Access Management (IAM) para controlar o acesso aos recursos Google Cloud , consulte Tags e controle de acesso.
Para saber como usar tags com políticas da organização, consulte Como definir uma política da organização com tags.
Aplicação de tags obrigatórias usando políticas da organização
É possível aplicar tags obrigatórias em recursos usando uma política da organização. A aplicação de tags obrigatórias permite que você garanta que os recursos estejam em conformidade com as políticas de inclusão de tags da sua organização, negando a criação de recursos que não estão vinculados aos valores de tag das chaves obrigatórias especificadas na política.
Para saber como aplicar tags obrigatórias usando políticas personalizadas da organização, consulte Como aplicar tags obrigatórias em recursos.
A aplicação de tags obrigatórias é compatível com os seguintes tipos de recursos:
- Projetos e pastas do Resource Manager
- Instâncias do Filestore
- Recursos de cluster e backup do AlloyDB para PostgreSQL
- Fluxo de trabalho do Workflows
Herança de tags
Quando um par de chave-valor de tag é anexado a um recurso, todos os descendentes do recurso herdam a tag. É possível substituir uma tag herdada em um recurso descendente. Para substituir uma tag herdada, aplique uma tag usando a mesma chave da tag herdada, mas use um valor diferente.
Por exemplo, suponha que você aplique a tag environment: development a uma pasta e que ela tenha duas pastas filho chamadas team-a e team-b. Também é possível aplicar uma tag diferente, environment: test, à pasta team-b. Como resultado, os projetos e outros recursos na pasta team-a herdam a tag
environment: development e projetos e outros recursos na pasta team-b
herdam a tagenvironment: test:
Se você remover a tag environment: test da pasta team-b, essa pasta e os recursos dela herdarão a tag environment: development.
Todas as tags anexadas e herdadas por um recurso são chamadas de tags efetivas. As tags efetivas de um recurso são uma combinação das tags diretamente anexadas a ele, bem como todas as tags anexadas a todos os ancestrais do recurso em toda a hierarquia.
Ao usar tags para gerenciar políticas, é recomendável criar uma tag padrão segura.
Isso significa definir uma tag no nível do recurso da organização que será herdada em toda a hierarquia de recursos. Por exemplo, uma chave de tag com o nome curto enforcement e os valores default, on ou off. Se você definir enforcement: default no nível da sua organização, essa tag seria herdada por todos os recursos, a menos que seja substituída em níveis inferiores.
Em seguida, crie políticas que abordem a chave de tag enforcement, com
condições que afetariam um recurso se ele fosse enforcement: on ou
enforcement: off e um caso seguro se fosse enforcement: default. Se a tag enforcement fosse removida de um recurso, ela herdaria o valor da tag de enforcement do recurso pai. Se nenhum recurso pai
tiver a tag enforcement, ele herdaria enforcement: default do
recurso da organização.
Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos não intencionais, você precisa revisar as tags e as políticas condicionais aplicadas antes de mover seus recursos ou remover tags.
Como excluir chaves e valores de tags
Ao remover uma chave de tag ou definição de valor, se essa tag estiver anexada a um recurso, a remoção falhará. Você precisa excluir os anexos de tag existentes, chamados de vinculações de tag, antes de excluir a definição da tag em si.
Como proteger os valores de tags contra exclusão
É possível criar uma camada extra de proteção para os valores de tag anexando um bloqueio a um valor. Um bloqueio de tag, assim como uma vinculação de tag, impede que um usuário exclua o valor da tag.
Alguns recursos criam automaticamente uma retenção de tag em cada valor de tag anexado ao recurso. Esse bloqueio precisa ser removido antes que um usuário possa excluir o valor da tag.
A seguir
- Para obter mais informações sobre como usar tags, leia a página Criando e gerenciando tags.
- Para saber como usar tags com o Compute Engine, consulte Gerenciar tags de recursos.