Administra etiquetas de recursos

En esta guía, se describe cómo crear y administrar etiquetas para los recursos de Compute Engine. Una etiqueta es un par clave-valor que se puede adjuntar a un recursoGoogle Cloud . Las etiquetas se usan para varios propósitos, incluidos los siguientes:

  • Permitir o rechazar políticas de manera condicional en función de si un recurso tiene una etiqueta específica
  • Definir las fuentes y los destinos en las políticas de firewall de la red global y las políticas de firewall de red regionales.
  • Organiza los recursos de forma lógica

Después de crear una etiqueta y otorgarle el acceso adecuado a la etiqueta y al recurso, puedes adjuntarla como un par clave-valor. Puedes adjuntar exactamente un valor a un recurso para una clave determinada. Por ejemplo, si adjuntas la etiqueta environment: development, no puedes adjuntar las etiquetas environment: production o environment: test. Cada recurso puede tener un máximo de 50 pares clave-valor adjuntos.

Para adjuntar etiquetas a los recursos, debes crear un recurso de vinculación de etiqueta que vincule el valor de la etiqueta al recurso Google Cloud . Para obtener más información sobre las etiquetas y cómo funcionan, consulta el documento Descripción general de etiquetas.

Antes de comenzar

  • Lee la descripción general de las etiquetas en la documentación de Resource Manager.
  • Lee Crea y administra etiquetas en la documentación de Resource Manager.
  • Si aún no lo hiciste, configura la autenticación. La autenticación verifica tu identidad para acceder a los servicios y las APIs de Google Cloud . Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

      gcloud init

      Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    2. Set a default region and zone.

    REST

    Para usar las muestras de la API de REST incluidas en esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la gcloud CLI.

    Para obtener más información, consulta Autentícate para usar REST en la documentación de autenticación de Google Cloud .

Roles obligatorios

Para obtener los permisos que necesitas para crear y administrar etiquetas para los recursos de Compute Engine, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización o proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear y administrar etiquetas para los recursos de Compute Engine. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear y administrar etiquetas para los recursos de Compute Engine:

  • Ver etiquetas:
    • resourcemanager.tagKeys.get
    • resourcemanager.tagKeys.list
    • resourcemanager.tagValues.list
    • resourcemanager.tagValues.get
    • compute.instances.listTagBindings
    • compute.instances.listEffectiveTags
    • resourcemanager.projects.get
  • Crea etiquetas:
    • resourcemanager.tagKeys.create
    • resourcemanager.tagValues.create
    • resourcemanager.tagKeys.setIamPolicy
    • resourcemanager.tagValues.setIamPolicy
  • Administrar etiquetas:
    • resourcemanager.tagKeys.update
    • resourcemanager.tagValues.update
    • resourcemanager.tagKeys.delete
    • resourcemanager.tagValues.delete
    • resourcemanager.tagKeys.getIamPolicy
    • resourcemanager.tagValues.getIamPolicy
    • resourcemanager.tagKeys.setIamPolicy
    • resourcemanager.tagValues.setIamPolicy
  • Agrega o quita etiquetas para una instancia de procesamiento:
    • compute.instances.createTagBinding
    • compute.instances.deleteTagBinding
    • resourcemanager.tagValueBindings.create
    • resourcemanager.tagValueBindings.delete

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Recursos admitidos

Compute Engine admite el etiquetado para los siguientes recursos:

  • Solo después de la creación del recurso:

    • Grupos de instancias administrados (MIG)
    • Verificaciones de estado

  • Durante y después de la creación del recurso:

    • Instancias de máquina virtual (VM)
    • Discos
    • Imágenes
    • Instantáneas
    • Redes de VPC
    • Subredes de VPC
    • Reglas de firewall de VPC
    • Rutas de VPC
    • Cloud Routers

Agrega etiquetas a un recurso

Puedes adjuntar etiquetas existentes a ciertos recursos. Después de crear el recurso, adjunta etiquetas a ese recurso siguiendo las instrucciones que se indican a continuación.

Console

Según el tipo de recurso, los pasos exactos pueden variar. Por ejemplo, con los siguientes pasos, se adjunta una etiqueta a una VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la VM a la que deseas agregar etiquetas.

  4. En la página de detalles de la instancia de VM, completa los siguientes pasos:

    1. Haz clic en Editar.
    2. En la sección Información básica, haz clic en Administrar etiquetas y agrega las etiquetas que deseas para la instancia.
    3. Haz clic en Guardar.

gcloud

Para obtener información sobre cómo usar estas marcas, consulta Adjunta etiquetas a los recursos en la documentación de Resource Manager.

Por ejemplo, el siguiente comando adjunta una etiqueta a una VM:

gcloud resource-manager tags bindings create \
    --location=LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=FULL_RESOURCE_NAME

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la zona en la que se encuentra la instancia. Para un recurso global, omite la marca --location.
  • TAGVALUE_ID: ID numérico del valor de la etiqueta

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia de VM:

    //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia de VM.

REST

Para adjuntar una etiqueta a un recurso, primero debes crear una representación JSON de una vinculación de etiqueta que incluya el ID permanente o el nombre del espacio de nombres del valor de la etiqueta y el ID permanente del recurso. Para obtener más información sobre el formato de una vinculación de etiqueta, consulta la referencia de tagBindings.

Para adjuntar la etiqueta a un recurso zonal, como una instancia de VM, usa el método tagBindings.create con el extremo regional en el que se encuentra tu recurso. Por ejemplo:

POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

El cuerpo de la solicitud puede ser una de las siguientes dos opciones:

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValue": "tagValue/TAGVALUE_ID"
}

{
  "parent": "FULL_RESOURCE_NAME",
  "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME
}

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la ubicación del recurso zonal o regional. En el caso de una instancia de VM, especifica la zona. Para un recurso global, omite el parámetro LOCATION_NAME-.

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia de VM:

    //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia de VM.

  • TAGVALUE_ID: Es el ID permanente del valor de la etiqueta que se adjunta; por ejemplo, 4567890123.

  • TAGVALUE_NAMESPACED_NAME: Es el nombre del espacio de nombres del valor de la etiqueta que se adjunta y tiene el siguiente formato: parentNamespace/tagKeyShortName/tagValueShortName

Agrega etiquetas a un recurso durante su creación

En ciertas situaciones, es posible que desees etiquetar recursos durante la creación del recurso, en lugar de hacerlo después de crearlo.

Console

Según el tipo de recurso, los pasos exactos pueden variar. Los siguientes pasos son para una VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona el proyecto y haz clic en Continuar.

  3. Haz clic en Crear instancia. Aparecerá la página Crear una instancia, en la que se mostrará el panel Configuración de la máquina.

  4. En el menú de navegación, haz clic en Opciones avanzadas. En el panel Avanzado que aparece, haz lo siguiente:

    1. Expande la sección Administrar etiquetas de instancia y etiquetas de recurso.
    2. Haz clic en Agregar etiquetas.
    3. En el panel Etiquetas que se abre, sigue las instrucciones para agregar una etiqueta a la instancia.
    4. Haz clic en Guardar.

  5. Especifica otros parámetros de configuración para tu instancia. Para obtener más información, consulta Opciones de configuración durante la creación de instancias.

  6. Para crear y, también, iniciar la VM, haz clic en Crear.

gcloud

Para adjuntar una etiqueta a un recurso durante la creación del recurso, agrega la marca --resource-manager-tags con el comando create correspondiente. Por ejemplo, para adjuntar una etiqueta a una VM, usa el siguiente comando:

  gcloud compute instances create INSTANCE_NAME \
      --zone=ZONE \
      --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID

Reemplaza lo siguiente:

  • INSTANCE_NAME: El nombre de tu instancia de VM
  • ZONE: La zona que contiene la instancia de VM
  • TAGKEY_ID: El ID numérico de clave de etiqueta
  • TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Para especificar varias etiquetas, sepáralas con una coma, por ejemplo, TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2.

REST

Realiza una solicitud POST a la siguiente URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

Incluye el siguiente JSON de la solicitud:

{
  "name": INSTANCE_NAME,
  "params": {
    "resourceManagerTags": {
      "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID",
    },
  }
  // other fields omitted
}

Reemplaza lo siguiente:

  • INSTANCE_NAME: El nombre de tu instancia de VM
  • TAGKEY_ID: El ID numérico de clave de etiqueta
  • TAGVALUE_ID: Es el ID numérico permanente del valor de la etiqueta que se adjunta; por ejemplo: 4567890123.

Usa etiquetas con reglas de firewall

Para habilitar de forma segura el tráfico de red a una instancia específica de Compute Engine, puedes aplicar una etiqueta de red o una etiqueta segura a la instancia. Luego, puedes crear una regla de firewall que se dirija a esa etiqueta. Esto es útil para administrar el acceso a tus instancias a gran escala.

Por ejemplo, supongamos que tienes una instancia de procesamiento que ejecuta un servidor web y creaste una nueva aplicación web a la que el público debe poder acceder en el puerto HTTP estándar (80). Puedes usar una etiqueta de red o segura para implementar una regla de firewall que otorgue acceso HTTP solo a la instancia de procesamiento en la que se ejecuta el servidor web.

Si deseas obtener instrucciones para crear etiquetas que se puedan usar en políticas de firewall, consulta lo siguiente:

  • Para usar etiquetas de red con reglas de firewall de VPC, consulta Agrega etiquetas de red.
  • Para usar etiquetas seguras con políticas de firewall jerárquicas, políticas de firewall de red globales y regionales, o bien con fuentes conectadas a través del intercambio de tráfico entre redes de VPC, consulta Crea y administra etiquetas seguras.

Para obtener información sobre si debes usar cuentas de servicio o etiquetas de red para definir objetivos y fuentes para las reglas de entrada de red, consulta Filtra por cuenta de servicio en comparación con etiqueta de red.

Desconecta una etiqueta de un recurso

Para desconectar una etiqueta de un recurso, borra el recurso de vinculación de etiquetas.

Para revisar las instrucciones sobre cómo desconectar etiquetas, consulta Desconecta una etiqueta de un recurso en la documentación de Resource Manager.

Console

Según el tipo de recurso, los pasos exactos pueden ser un poco diferentes. Por ejemplo, con los siguientes pasos, se separa una etiqueta de una instancia de VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona tu proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la instancia de la que deseas quitar las etiquetas.

  4. En la página de detalles de la instancia de VM, completa los siguientes pasos:

    1. Haz clic en Editar.
    2. En el caso de las etiquetas de Resource Manager, en la sección Información básica, haz clic en Administrar etiquetas. Quita las etiquetas que desees para la instancia. Solo puedes quitar las etiquetas que se agregaron directamente a la instancia.
    3. En el caso de las etiquetas de red, en la sección Herramientas de redes, quita la etiqueta de la lista Etiquetas de red.
    4. Haz clic en Guardar.

gcloud

Para desvincular una etiqueta de una instancia de procesamiento, usa el comando resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --location=LOCATION_NAME \
    --tag-value=tagValues/TAGVALUE_ID \
    --parent=FULL_RESOURCE_NAME

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la zona en la que se encuentra la instancia. Para un recurso global, omite la marca --location=LOCATION_NAME \.
  • TAGVALUE_ID: ID numérico del valor de la etiqueta

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia:

    //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia.

Para actualizar o reemplazar una vinculación de etiqueta existente por otra, desconecta la vinculación de etiqueta anterior y adjunta la nueva.

REST

Para borrar una vinculación de etiqueta adjunta a un recurso, como una instancia de procesamiento, usa el método tagBindings.delete con el extremo regional en el que se encuentra tu recurso.

DELETE https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la ubicación del recurso zonal o regional. En el caso de una instancia, especifica la zona. Para un recurso global, omite el parámetro LOCATION_NAME-.
  • TAGBINDINGS_NAME: Es el ID permanente del objeto TagBinding; por ejemplo: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456.

Visualiza etiquetas conectadas a un recurso

Para revisar las instrucciones detalladas sobre cómo enumerar etiquetas, consulta Enumera todas las etiquetas conectadas a un recurso en la documentación de Resource Manager.

Console

Según el tipo de recurso, los pasos exactos pueden ser un poco diferentes. Por ejemplo, con los siguientes pasos, se muestra cómo ver las etiquetas de una instancia de VM:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona tu proyecto y haz clic en Continuar.

  3. En la columna Nombre, haz clic en el nombre de la instancia de la que deseas ver las etiquetas.

  4. En la página de detalles de la instancia de VM, busca etiquetas en la sección Etiquetas.

gcloud

Para obtener una lista de vinculaciones de etiquetas adjuntas a un recurso, usa el comando gcloud resource-manager tags bindings list: Si agregas la marca --effective, también se mostrará una lista de etiquetas heredadas por este recurso. Por ejemplo:

gcloud resource-manager tags bindings list \
    --location=LOCATION_NAME \
    --parent=FULL_RESOURCE_NAME

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la zona en la que se encuentra la instancia. Para un recurso global, omite la marca --location=LOCATION_NAME \.

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia:

      //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia.

Si agregas la marca --effective al comando tags bindings list, también se mostrará una lista de todas las etiquetas heredadas por este recurso.

El resultado es similar a lo siguiente:

namespacedTagKey: 961309089256/environment
namespacedTagValue: 961309089256/environment/production
tagKey: tagKeys/417628178507
tagValue: tagValues/247197504380
inherited: true

Si todas las etiquetas evaluadas en un recurso se adjuntan directamente, el campo inherited es falso y se omite.

REST

Si deseas enumerar las vinculaciones de etiquetas conectadas a un recurso regional, como las instancias de Compute Engine, usa el método tagBindings.list con el extremo regional en el que se encuentra tu recurso. Por ejemplo:

GET https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings

{
    "parent": "FULL_RESOURCE_NAME"
}

Reemplaza lo siguiente:

  • LOCATION_NAME: Es la ubicación del recurso zonal o regional. En el caso de una instancia, especifica la zona. Para un recurso global, omite el parámetro LOCATION_NAME-.

  • FULL_RESOURCE_NAME: Es el nombre completo del recurso del recurso de destino. En este ejemplo, es el nombre completo del recurso de la instancia:

      //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/INSTANCE_ID

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el ID numérico del proyecto que contiene el recurso de destino.
    • ZONE: la zona que contiene la instancia
    • INSTANCE_ID: Es el ID de la instancia.

¿Qué sigue?