Cloud de Confiance by S3NS היררכיית המשאבים היא דרך לארגן את המשאבים במבנה עץ. ההיררכיה הזו עוזרת לכם לנהל משאבים בהיקף גדול, אבל היא מציגה רק כמה ממדי עסקים, כולל מבנה הארגון, אזורים, סוגי עומסי עבודה ומרכזי עלויות. אין בהיררכיה גמישות מספקת כדי לשלב כמה ממדי עסקים.
תגים מאפשרים ליצור הערות למשאבים, ובמקרים מסוימים להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. אתם יכולים להשתמש בתגים ובאכיפה מותנית של כללי מדיניות כדי לשלוט בצורה פרטנית בהיררכיית המשאבים.
תגים ותוויות
תוויות הן דרך נפרדת ליצירת הערות למשאבים. בטבלה הבאה מפורטים כמה מההבדלים בין תגים לתוויות:
| תגים | תוויות | |
|---|---|---|
| מבנה המשאב | מפתחות תגים, ערכי תגים וקישורי תגים הם משאבים נפרדים | לא משאב בפני עצמו, אלא מטא-נתונים של משאבים |
| הגדרה | מוגדר ברמת הארגון או הפרויקט | מוגדר על ידי כל משאב |
| בקרת גישה | כדי לנהל תגים ולצרף אותם, צריך תפקידים בניהול זהויות והרשאות גישה (IAM) | כדי לצרף תוויות צריך תפקידים ב-IAM, שמשתנים בהתאם למשאב בשירות |
| תנאי מוקדם לצירוף קובץ | צריך להגדיר את מפתח התג ואת ערך התג לפני שמצרפים תג למשאב | אין דרישות מוקדמות לצירוף קבצים |
| ירושה | הצאצאים של המשאב בהיררכיה של Cloud de Confiance by S3NS יורשים את הקישורים בין התגים | לא עובר בירושה לילדים של המשאב |
| דרישות למחיקה | אי אפשר למחוק תגים אם יש קשרי תגים לתג הזה | אפשר להסיר אותו ממקור מתי שרוצים |
| דרישות בנוגע לשמות | הדרישות בנוגע לערכי תגים ומפתחות תגים | הדרישות לגבי תוויות |
| אורך השם של צמד מפתח/ערך | עד 256 תווים | עד 63 תווים |
| תמיכה בכללי מדיניות הרשאה ודחייה | אפשר להפנות לתגים מתנאים של מדיניות הרשאה ותנאים של מדיניות דחייה | אין תמיכה בכללי מדיניות הרשאה ודחייה |
| תמיכה במדיניות הארגון | אפשר להפנות לתגים של חלק מהמשאבים באמצעות אילוצים מותנים של מדיניות הארגון | אין תמיכה במדיניות הארגון |
| שילוב של חיוב ב-Cloud | ביצוע החזרים כספיים, ביקורות וניתוחים אחרים של הקצאת עלויות, ייצוא נתוני עלויות של החיוב ב-Cloud ל-BigQuery | סינון משאבים לפי תווית בחיוב ב-Cloud, ייצוא נתוני החיוב ב-Cloud ל-BigQuery |
יצירת תגים
תגים בנויים כצמד מפתח/ערך. אפשר ליצור משאב של מפתח תג מתחת למשאבי הארגון או הפרויקט, וערכי תגים הם משאבים שמצורפים למפתח – לדוגמה, מפתח תג environment עם הערכים production ו-development.
ניהול תגים
אדמינים יכולים לשלוט בשימוש בתגים על ידי הגבלת האפשרות ליצור, לעדכן, למחוק ולצרף תגים למשאבים. הם יכולים לבחור תג ספציפי כדי לערוך אותו, למשל להוסיף או להסיר ערכים ולעדכן את התיאור. כך תוכלו לשלוט בתגים בצורה מדויקת.
לתגים יכול להיות תיאור שמוצג כשמאחזרים מידע על התג. התיאור עוזר למשתמשים שמצרפים את התג למשאב להבין את מטרת התג.
בפרויקט או בארגון אב, כל מפתח תג צריך להיות ייחודי. כך מוודאים שכל ערך של תג, כשהוא משויך למשאב, יוצר שילוב ייחודי עם מפתח התג שלו.
מדיניות ותגים
אתם יכולים להשתמש בתגים ובתנאים של IAM ביחד כדי:
אחרי שיוצרים ערך תג, אפשר לקשר את ערך התג למשאבים. אחר כך תוכלו ליצור כללי מדיניות ב-IAM עם תנאים שמזהים משאבים לפי השאלה אם מפתח תג מסוים קושר למשאב. למידע על שימוש בתגים ובתנאי IAM, אפשר לעיין במאמר תגים וגישה מותנית.
אכיפה של תגי חובה באמצעות מדיניות הארגון
אפשר לאכוף תגים חובה במשאבים באמצעות מדיניות ארגונית בהתאמה אישית. כשמפעילים אכיפה של תגים חובה, אפשר ליצור רק משאבים שעומדים בדרישות של מדיניות התיוג של הארגון. כלומר, המשאבים משויכים לערכי התגים של מפתחות תגי החובה שצוינו במדיניות. מידע נוסף זמין במאמר בנושא הגדרת אילוץ בהתאמה אישית כדי לאכוף תגים.
אפשר לאכוף שימוש בתגים שהם חובה בסוגי המשאבים הבאים:
- פרויקטים ותיקיות ב-מנהל המשאבים
- מכונות Filestore
- משאבי גיבוי ואשכולות של AlloyDB ל-PostgreSQL
- תהליך העבודה Workflows
- משאבי Compute Engine:
- מכונות
- דיסקים
- שערי VPN חיצוניים
- שערי VPN
- שערי VPN יעד
- מנהרות VPN
- חיבורים בין רשתות
- צירופים ל-Interconnect
- שירותים לקצה העורפי
- שירותים לקצה העורפי אזורי
- קטגוריות קצה עורפי
- משאבי VPC:
- רשתות
- רשתות משנה
- כללי חומת אש
- מסלולים
העברת תגים בירושה
כשמצרפים ערך תג למשאב, כברירת מחדל, כל צאצאי המשאב יורשים את אותו ערך תג. אפשר לשנות את ערך התג שהועבר בירושה במשאב צאצא. כדי לבטל ערך תג שהתקבל בירושה, צריך לקשור ערך תג אחר למשאב הצאצא. ערך התג השונה חייב להשתמש באותו מפתח תג כמו ערך התג שעבר בירושה.
לדוגמה, נניח שאתם מוסיפים את התג environment: development לתיקייה, ובתיקייה יש שתי תיקיות צאצא בשמות team-a ו-team-b.
אפשר גם להחיל תג אחר, environment: test, על התיקייה team-b. כתוצאה מכך, הפרויקטים ומשאבים אחרים בתיקייה team-a יורשים את התג environment: development, והפרויקטים ומשאבים אחרים בתיקייה team-b יורשים את התג environment: test:
אם מסירים את התג environment: test מהתיקייה team-b, התיקייה הזו והמשאבים שלה יקבלו בירושה את התג environment: development.
כל התגים שמצורפים למשאב ומועברים אליו בירושה נקראים ביחד תגים אפקטיביים. התגים האפקטיביים של משאב הם שילוב של התגים שמצורפים אליו ישירות ושל כל התגים שמצורפים לכל המשאבים שמעליו בהיררכיה.
כשמשתמשים בתגים עם תנאי IAM, מומלץ ליצור ערך תג ברירת מחדל בטוח לכל מפתח תג שמשמש את תנאי ה-IAM. כדי להחיל את ערך התג הבטוח שמוגדר כברירת מחדל, צריך לקשר את ערך התג לארגון כדי שכל המשאבים בארגון יירשו אותו. משנים את ערך התג רק על ידי ביטול מפורש של הקישורים שעברו בירושה במשאבים הרלוונטיים.
לדוגמה, נניח שיש לכם תנאי IAM שתלוי בערך התג on של מפתח התג enforcement, ומפתח התג כולל גם את ערך התג off. כדי ליצור ברירת מחדל בטוחה שכל המשאבים בארגון יורשים, צריך לקשור את ערך התג enforcement: off לארגון.
אפשר לקשר את ערך התג enforcement: on רק למשאבים נבחרים בארגון.
אחר כך אפשר לכתוב כללי מדיניות שמתייחסים למפתח התג enforcement, עם תנאים שמשפיעים על משאב אם הוא enforcement: on או enforcement: off, ומקרה בטוח אם הוא enforcement: default. אם מפתח התג enforcement יוסר אי פעם ממשאב, המשאב יוכל לרשת את ערך התג enforcement ממשאב ההורה שלו. אם למשאב ההורה אין את מפתח התג enforcement, המשאב יורש את הערך enforcement: default ממשאב הארגון.
שימוש בתג ברירת מחדל בטוח יכול לעזור, אבל כדי למנוע התנהגויות לא רצויות, מומלץ לבדוק את התגים ואת מדיניות התנאים שמוגדרים לפני שמזיזים את הנכסים או מסירים תגים.
מחיקת מפתחות וערכים של תגים
כדי למחוק ערך של תג, צריך למחוק את כל הקישורים למשאבים שמשתמשים בערך התג.
הגנה על ערכי תגים מפני מחיקה
כדי ליצור שכבת הגנה נוספת לערכי התגים, אפשר לצרף השהיה של תג לערך של תג. השהיית תג, כמו קישור תג, מונעת ממשתמש למחוק את ערך התג.
חלק מהמשאבים יוצרים באופן אוטומטי השהיה של תג על כל ערך תג שמצורף למשאב. כדי למחוק את ערך התג, צריך קודם להסיר את ההחזקה של התג.
המאמרים הבאים
- מידע נוסף על השימוש בתגים זמין במאמר בנושא יצירה וניהול של תגים.
- מידע על שימוש בתגים ב-Compute Engine זמין במאמר בנושא ניהול תגים למשאבים.
- מידע על שימוש בתגים מאובטחים במדיניות של חומת אש זמין במאמר יצירה וניהול של תגים מאובטחים.