סקירה כללית על תגים

Cloud de Confiance by S3NS היררכיית המשאבים היא דרך לארגן את המשאבים במבנה עץ. ההיררכיה הזו עוזרת לכם לנהל משאבים בהיקף גדול, אבל היא מציגה רק כמה ממדי עסקים, כולל מבנה הארגון, אזורים, סוגי עומסי עבודה ומרכזי עלויות. אין בהיררכיה גמישות מספקת כדי לשלב כמה ממדי עסקים.

תגים מאפשרים ליצור הערות למשאבים, ובמקרים מסוימים להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. אתם יכולים להשתמש בתגים ובאכיפה מותנית של כללי מדיניות כדי לשלוט בצורה פרטנית בהיררכיית המשאבים.

תגים ותוויות

תוויות הן דרך נפרדת ליצירת הערות למשאבים. בטבלה הבאה מפורטים כמה מההבדלים בין תגים לתוויות:

תגים תוויות
מבנה המשאב מפתחות תגים, ערכי תגים וקישורי תגים הם משאבים נפרדים לא משאב בפני עצמו, אלא מטא-נתונים של משאבים
הגדרה מוגדר ברמת הארגון או הפרויקט מוגדר על ידי כל משאב
בקרת גישה כדי לנהל תגים ולצרף אותם, צריך תפקידים בניהול זהויות והרשאות גישה (IAM) כדי לצרף תוויות צריך תפקידים ב-IAM, שמשתנים בהתאם למשאב בשירות
תנאי מוקדם לצירוף קובץ צריך להגדיר את מפתח התג ואת ערך התג לפני שמצרפים תג למשאב אין דרישות מוקדמות לצירוף קבצים
ירושה הצאצאים של המשאב בהיררכיה של Cloud de Confiance by S3NS יורשים את הקישורים בין התגים לא עובר בירושה לילדים של המשאב
דרישות למחיקה אי אפשר למחוק תגים אם יש קשרי תגים לתג הזה אפשר להסיר אותו ממקור מתי שרוצים
דרישות בנוגע לשמות הדרישות בנוגע לערכי תגים ומפתחות תגים הדרישות לגבי תוויות
אורך השם של צמד מפתח/ערך עד 256 תווים עד 63 תווים
תמיכה בכללי מדיניות הרשאה ודחייה אפשר להפנות לתגים מתנאים של מדיניות הרשאה ותנאים של מדיניות דחייה אין תמיכה בכללי מדיניות הרשאה ודחייה
תמיכה במדיניות הארגון אפשר להפנות לתגים של חלק מהמשאבים באמצעות אילוצים מותנים של מדיניות הארגון אין תמיכה במדיניות הארגון
שילוב של חיוב ב-Cloud ביצוע החזרים כספיים, ביקורות וניתוחים אחרים של הקצאת עלויות, ייצוא נתוני עלויות של החיוב ב-Cloud ל-BigQuery סינון משאבים לפי תווית בחיוב ב-Cloud, ייצוא נתוני החיוב ב-Cloud ל-BigQuery

מידע נוסף על תוויות

יצירת תגים

תגים בנויים כצמד מפתח/ערך. אפשר ליצור משאב של מפתח תג מתחת למשאבי הארגון או הפרויקט, וערכי תגים הם משאבים שמצורפים למפתח – לדוגמה, מפתח תג environment עם הערכים production ו-development.

ניהול תגים

אדמינים יכולים לשלוט בשימוש בתגים על ידי הגבלת האפשרות ליצור, לעדכן, למחוק ולצרף תגים למשאבים. הם יכולים לבחור תג ספציפי כדי לערוך אותו, למשל להוסיף או להסיר ערכים ולעדכן את התיאור. כך תוכלו לשלוט בתגים בצורה מדויקת.

לתגים יכול להיות תיאור שמוצג כשמאחזרים מידע על התג. התיאור עוזר למשתמשים שמצרפים את התג למשאב להבין את מטרת התג.

בפרויקט או בארגון אב, כל מפתח תג צריך להיות ייחודי. כך מוודאים שכל ערך של תג, כשהוא משויך למשאב, יוצר שילוב ייחודי עם מפתח התג שלו.

מדיניות ותגים

אתם יכולים להשתמש בתגים ובתנאים של IAM ביחד כדי:

אחרי שיוצרים ערך תג, אפשר לקשר את ערך התג למשאבים. אחר כך תוכלו ליצור כללי מדיניות ב-IAM עם תנאים שמזהים משאבים לפי השאלה אם מפתח תג מסוים קושר למשאב. למידע על שימוש בתגים ובתנאי IAM, אפשר לעיין במאמר תגים וגישה מותנית.

אכיפה של תגי חובה באמצעות מדיניות הארגון

אפשר לאכוף תגים חובה במשאבים באמצעות מדיניות ארגונית בהתאמה אישית. כשמפעילים אכיפה של תגים חובה, אפשר ליצור רק משאבים שעומדים בדרישות של מדיניות התיוג של הארגון. כלומר, המשאבים משויכים לערכי התגים של מפתחות תגי החובה שצוינו במדיניות. מידע נוסף זמין במאמר בנושא הגדרת אילוץ בהתאמה אישית כדי לאכוף תגים.

אפשר לאכוף שימוש בתגים שהם חובה בסוגי המשאבים הבאים:

  • פרויקטים ותיקיות ב-מנהל המשאבים
  • מכונות Filestore
  • משאבי גיבוי ואשכולות של AlloyDB ל-PostgreSQL
  • תהליך העבודה Workflows
  • משאבי Compute Engine:
    • מכונות
    • דיסקים
    • שערי VPN חיצוניים
    • שערי VPN
    • שערי VPN יעד
    • מנהרות VPN
    • חיבורים בין רשתות
    • צירופים ל-Interconnect
    • שירותים לקצה העורפי
    • שירותים לקצה העורפי אזורי
    • קטגוריות קצה עורפי
  • משאבי VPC:
    • רשתות
    • רשתות משנה
    • כללי חומת אש
    • מסלולים

העברת תגים בירושה

כשמצרפים ערך תג למשאב, כברירת מחדל, כל צאצאי המשאב יורשים את אותו ערך תג. אפשר לשנות את ערך התג שהועבר בירושה במשאב צאצא. כדי לבטל ערך תג שהתקבל בירושה, צריך לקשור ערך תג אחר למשאב הצאצא. ערך התג השונה חייב להשתמש באותו מפתח תג כמו ערך התג שעבר בירושה.

לדוגמה, נניח שאתם מוסיפים את התג environment: development לתיקייה, ובתיקייה יש שתי תיקיות צאצא בשמות team-a ו-team-b. אפשר גם להחיל תג אחר, environment: test, על התיקייה team-b. כתוצאה מכך, הפרויקטים ומשאבים אחרים בתיקייה team-a יורשים את התג environment: development, והפרויקטים ומשאבים אחרים בתיקייה team-b יורשים את התג environment: test:

אם מסירים את התג environment: test מהתיקייה team-b, התיקייה הזו והמשאבים שלה יקבלו בירושה את התג environment: development.

כל התגים שמצורפים למשאב ומועברים אליו בירושה נקראים ביחד תגים אפקטיביים. התגים האפקטיביים של משאב הם שילוב של התגים שמצורפים אליו ישירות ושל כל התגים שמצורפים לכל המשאבים שמעליו בהיררכיה.

כשמשתמשים בתגים עם תנאי IAM, מומלץ ליצור ערך תג ברירת מחדל בטוח לכל מפתח תג שמשמש את תנאי ה-IAM. כדי להחיל את ערך התג הבטוח שמוגדר כברירת מחדל, צריך לקשר את ערך התג לארגון כדי שכל המשאבים בארגון יירשו אותו. משנים את ערך התג רק על ידי ביטול מפורש של הקישורים שעברו בירושה במשאבים הרלוונטיים.

לדוגמה, נניח שיש לכם תנאי IAM שתלוי בערך התג on של מפתח התג enforcement, ומפתח התג כולל גם את ערך התג off. כדי ליצור ברירת מחדל בטוחה שכל המשאבים בארגון יורשים, צריך לקשור את ערך התג enforcement: off לארגון. אפשר לקשר את ערך התג enforcement: on רק למשאבים נבחרים בארגון.

אחר כך אפשר לכתוב כללי מדיניות שמתייחסים למפתח התג enforcement, עם תנאים שמשפיעים על משאב אם הוא enforcement: on או enforcement: off, ומקרה בטוח אם הוא enforcement: default. אם מפתח התג enforcement יוסר אי פעם ממשאב, המשאב יוכל לרשת את ערך התג enforcement ממשאב ההורה שלו. אם למשאב ההורה אין את מפתח התג enforcement, המשאב יורש את הערך enforcement: default ממשאב הארגון.

שימוש בתג ברירת מחדל בטוח יכול לעזור, אבל כדי למנוע התנהגויות לא רצויות, מומלץ לבדוק את התגים ואת מדיניות התנאים שמוגדרים לפני שמזיזים את הנכסים או מסירים תגים.

מחיקת מפתחות וערכים של תגים

כדי למחוק ערך של תג, צריך למחוק את כל הקישורים למשאבים שמשתמשים בערך התג.

הגנה על ערכי תגים מפני מחיקה

כדי ליצור שכבת הגנה נוספת לערכי התגים, אפשר לצרף השהיה של תג לערך של תג. השהיית תג, כמו קישור תג, מונעת ממשתמש למחוק את ערך התג.

חלק מהמשאבים יוצרים באופן אוטומטי השהיה של תג על כל ערך תג שמצורף למשאב. כדי למחוק את ערך התג, צריך קודם להסיר את ההחזקה של התג.

המאמרים הבאים