Tagstandards verwalten
In diesem Thema wird beschrieben, wie Sie Tags angeben können, die beim Erstellen automatisch auf Ressourcen angewendet werden.
Erforderliche IAM-Policy
Wenn Sie Teil der Administratorengruppe sind, verfügen Sie über die erforderlichen Zugriffsberechtigungen, um Tagstandards und Tag-Namespaces zu verwalten. Spezifische Policy-Informationen zu diesem Feature finden Sie unter Erforderliche Berechtigungen für das Arbeiten mit Tagstandards.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Tagging oder andere IAM-Komponenten finden Sie unter Details zu IAM ohne Identitätsdomains.
Überblick über Tagstandards
Über Tagstandardwerte lassen sich Tags festlegen, die zum Zeitpunkt der Erstellung auf alle Ressourcen in einem bestimmten Compartment automatisch angewendet werden. Mit diesem Feature können Sie sicherstellen, dass bei der Ressourcenerstellung die entsprechenden Tags angewendet werden, ohne dass der Benutzer, der die Ressource erstellt, Zugriff auf die Tag-Namespaces haben muss. Beachten Sie folgendes Beispiel:
Alice ist Finanzadministratorin und hat Zugriff auf den eingeschränkten Tag-Namespace "Finance". Alice kann einen Tagstandardwert einrichten, um das Tag "Finance.CostCenter" mit dem Wert "W1234" auf alle Ressourcen anzuwenden. Eli kann Ressourcen erstellen, hat aber keinen Zugriff auf den Tag-Namespace "Finance". Wenn Eli eine Ressource erstellt, wird das Tag "Finance.CostCenter" automatisch mit dem Wert "W1234" angewendet. Eli kann dieses Tag nicht ändern, und Alice ist sich sicher, dass es immer korrekt angewendet und von den Benutzern, die Ressourcen erstellen oder bearbeiten, nicht geändert wird.
Tagstandards ermöglichen es Mandantenadministratoren, sichere Berechtigungsgrenzen zwischen Benutzern, die sich mit Governance befassen, und Benutzern, die Ressourcen erstellen und verwalten müssen, zu erstellen.
Wo Tagstandards verwaltet werden
Tagstandardwerte sind für ein bestimmtes Compartment definiert. In der Konsole verwalten Sie Tagstandardwerte auf der Seite mit den Compartment-Details.
Erforderliche Berechtigungen für das Arbeiten mit Tagstandards
Um einen Tagstandardwert für ein Compartment zu erstellen oder zu bearbeiten, muss Ihnen die folgende Kombination von Berechtigungen erteilt werden:
- Die Zugriffsberechtigung
manage tag-defaults
(Tagstandards verwalten) für das Compartment, in dem Sie den Tagstandard hinzufügen möchten - Die Zugriffsberechtigung
use tag-namespaces
(Tag-Namespaces verwenden) für das Compartment, in dem sich der Tag-Namespace befindet - Die Zugriffsberechtigung
inspect tag-namespaces
(Tag-Namespaces prüfen) für den Mandanten
Die vollständige Zuordnung von Berechtigungen zu API-Vorgängen finden Sie unter Details zu IAM ohne Identitätsdomains.
Beispiel: Angenommen, Sie haben ein Set von Tag-Namespaces in CompartmentA erstellt. Schreiben Sie eine Policy mit den folgenden Anweisungen, um einer Gruppe mit dem Namen "TagAdmins" die Zugriffsberechtigung zum Hinzufügen von Tagstandards zu CompartmentA zu gewähren:
Allow group TagAdmins to manage tag-defaults in compartment CompartmentA
Allow group TagAdmins to use tag-namespaces in compartment CompartmentA
Allow group TagAdmins to inspect tag-namespaces in tenancy
Angenommen, Sie möchten der Gruppe "TagAdmins" die Berechtigung erteilen, mithilfe von Tag-Namespaces, die sich in CompartmentZ befinden, in CompartmentA Tagstandardwerte zu erstellen. Fügen Sie eine Anweisung hinzu, die es der Gruppe "TagAdmins" ermöglicht, Tag-Namespaces in CompartmentZ zu verwenden:
Allow group TagAdmins to use tag-namespaces in compartment CompartmentZ
Wenn die Gruppe "TagAdmins" Tagstandards in CompartmentC erstellt, kann sie Tag-Namespaces verwenden, die sich entweder in CompartmentA oder CompartmentZ befinden.
Limits für Tagstandards
Pro Compartment können maximal 20 Tagstandardwerte definiert werden.
Wenn Sie eine Tagschlüsseldefinition löschen, werden vorhandene Tagstandardwerte, die auf dieser Tagschlüsseldefinition basieren, nicht aus dem Compartment entfernt. Bis Sie den Tagstandardwert im Compartment löschen, zählt der Tagstandardwert weiterhin zum Grenzwert von 20 Tagstandardwerten pro Compartment.
Weitere Limits für Tags finden Sie unter Limits für Tags.
Mit Tagstandards arbeiten
Sie können Tagstandardwerte nur mit definierten Tags verwenden. Freiformtags werden für Tagstandards nicht unterstützt.
Sie können bis zu 20 Tagstandards pro Compartment definieren.
Nachdem ein Tagstandardwert in einem Compartment erstellt wurde:
- Das Standardtag wird auf alle neuen Ressourcen angewendet, die in diesem Compartment erstellt wurden.
- Ressourcen, die im Compartment bereits vorhanden waren, werden nicht nachträglich getaggt.
- Wenn Sie den Wert des Standardtags ändern, werden bereits vorhandene Tags nicht aktualisiert.
Tagstandardwerte löschen
- Wenn Sie den Tagstandardwert aus dem Compartment löschen, werden bereits vorhandene Tags nicht aus den Ressourcen entfernt.
- Wenn Sie eine Tagschlüsseldefinition löschen, werden vorhandene Tagstandardwerte, die auf dieser Tagschlüsseldefinition basieren, nicht aus dem Compartment entfernt. Bis Sie den Tagstandardwert im Compartment löschen, zählt der Tagstandardwert weiterhin zum Grenzwert von 20 Tagstandardwerten pro Compartment.
Erforderliche Tagwerte
Tagstandards müssen einen Tagwert enthalten. Sie können jedoch auswählen, wie der Wert angewendet wird.
- Standardwert
- Vom Benutzer angewendeter Wert
Wenn Sie einen Standardwert verwenden, müssen Sie diesen auch erstellen. Dieser Wert wird auf alle Ressourcen angewendet.
Wenn Sie angeben, dass ein vom Benutzer angewendeter Wert erforderlich ist, muss der Benutzer, der die Ressource erstellt, beim Erstellen der Ressource den Wert für das Tag eingeben. Benutzer können keine Ressourcen erstellen, ohne einen Wert für das Tag einzugeben.
Sie können vordefinierte und vom Benutzer angewendete Werte verwenden, um sicherzustellen, dass Benutzer nur vertrauenswürdige Werte anwenden. Siehe Vordefinierte Werte verwenden.
Tagvererbung
Das Standardtag wird auf alle Ressourcen angewendet, die im Compartment erstellt werden, einschließlich der untergeordneten Compartments und der Ressourcen, die in den untergeordneten Compartments erstellt werden.
Beispiel:
-
Sie erstellen in CompartmentA den Tagstandard "TagA".
Ressourcen (und Compartments), die in CompartmentA erstellt werden, erhalten automatisch das Tag "TagA".
-
Sie erstellen im Sub-Compartment "CompartmentB" den Tagstandard "TagB".
Ressourcen und Compartments, die in CompartmentB erstellt werden, erhalten automatisch die Tags "TagA" und "TagB".
-
Sie erstellen im wiederum untergeordneten Sub-Compartment "CompartmentC" den Tagstandard "TagC".
Ressourcen, die in CompartmentC erstellt werden, erhalten automatisch die Tags "TagA", "TagB" und "TagC".
-
-
Dieses Beispiel wird in der folgenden Grafik veranschaulicht:
Tagstandards außer Kraft setzen
Tagstandardwerte können bei der Ressourcenerstellung von Benutzern außer Kraft gesetzt werden, sofern diese über entsprechende Berechtigungen zum Erstellen der Ressource und zum Verwenden des Tag-Namespace verfügen.
Beispiel: Für CompartmentA ist ein Tagstandard zur Anwendung von "CostCenter.Operations="42"" definiert. Pradeep gehört zu einer Gruppe, die ihm die Berechtigung erteilt, Instanzen in CompartmentA zu erstellen und auch Tag-Namespaces in CompartmentA zu verwenden. Er erstellt eine Instanz in CompartmentA und wendet das Tag "CostCenter.Operations="50"" im Dialogfeld "Instanz erstellen" an. Da er über die entsprechenden Berechtigungen verfügt, wird der Tagstandard beim Erstellen der Instanz außer Kraft gesetzt und die Instanz mit "CostCenter.Operations="50"" getaggt.
Nachdem eine Ressource erstellt und getaggt wurde, können Benutzer, die über entsprechende Berechtigungen zum Aktualisieren der Ressource und zur Verwendung des Tag-Namespace verfügen, die Standardtags ändern, die bei der Ressourcenerstellung angewendet wurden.
Tagstandards und eingestellte Tags
Eingestellte Tags können nicht auf neue Ressourcen angewendet werden. Wenn also der in einem Tagstandardwert angegebene Tag-Namespace oder Tagschlüssel eingestellt wird, wird das eingestellte Tag bei der Erstellung neuer Ressourcen nicht angewendet. Als Best Practice sollten Sie den Tagstandardwert löschen, der das eingestellte Tag angibt.
Tagstandards und Tagvariablen
Sie können in Tagstandards Tagvariablen verwenden. Tagvariablen werden beim Erstellen der Ressource dynamisch aufgelöst. Beispiel: Sie geben eine Tagvariable für den Principal-Namen als Tagstandard in einem bestimmten Compartment ein.
Operations.CostCenter="${iam.principal.name}
"
Davis und Garcia erstellen jeweils Buckets in diesem Compartment. Die Buckets, die Davis erstellt, enthalten Standardtags, die seinen Namen als Wert enthalten, während die von Garcia erstellten Buckets seinen Namen haben.
Operations.CostCenter="Davis"
Operations.CostCenter="Garcia"
Der Tagstandard enthält unterdessen weiterhin die ursprünglichen Variablen. Siehe Tagvariablen verwenden.