Gestion des valeurs de balise par défaut

Si vous êtes membre du groupe d'administrateurs, vous disposez de l'accès requis pour gérer les valeurs de balise par défaut et les espaces de noms de balise. Afin d'obtenir des informations de stratégie spécifiques pour cette fonctionnalité, reportez-vous à Droits d'accès requis pour utiliser des valeurs de balise par défaut.

Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies pour le balisage ou d'autres composants IAM, reportez-vous à Détails relatifs à IAM sans domaine d'identité.

Les valeurs de balise par défaut vous permettent d'indiquer les balises qui sont appliquées automatiquement à toutes les ressources d'un compartiment spécifique au moment de leur création. Cette fonctionnalité vous permet de vous assurer que les balises appropriées sont appliquées lors de la création de la ressource, sans avoir besoin que l'utilisateur qui crée la ressource n'ait accès aux espaces de noms de balise. Prenons l'exemple suivant :

Alice exerce le rôle d'administrateur financier et a accès à l'espace de noms de balise restreint nommé Finance. Elle peut configurer une valeur de balise par défaut pour appliquer la balise Finance.CostCenter avec une valeur de W1234 à toutes les ressources. Eli peut créer des ressources mais n'a pas accès à l'espace de noms de balise Finance. Lorsqu'Eli crée une ressource, la balise Finance.CostCenter est automatiquement appliquée avec une valeur de W1234. Eli ne peut pas modifier cette balise, et Alice est sûre qu'elle est toujours appliquée correctement et qu'elle n'est pas modifiée par les utilisateurs qui créent ou modifient des ressources.

Les valeurs de balise par défaut permettent aux administrateurs de location de créer des limites de droits d'accès sécurisées entre les utilisateurs concernés par la gouvernance et ceux devant créer et administrer des ressources.

Les valeurs de balise par défaut sont définies pour un compartiment spécifique. Dans la console, vous gérez les valeurs de balise par défaut sur la page Détails du compartiment.

Afin de créer ou de modifier une valeur de balise par défaut pour un compartiment, vous devez disposer de la combinaison de droits d'accès suivante :

• Accès manage tag-defaults sur le compartiment où vous ajoutez la valeur de balise par défaut.
• Accès use tag-namespaces sur le compartiment où se trouve l'espace de noms de balise.
• Accès inspect tag-namespaces sur la location.

Pour obtenir la mise en correspondance complète des droits d'accès aux opérations d'API, reportez-vous à Détails relatifs à IAM sans domaines d'identité.

Par exemple, supposons que vous avez créé un ensemble d'espaces de noms de balise dans CompartmentA. Pour autoriser un groupe nommé TagAdmins à ajouter des valeurs de balise par défaut à CompartmentA, écrivez une stratégie avec les instructions suivantes :

Allow group TagAdmins to manage tag-defaults in compartment CompartmentA
Allow group TagAdmins to use tag-namespaces in compartment CompartmentA
Allow group TagAdmins to inspect tag-namespaces in tenancy

Maintenant, supposons que vous voulez également autoriser TagAdmins à créer des valeurs de balise par défaut dans CompartmentA à l'aide d'espaces de noms de balise résidant dans CompartmentZ. Ajoutez une instruction pour autoriser TagAdmins à utiliser les espaces de noms de balise dans CompartmentZ :

Allow group TagAdmins to use tag-namespaces in compartment CompartmentZ

Désormais, quand les membres de TagAdmins créent des valeurs de balise par défaut dans CompartmentC, ils peuvent utiliser des espaces de noms de balise qui résident dans CompartmentA ou CompartmentZ.

Au maximum, 20 valeurs de balise par défaut peuvent être définies par compartiment.

Pour connaître les autres limites relatives aux balises, reportez-vous à Limites relatives aux balises.

Vous ne pouvez utiliser que des valeurs de balise par défaut avec des balises définies. Les balises à format libre ne sont pas prises en charge pour les valeurs de balise par défaut.

Vous pouvez définir jusqu'à 20 valeurs de balise par défaut par compartiment.

Voici les conséquences de la création d'une valeur de balise par défaut dans un compartiment :

• La valeur de balise par défaut sera appliquée à toutes les ressources créées dans ce compartiment.
• Les ressources existantes dans le compartiment ne sont pas balisées de manière rétroactive.
• Si vous modifiez la valeur par défaut de la valeur de balise par défaut, les occurrences existantes ne sont pas mises à jour.

• Si vous supprimez la valeur de balise par défaut du compartiment, les occurrences existantes de la balise ne sont pas enlevées des ressources.
• Lorsque vous supprimez une définition de clé de balise, les valeurs de balise par défaut existantes reposant sur cette définition de clé de balise ne sont pas enlevées du compartiment. Tant que vous n'avez pas supprimé la valeur de balise par défaut dans le compartiment, celle-ci continue d'être prise en compte dans la limite des 20 valeurs de balise par défaut par compartiment.

Pour les valeurs de balise par défaut, vous devez inclure une valeur de balise, mais vous pouvez choisir la façon dont cette valeur est appliquée.

• Valeur par défaut
• Valeur appliquée par l'utilisateur

Si vous utilisez une valeur par défaut, vous devez la créer. Cette valeur est appliquée à toutes les ressources.

Si vous indiquez qu'une valeur appliquée par l'utilisateur est requise, l'utilisateur qui crée la ressource doit entrer la valeur de la balise au moment de la création de la ressource. Les utilisateurs ne peuvent pas créer de ressources sans saisir de valeur pour la balise.

La balise par défaut est appliquée à toutes les ressources créées dans le compartiment, y compris les compartiments enfant et les ressources créées dans les compartiments enfant.

Exemple :

• Dans CompartmentA, vous créez une valeur de balise par défaut, TagA.

  Les ressources et les compartiments créés dans CompartmentA sont automatiquement balisés avec TagA.

  • Dans le sous-compartiment, CompartmentB, vous créez une valeur de balise par défaut, TagB.

    Les ressources et les compartiments créés dans CompartmentB sont automatiquement balisés avec TagA et TagB.

    • Dans le sous-sous-compartiment, CompartmentC, vous créez la valeur de balise par défaut TagC.

      Les ressources créées dans CompartmentC sont automatiquement balisées avec TagA, TagB et TagC.

Cet exemple est illustré dans le graphique suivant :

Les valeurs de balise par défaut peuvent être remplacées au moment de la création de la ressource par les utilisateurs disposant des droits d'accès appropriés pour créer la ressource et utiliser l'espace de noms de balise.

Exemple : CompartmentA possède une valeur de balise par défaut définie pour appliquer CostCenter.Operations="42". Pradeep appartient à un groupe autorisé à créer des instances et à utiliser des espaces de noms de balise dans CompartmentA. Il crée une instance dans CompartmentA et, dans la boîte de dialogue Créer une instance, applique la balise CostCenter.Operations="50". Puisqu'il dispose des droits d'accès appropriés, lors de la création de l'instance, la valeur de balise par défaut est remplacée et l'instance est balisée avec CostCenter.Operations="50".

Une fois qu'une ressource est créée et balisée, les utilisateurs disposant des droits d'accès appropriés pour mettre à jour la ressource et utiliser l'espace de noms de balise peuvent modifier les balises par défaut qui ont été appliquées lors de la création de la ressource.

Les balises mises hors service ne peuvent pas être appliquées aux nouvelles ressources. Par conséquent, si la clé de balise ou l'espace de noms de balise indiqué dans une valeur de balise par défaut est mis hors service, la balise mise hors service n'est pas appliquée lorsque des ressources sont créées. Il est recommandé de supprimer la valeur de balise par défaut qui indique la balise mise hors service.

Vous pouvez utiliser des variables de balise dans les valeurs de balise par défaut. Les variables de balise sont résolues automatiquement au moment de la création de la ressource. Par exemple, vous entrez une variable de balise pour le nom du principal en tant que valeur de balise par défaut dans un compartiment particulier.

Operations.CostCenter="${iam.principal.name}"

Davis et Garcia créent chacun des buckets dans ce compartiment. Les buckets créés par Davis incluent des balises par défaut contenant son nom en tant que valeur, tandis que les buckets créés par Garcia portent son nom.

Operations.CostCenter="Davis"

Operations.CostCenter="Garcia"

Pendant ce temps, la valeur de balise par défaut contient encore les variables d'origine. Reportez-vous à Utilisation des variables de balise.