Die Google Cloud Ressourcenhierarchie ist eine Möglichkeit, Ihre Ressourcen in einer Baumstruktur zu organisieren. Diese Hierarchie hilft Ihnen, Ressourcen in großem Maßstab zu verwalten, modelliert aber nur einige Geschäftsdimensionen, darunter Organisationsstruktur, Regionen, Workload-Typen und Kostenstellen. Der Hierarchie fehlt die Flexibilität, mehrere Geschäftsdimensionen miteinander zu verbinden.
Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien bedingt zulassen oder ablehnen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Sie können Tags und eine bedingte Durchsetzung von Richtlinien verwenden, um Ihre Ressourcenhierarchie genau zu steuern.
Tags und Labels
Labels sind eine separate Möglichkeit, Annotationen für Ressourcen zu erstellen. In der folgenden Tabelle sind einige der Unterschiede zwischen Tags und Labels aufgeführt:
| Tags | Labels | |
|---|---|---|
| Ressourcenstruktur | Tag-Schlüssel, Tag-Werte und Tag-Bindungen sind alle separate Ressourcen | Keine Ressource an sich, sondern Metadaten für Ressourcen |
| Definition | Auf Organisations- oder Projektebene definiert | Von jeder Ressource definiert |
| Zugriffskontrolle | Für die Verwaltung und das Anhängen von Tags sind IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) erforderlich | Für das Anhängen von Labels sind IAM-Rollen erforderlich, die je nach Dienstressource variieren |
| Voraussetzung für das Anhängen | Der Tag-Schlüssel und der Tag-Wert müssen definiert sein, bevor ein Tag an eine Ressource angehängt werden kann | Keine Voraussetzungen für das Anhängen |
| Übernahme | Tag-Bindungen werden von untergeordneten Elementen der Ressource in der Google Cloud Hierarchie übernommen | Werden nicht von untergeordneten Elementen der Ressource übernommen |
| Anforderungen für das Löschen | Tags können nur gelöscht werden, wenn keine Tag-Bindungen für dieses Tag vorhanden sind | Können jederzeit aus einer Ressource entfernt werden |
| Anforderungen für die Benennung | Anforderungen für Tag-Werte und Tag-Schlüssel | Anforderungen für Labels |
| Länge des Schlüssel/Wert-Namens | Maximal 256 Zeichen | Maximal 63 Zeichen |
| Unterstützung von Zulassungs- und Ablehnungsrichtlinien | Auf Tags kann in Bedingungen für Zulassungs- und Ablehnungsrichtlinien verwiesen werden | Keine Unterstützung von Zulassungs- und Ablehnungsrichtlinien |
| Unterstützung von Organisationsrichtlinien | Auf Tags für einige Ressourcen kann in bedingten Einschränkungen von Organisationsrichtlinien verwiesen werden | Keine Unterstützung von Organisationsrichtlinien |
| Cloud Billing-Einbindung | Rückbuchungen, Audits und andere Analysen der Kostenzuweisung durchführen, Cloud Billing-Kostendaten nach BigQuery exportieren | Ressourcen in Cloud Billing nach Label filtern, Cloud Billing-Daten nach BigQuery exportieren |
Weitere Informationen zu Labels finden Sie unter Labels erstellen und verwalten.
Tags erstellen
Tags bestehen aus einem Schlüssel/Wert-Paar. Eine Tag-Schlüsselressource kann unter Ihren Organisations- oder Projektressourcen erstellt werden und Tag-Werte sind Ressourcen, die mit einem Schlüssel verknüpft sind, z. B. ein Tag-Schlüssel environment mit den Werten production und development.
Tag-Administration
Administratoren können die Verwendung von Tags steuern, indem sie einschränken, wer Tags erstellen, aktualisieren, löschen und an Ressourcen anhängen kann. Sie können ein einzelnes Tag auswählen, um Änderungen vorzunehmen, z. B. Werte hinzuzufügen oder zu entfernen und die Beschreibung zu aktualisieren. Dies ermöglicht eine differenzierte Steuerung Ihrer Tags.
Tags können optional eine Beschreibung haben, die angezeigt wird, wenn Informationen über das Tag abgerufen werden. Die Beschreibung hilft Nutzern, die das Tag an die Ressource anhängen, den Zweck des Tags zu verstehen.
In einem übergeordneten Projekt oder einer übergeordneten Organisation muss jeder Tag-Schlüssel eindeutig sein. Dadurch wird sichergestellt, dass jeder Tag-Wert beim Binden an eine Ressource eine eindeutige Kombination mit seinem Tag-Schlüssel bildet.
Richtlinien und Tags
Sie können Tags und IAM-Bedingungen zusammen verwenden, um:
Nachdem Sie einen Tag-Wert erstellt haben, können Sie ihn an Ressourcen binden. Anschließend können Sie dann IAM-Richtlinien mit Bedingungen erstellen, die Ressourcen danach identifizieren, ob ein Tag-Schlüssel an die Ressource gebunden wurde. Informationen zur Verwendung von Tags und IAM-Bedingungen finden Sie unter Tags und bedingter Zugriff.
Erzwingen obligatorischer Tags mit Organisationsrichtlinien
Sie können obligatorische Tags für Ressourcen mit einer benutzerdefinierten Organisationsrichtlinie erzwingen. Wenn Sie obligatorische Tags erzwingen, können Sie nur Ressourcen erstellen, die den Tagging-Richtlinien Ihrer Organisation entsprechen. Das heißt, Ressourcen werden mit den Tag-Werten für die in der Richtlinie angegebenen obligatorischen Tag-Schlüssel gebunden. Weitere Informationen finden Sie unter Benutzerdefinierte Einschränkung zum Erzwingen von Tags einrichten.
Das Erzwingen obligatorischer Tags wird für die folgenden Ressourcentypen unterstützt:
- Resource Manager-Projekte und -Ordner
- Filestore-Instanzen
- AlloyDB for PostgreSQL-Cluster- und -Sicherungsressourcen
- Workflows-Workflow
- Compute Engine-Ressourcen:
- Instanzen
- Laufwerke
- VPC-Ressourcen:
- Netzwerke
- Subnetzwerke
- Firewallregeln
- Routen
Tag-Vererbung
Wenn ein Tag-Wert an eine Ressource angehängt wird, übernehmen standardmäßig alle Nachfolger der Ressource denselben Tag-Wert. Sie können einen übernommenen Tag-Wert für eine untergeordnete Ressource überschreiben. Binden Sie dazu einen anderen Tag-Wert an die untergeordnete Ressource. Der andere Tag-Wert muss denselben Tag-Schlüssel wie der übernommene Tag-Wert verwenden.
Angenommen, Sie wenden das Tag environment: development auf einen Ordner an und der Ordner hat zwei untergeordnete Ordner mit den Namen team-a und team-b.
Sie können auch ein anderes Tag (environment: test) auf den Ordner team-b anwenden. Projekte und andere Ressourcen im Ordner team-a übernehmen das Tag environment: development. Projekte und andere Ressourcen im Ordner team-b übernehmen das Tag environment: test:
Wenn Sie das Tag environment: test aus dem Ordner team-b entfernen, übernehmen dieser Ordner und seine Ressourcen das Tag environment: development.
Alle Tags, die an eine Ressource angehängt sind und von ihr übernommen wurden, werden kollektiv als geltende Tags bezeichnet. Die geltenden Tags für eine Ressource sind eine Kombination aus den direkt angehängten Tags sowie allen Tags, die an alle Vorgänger der Ressource in der Hierarchie angehängt sind.
Wenn Sie Tags mit IAM-Bedingungen verwenden, empfehlen wir, für jeden Tag-Schlüssel, der von Ihren IAM-Bedingungen verwendet wird, einen sicheren Standard-Tag-Wert zu erstellen. Wenden Sie den sicheren Standard-Tag-Wert an, indem Sie ihn an Ihre Organisation binden, damit er von allen Ressourcen in der Organisation übernommen wird. Ändern Sie den Tag-Wert nur, indem Sie übernommene Bindungen für relevante Ressourcen explizit überschreiben.
Angenommen, Sie haben eine IAM-Bedingung, die vom Tag-Wert on für den Tag-Schlüssel enforcement abhängt, und der Tag-Schlüssel hat auch einen Tag-Wert off. Binden Sie den Tag-Wert enforcement: off an die Organisation, um einen sicheren Standardwert zu erstellen, der von allen Ressourcen in der Organisation übernommen wird.
Binden Sie den Tag-Wert enforcement: on nur an ausgewählte Ressourcen in der Organisation.
Sie können dann Richtlinien schreiben, die sich auf den enforcement Tag-Schlüssel beziehen, mit
Bedingungen, die sich auf eine Ressource auswirken, wenn für sie enforcement: on oder
enforcement: off festgelegt ist, und auf einen sicheren Fall, wenn enforcement: default festgelegt ist. Wenn der Tag-Schlüssel enforcement aus einer Ressource entfernt wird, kann die Ressource den Tag-Wert für enforcement von der übergeordneten Ressource übernehmen. Wenn keine übergeordnete Ressource
den enforcement Tag-Schlüssel hat, übernimmt die Ressource enforcement: default
aus der Organisationsressource.
Die Verwendung eines sicheren Standard-Tags kann helfen, aber um unbeabsichtigtes Verhalten zu vermeiden, empfehlen wir, die Tags und bedingten Richtlinien zu prüfen, bevor Sie Ihre Ressourcen verschieben oder Tags entfernen.
Tag-Schlüssel und -Werte löschen
Bevor Sie einen Tag-Wert löschen können, müssen Sie alle Ressourcenbindungen löschen, die den Tag-Wert verwenden.
Tag-Werte vor dem Löschen schützen
Sie können eine zusätzliche Schutzebene für Ihre Tag-Werte erstellen, indem Sie einen Tag-Hold an einen Tag-Wert anhängen. Ein Tag-Hold verhindert wie eine Tag-Bindung, dass ein Nutzer den Tag-Wert löscht.
Bei einigen Ressourcen wird automatisch ein Tag-Hold für jeden Tag-Wert erstellt, der an die Ressource angehängt ist. Dieser Tag-Hold muss entfernt werden, bevor Sie den Tag-Wert löschen können.
Nächste Schritte
- Weitere Informationen zur Verwendung von Tags finden Sie auf der Seite Tags erstellen und verwalten.
- Informationen zur Verwendung von Tags mit Compute Engine finden Sie unter Tags für Ressourcen verwalten.
- Informationen zur Verwendung sicherer Tags für Firewallrichtlinien finden Sie unter Sichere Tags erstellen und verwalten.