La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui struttura organizzativa, regioni, tipi di carico di lavoro e centri di costo. La gerarchia non ha la flessibilità necessaria per sovrapporre più dimensioni aziendali.
I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale delle policy per avere un controllo granulare in tutta la gerarchia delle risorse.
Tag ed etichette
Le etichette sono un modo separato per creare annotazioni per le risorse. La seguente tabella elenca alcune delle differenze tra tag ed etichette:
| Tag | Etichette | |
|---|---|---|
| Struttura delle risorse | Le chiavi tag, i valori tag e le associazioni di tag sono tutte risorse discrete | Non è una risorsa in sé, ma metadati per le risorse |
| Definizione | Definito a livello di organizzazione o progetto | Definito da ogni risorsa |
| Controllo dell'accesso | La gestione e l'associazione dei tag richiedono i ruoli Identity and Access Management (IAM) | L'associazione delle etichette richiede ruoli IAM, che variano in base alla risorsa del servizio |
| Prerequisito per l'associazione | La chiave tag e il valore tag devono essere definiti prima che un tag possa essere associato a una risorsa | Nessun prerequisito per l'associazione |
| Ereditarietà | Le associazioni di tag vengono ereditate dai figli della risorsa nella Google Cloud gerarchia | Non ereditato dai figli della risorsa |
| Requisiti di eliminazione | I tag non possono essere eliminati a meno che non esistano associazioni di tag per quel tag | Può essere rimosso da una risorsa in qualsiasi momento |
| Requisiti di denominazione | Requisiti per i valori tag e le chiavi tag | Requisiti per le etichette |
| Lunghezza del nome della coppia chiave-valore | Massimo 256 caratteri | Massimo 63 caratteri |
| Supporto per le policy di autorizzazione e di negazione | È possibile fare riferimento ai tag tramite le condizioni delle policy di autorizzazione e di negazione | Nessun supporto per le policy di autorizzazione e di negazione |
| Supporto per le policy dell'organizzazione | È possibile fare riferimento ai tag di alcune risorse tramite i vincoli condizionali delle policy dell'organizzazione | Nessun supporto per le policy dell'organizzazione |
| Integrazione di Fatturazione Cloud | Esegui chargeback, audit e altre analisi di allocazione dei costi, esporta i dati dei costi di Fatturazione Cloud in BigQuery | Filtra le risorse per etichetta in Fatturazione Cloud, esporta i dati di Fatturazione Cloud in BigQuery |
Per saperne di più sulle etichette, consulta Creare e gestire le etichette.
Creazione di tag
I tag sono strutturati come coppia chiave-valore. Una risorsa chiave tag può essere creata nelle risorse dell'organizzazione o del progetto e i valori tag sono risorse associate a una chiave, ad esempio una chiave tag environment con i valori production e development.
Amministrazione dei tag
Gli amministratori possono controllare l'utilizzo dei tag limitando chi può creare, aggiornare, eliminare e associare tag alle risorse. Possono selezionare un singolo tag per apportare modifiche, ad esempio per aggiungere o rimuovere valori e aggiornare la descrizione. Ciò consente un controllo granulare dei tag.
I tag hanno facoltativamente una descrizione che viene visualizzata quando vengono recuperate le informazioni sul tag. La descrizione aiuta gli utenti che associano il tag alla risorsa a comprenderne lo scopo.
In un progetto o in un'organizzazione principale, ogni chiave tag deve essere univoca. In questo modo, ogni valore tag, quando è associato a una risorsa, crea un accoppiamento univoco con la relativa chiave tag.
Policy e tag
Puoi utilizzare i tag e le condizioni IAM insieme per:
Dopo aver creato un valore tag, puoi associarlo alle risorse. Puoi quindi creare policy IAM con condizioni che identificano le risorse in base al fatto che una chiave tag sia stata associata alla risorsa. Per informazioni sull'utilizzo dei tag e delle condizioni IAM, consulta Tag e accesso condizionale.
Applicazione dei tag obbligatori tramite le policy dell'organizzazione
Puoi applicare i tag obbligatori alle risorse utilizzando una policy dell'organizzazione personalizzata. Quando applichi i tag obbligatori, puoi creare solo risorse conformi alle policy di tagging della tua organizzazione, ovvero le risorse sono associate ai valori tag per le chiavi tag obbligatorie specificate nella policy. Per saperne di più, consulta Configurare un vincolo personalizzato per applicare i tag.
L'applicazione dei tag obbligatori è supportata per i seguenti tipi di risorse:
- Progetti e cartelle di Resource Manager
- Istanze Filestore
- Risorse di cluster e backup di AlloyDB per PostgreSQL
- Workflow di Workflows
- Risorse di Compute Engine:
- Istanze
- Dischi
- Gateway VPN esterni
- Gateway VPN
- Gateway VPN di destinazione
- Tunnel VPN
- Risorse VPC:
- Reti
- Subnet
- Regole firewall
- Route
Ereditarietà dei tag
Quando un valore tag viene associato a una risorsa, per impostazione predefinita, tutti i discendenti della risorsa ereditano lo stesso valore tag. Puoi sostituire un valore tag ereditato su una risorsa discendente. Per sostituire un valore tag ereditato, associa un valore tag diverso alla risorsa discendente. Il valore tag diverso deve utilizzare la stessa chiave tag del valore tag ereditato.
Ad esempio, supponiamo di applicare il tag environment: development a una cartella e che la cartella abbia due cartelle secondarie denominate team-a e team-b.
Puoi anche applicare un tag diverso, environment: test, alla cartella team-b. Di conseguenza, i progetti e le altre risorse nella cartella team-a ereditano il tag environment: development, mentre i progetti e le altre risorse nella cartella team-b ereditano il tag environment: test:
Se rimuovi il tag environment: test dalla cartella team-b, la cartella e le relative risorse ereditano il tag environment: development.
Tutti i tag associati a ed ereditati da una risorsa vengono denominati collettivamente tag effettivi. I tag effettivi per una risorsa sono una combinazione dei tag associati direttamente alla risorsa, nonché di tutti i tag associati a tutti gli antenati della risorsa nella gerarchia.
Quando utilizzi i tag con le condizioni IAM, ti consigliamo di creare un valore tag predefinito sicuro per ogni chiave tag utilizzata dalle condizioni IAM. Applica il valore tag predefinito sicuro associando il valore tag alla tua organizzazione in modo che venga ereditato da tutte le risorse dell'organizzazione. Modifica il valore tag solo sostituendo esplicitamente le associazioni ereditate sulle risorse pertinenti.
Ad esempio, supponiamo di avere una condizione IAM che dipende dal valore tag on per la chiave tag enforcement e che la chiave tag abbia anche un valore tag off. Associa il valore tag enforcement: off all'organizzazione per creare un valore predefinito sicuro che venga ereditato da tutte le risorse dell'organizzazione.
Associa il valore tag enforcement: on solo alle risorse selezionate all'interno dell'organizzazione.
Puoi quindi scrivere policy che riguardano la chiave tag enforcement, con condizioni che interessano una risorsa se è enforcement: on o enforcement: off, e un caso sicuro se è enforcement: default. Se la chiave tag enforcement viene rimossa da una risorsa, la risorsa può ereditare il valore tag per enforcement dalla relativa risorsa padre. Se nessuna risorsa padre
ha la enforcement chiave tag, la risorsa eredita enforcement: default
dalla risorsa dell'organizzazione.
L'utilizzo di un tag predefinito sicuro può essere utile, ma per evitare comportamenti imprevisti, ti consigliamo di esaminare i tag e le policy condizionali in vigore prima di spostare le risorse o rimuovere i tag.
Eliminazione di chiavi e valori dei tag
Prima di poter eliminare un valore tag, devi eliminare tutte le associazioni di risorse che utilizzano il valore tag.
Protezione dei valori tag dall'eliminazione
Puoi creare un ulteriore livello di protezione per i valori tag associando un blocco tag a un valore tag. Un blocco tag, come un'associazione di tag, impedisce a un utente di eliminare il valore tag.
Alcune risorse creano automaticamente un blocco tag su ogni valore tag associato alla risorsa. Questo blocco tag deve essere rimosso prima di poter eliminare il valore tag.
Passaggi successivi
- Per saperne di più su come utilizzare i tag, consulta la pagina Creare e gestire i tag.
- Per informazioni sull'utilizzo dei tag con Compute Engine, consulta Gestire i tag per le risorse.
- Per informazioni sull'utilizzo dei tag sicuri per le policy del firewall, consulta Creare e gestire i tag sicuri.