A Google Cloud hierarquia de recursos é uma maneira de organizar seus recursos em uma estrutura em árvore. Essa hierarquia ajuda a gerenciar recursos em larga escala, mas modela apenas algumas dimensões de negócios, incluindo estrutura organizacional, regiões, tipos de carga de trabalho e centros de custo. A hierarquia não possui flexibilidade para agrupar várias dimensões de negócios.
As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação obrigatória condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.
Tags e rótulos
Os rótulos são uma maneira separada de criar anotações para recursos. A tabela a seguir lista algumas das diferenças entre tags e rótulos:
| Tags | Rótulos | |
|---|---|---|
| Estrutura de recursos | Chaves de tag, valores de tag e vinculações de tag são todos recursos discretos. | Não são um recurso em si, mas metadados de recursos. |
| Definição | Eles são definidos no nível da organização ou do projeto. | São definidos para cada recurso. |
| Controle de acesso | O gerenciamento e a vinculação de tags exigem papéis do Identity and Access Management (IAM). | A vinculação de rótulos exige papéis do IAM, que variam de acordo com o recurso de serviço. |
| Pré-requisito para anexos | A chave e o valor da tag precisam ser definidos antes que ela possa ser anexada a um recurso. | Sem pré-requisitos para anexos |
| Herança | As vinculações de tags são herdadas pelos filhos do recurso na hierarquia Google Cloud . | Não são herdados por recursos filhos. |
| Requisitos de exclusão | As tags só podem ser excluídas se não houver vinculações para elas. | Pode ser removido de um recurso a qualquer momento |
| Requisitos de nomenclatura | Requisitos para valores de tag e chaves de tag | Requisitos para rótulos |
| Comprimento do nome da chave-valor | Podem ter no máximo 256 caracteres. | Podem ter 63 caracteres no máximo. |
| Suporte a políticas de permissão e negação | As tags podem ser referenciadas por condições de política de permissão e condições de política de negação. | Sem suporte para políticas de permissão e negação |
| Suporte a políticas da organização | As tags em alguns recursos podem ser referenciadas por restrições condicionais da política da organização. | Sem suporte para políticas da organização |
| Integração do Cloud Billing | Faça estornos, auditorias e outras análises de alocação de custos, exporte dados de custo do Cloud Billing para o BigQuery | Filtrar recursos por rótulo no Cloud Billing e exportar dados do Cloud Billing para o BigQuery |
Para mais informações sobre rótulos, consulte Como criar e gerenciar rótulos.
Como criar tags
As tags são estruturadas como um par de chave-valor. Um recurso de chave de tag pode ser criado nos recursos da sua organização ou projeto, e os valores da tag são recursos anexados a uma chave. Por exemplo, uma chave de tag environment com valores production e development.
Administração de tags
Os administradores podem controlar o uso de tags restringindo quem pode criar, atualizar, excluir e anexar tags aos recursos. Eles podem selecionar uma tag individual para fazer edições, como adicionar ou remover valores e atualizar a descrição. Isso permite o controle refinado das tags.
As tags podem ter uma descrição que é exibida quando as informações sobre a tag são recuperadas. A descrição ajuda os usuários que anexam a tag ao recurso a entender a finalidade dela.
Em um projeto ou organização principal, cada chave de tag precisa ser única. Isso garante que cada valor de tag, quando vinculado a um recurso, crie um pareamento exclusivo com a chave de tag.
Políticas e Tags
É possível usar tags e condições do IAM juntas para:
Depois de criar um valor de tag, é possível vinculá-lo a recursos. Em seguida, crie políticas do IAM com condições que identifiquem recursos com base no fato de uma chave de tag ter sido vinculada ao recurso. Para informações sobre como usar tags e condições do IAM, consulte Tags e acesso condicional.
Aplicação de tags obrigatórias usando políticas da organização
É possível aplicar tags obrigatórias aos recursos usando uma política da organização. Ao aplicar tags obrigatórias, só é possível criar recursos que estejam em conformidade com as políticas de inclusão de tags da sua organização. Ou seja, os recursos são vinculados aos valores das chaves de tag obrigatórias especificadas na política. Para mais informações, consulte Configurar uma restrição personalizada para aplicar tags.
A aplicação de tags obrigatórias é compatível com os seguintes tipos de recursos:
- Projetos e pastas do Resource Manager
- Instâncias do Filestore
- Recursos de cluster e backup do AlloyDB para PostgreSQL
- Fluxo de trabalho do Workflows
Herança de tags
Quando um valor de tag é anexado a um recurso, por padrão, todos os descendentes do recurso herdam o mesmo valor de tag. É possível substituir um valor de tag herdado em um recurso descendente. Para substituir um valor de tag herdado, vincule um valor de tag diferente ao recurso descendente. O valor de tag diferente precisa usar a mesma chave da tag herdada.
Por exemplo, suponha que você aplique a tag environment: development a uma pasta e que ela tenha duas pastas filho chamadas team-a e team-b.
Também é possível aplicar uma tag diferente, environment: test, à pasta
team-b. Como resultado, os projetos e outros recursos na pasta
team-a herdam a tag environment: development, e os projetos e
outros recursos na pasta team-b herdam a tag environment: test:
Se você remover a tag environment: test da pasta team-b, essa pasta e os recursos dela vão herdar a tag environment: development.
Todas as tags anexadas e herdadas por um recurso são chamadas coletivamente de tags efetivas. As tags efetivas de um recurso são uma combinação das tags anexadas diretamente a ele e de todas as tags anexadas a todos os ancestrais do recurso na hierarquia.
Ao usar tags com condições do IAM, recomendamos que você crie um valor de tag padrão seguro para cada chave de tag usada pelas condições do IAM. Vincule o valor de tag padrão seguro à sua organização para que ele seja herdado por todos os recursos dela. Mude o valor da tag apenas substituindo explicitamente
as vinculações herdadas em recursos relevantes. Por exemplo, suponha que você tenha uma condição do IAM que dependa do valor da tag on para a chave de tag enforcement, e que a chave de tag também tenha um valor de tag off.
Vincule o valor da tag enforcement: off à organização para criar um padrão seguro
que é herdado por todos os recursos dentro da organização.
Vincule apenas o valor da tag enforcement: on para os recursos selecionados na
organização.
Em seguida, crie políticas que abordem a chave de tag enforcement, com
condições que afetam um recurso se ele for enforcement: on ou
enforcement: off e um caso seguro se for enforcement: default. Se a chave de tag enforcement for removida de um recurso, ele poderá herdar o valor da tag de enforcement do recurso pai. Se nenhum recurso pai
tiver a chave de tag enforcement, o recurso vai herdar enforcement: default
do recurso da organização.
Usar uma tag padrão segura pode ajudar, mas, para evitar comportamentos não intencionais, recomendamos que você revise as tags e as políticas condicionais aplicadas antes de mover seus recursos ou remover tags.
Como excluir chaves e valores de tags
Antes de excluir um valor de tag, é necessário excluir todas as vinculações de recursos que o usam.
Como proteger valores de tag contra exclusão
É possível criar uma camada extra de proteção para os valores de tag anexando um bloqueio a eles. Um bloqueio de tag, assim como uma vinculação de tag, impede que um usuário exclua o valor da tag.
Alguns recursos criam automaticamente uma retenção em cada valor de tag anexado a eles. É necessário remover esse bloqueio antes de excluir o valor da tag.
A seguir
- Para obter mais informações sobre como usar tags, leia a página Criando e gerenciando tags.
- Para informações sobre como usar tags com o Compute Engine, consulte Gerenciar tags para recursos.
- Para informações sobre como usar tags seguras em políticas de firewall, consulte Criar e gerenciar tags seguras.