Gerenciando Padrões de Tag

Se você estiver no grupo Administradores, terá o acesso necessário para gerenciar defaults de tag e namespaces de tag. Para obter informações específicas sobre a política desse recurso, consulte Permissões Obrigatórias para Trabalhar com Padrões de Tag.

Se você não estiver familiarizado com as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se você quiser se aprofundar na gravação de políticas para tags ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM sem Domínios de Identidades.

Os padrões de tag permitem que você especifique tags que são aplicadas automaticamente a todos os recursos no momento da criação em um compartimento específico. Esse recurso permite garantir que as tags apropriadas sejam aplicadas na criação do recurso sem exigir que o usuário que cria o recurso tenha acesso aos namespaces de tag. Considere o seguinte exemplo:

Alice é uma administradora financeira e tem acesso ao namespace de tag restrita Finance. Alice pode configurar um padrão de tag para aplicar a tag Finance.CostCenter a todos os recursos com o valor W1234. Eli pode criar recursos, mas não tem acesso ao namespace de tag Finance. Quando Eli cria um recurso, a tag Finance.CostCenter é aplicada automaticamente com o valor W1234. Eli não pode alterar essa tag, e Alice confia que ela sempre será aplicada corretamente e não será alterada pelos usuários que criarem ou editarem recursos.

Os padrões de tags permitem que os administradores de tenancy criem limites de permissões seguras entre usuários relacionados à governança e usuários que precisam criar e administrar recursos.

Os padrões de tag são definidos para um compartimento específico. Na Console, você gerencia padrões de tag na página Detalhes do Compartimento.

Para criar ou editar um padrão de tag para um compartimento, você deve receber a seguinte combinação de permissões:

• manage tag-defaults acesso no compartimento em que você está adicionando o padrão de tag
• use tag-namespaces acesso no compartimento em que o namespace de tag reside
• inspect tag-namespaces acesso na tenancy

Para obter o mapeamento completo de permissões para operações de API, consulte Detalhes do Serviço IAM sem Domínios de Identidades.

Por exemplo, suponha que você tenha criado um conjunto de namespaces de tag no CompartmentA. Para conceder a um grupo chamado TagAdmins acesso para adicionar padrões de tag ao CompartmentA, grave uma política com as seguintes instruções:

Allow group TagAdmins to manage tag-defaults in compartment CompartmentA
Allow group TagAdmins to use tag-namespaces in compartment CompartmentA
Allow group TagAdmins to inspect tag-namespaces in tenancy

Agora, suponha que você queira que o grupo TagAdmins crie padrões de tag no CompartmentA usando namespaces de tag que residem no CompartmentZ. Adicione uma instrução para permitir que o grupo TagAdmins use namespaces de tag no CompartmentZ:

Allow group TagAdmins to use tag-namespaces in compartment CompartmentZ

Agora, quando o grupo TagAdmins criar padrões de tag no CompartmentC, eles poderão usar namespaces de tag que residem no CompartmentA ou no CompartmentZ.

É possível definir no máximo 20 padrões de tag por compartimento.

Consulte Limites de Tags para obter mais limites de tags.

Você só pode usar os padrões de tag com tags definidas. Tags de formato livre não são suportadas para padrões de tag.

Você pode definir até 20 padrões de tag por compartimento.

Depois que um padrão de tag é criado em um compartimento:

• A tag padrão é aplicada a novos recursos criados nesse compartimento.
• Os recursos existentes anteriormente no compartimento não são marcados retroativamente.
• Se você alterar o valor padrão do padrão da tag, as ocorrências existentes não serão atualizadas.

• Se você excluir o padrão de tag do compartimento, as ocorrências existentes da tag não serão removidas dos recursos.
• Quando você exclui uma definição de chave de tag, os padrões de tag existentes com base nessa definição de chave de tag não são removidos do compartimento. Até que você exclua o padrão de tag no compartimento, o padrão de tag continuará sendo considerado para o seu limite de 20 padrões de tag por compartimento.

Para padrões de tag, você deve incluir um valor de tag, mas pode escolher como o valor é aplicado.

• Valor padrão
• Valor aplicado pelo usuário

Se você usar um valor padrão, deverá criá-lo. Esse valor será aplicado a todos os recursos.

Se você especificar que um valor aplicado pelo usuário será necessário, o usuário que criar o recurso deverá inserir o valor da tag no momento da criação do recurso. Os usuários não podem criar recursos sem informar um valor para a tag.

A tag padrão é aplicada a todos os recursos criados no compartimento, incluindo compartimentos filhos e os recursos criados nos compartimentos filhos.

Exemplo:

• No CompartmentA, você cria um padrão de tag, TagA.

  Os recursos (e compartimentos) criados no CompartmentA são automaticamente marcados com TagA.

  • No subcompartimento, o CompartmentB, você cria um padrão de tag, TagB.

    Os recursos e compartimentos criados no CompartmentB são automaticamente marcados com TagA e TagB.

    • No subcompartimento, CompartmentC, você cria o padrão de tag TagC.

      Os recursos criados no CompartmentC são automaticamente marcados com TagA, TagB e TagC.

Este exemplo é ilustrado no seguinte gráfico:

Os padrões de tag podem ser substituídos no momento da criação do recurso pelos usuários que tenham as permissões apropriadas para criar o recurso e usar o namespace de tag.

Exemplo: O CompartmentA tem um padrão de tag definido para aplicar CostCenter.Operations="42". Pradeep pertence a um grupo que concede a ele permissões para criar instâncias no CompartmentA e também para usar namespaces de tag no CompartmentA. Ele cria uma instância no CompartmentA e, na caixa de diálogo Criar Instância, ele aplica a tag CostCenter.Operations="50". Como ele tem as permissões apropriadas, quando a instância é criada, o padrão da tag é substituído, e a instância é marcada com CostCenter.Operations="50".

Depois que um recurso é criado e marcado, os usuários com as permissões apropriadas para atualizar o recurso e usar o namespace de tag podem modificar as tags padrão que foram aplicadas na criação do recurso.

As tags retiradas não podem ser aplicadas a novos recursos. Portanto, se o namespace de tag ou a chave de tag especificada em um padrão de tag for retirada, quando novos recursos forem criados, a tag retirada não será aplicada. Como prática recomendada, você deve excluir o padrão de tag que especifica a tag retirada.

Você pode usar variáveis de tag em padrões de tag. As variáveis de tag são resolvidas dinamicamente no momento da criação do recurso. Por exemplo, você informa uma variável de tag para o nome principal como padrão de tag em um compartimento específico.

Operations.CostCenter="${iam.principal.name}"

Davis e Garcia, cada um deles cria buckets nesse compartimento. Os buckets que Davis cria incluem tags padrão que contêm seu nome como o valor, e os buckets que Garcia cria têm seu nome.

Operations.CostCenter="Davis"

Operations.CostCenter="Garcia"

Enquanto isso, o padrão da tag ainda contém as variáveis originais. Consulte Usando Variáveis de Tag.