Utilisation d'étiquettes

Utilisez les étiquettes pour organiser, suivre les coûts d'utilisation et même gérer l'accès à vos ressources et à vos identifiants de service. Vous pouvez étiqueter les ressources connexes, puis les afficher dans votre compte en effectuant un filtrage par étiquette depuis votre liste de ressources.

Pour afficher la liste complète des étiquettes dans votre compte, accédez à Gérer > Compte dans la console IBM Cloud®, puis sélectionnez Etiquettes.

Vous pouvez appliquer des balises utilisateur pour organiser vos ressources et ID de service et les trouver facilement ultérieurement. Les étiquettes utilisateur peuvent également vous aider à identifier l'utilisation spécifique de l'équipe ou l'allocation des coûts. En créant des balises de gestion des accès, vous pouvez contrôler l'accès à vos ressources et à vos identifiants de service sans avoir à mettre à jour vos politiques IAM.

Types d'étiquette

Il existe trois types de balises : service, utilisateur et gestion des accès.

Etiquettes utilisateur: Les balises utilisateur sont ajoutées aux ressources ou aux ID de service par un utilisateur autorisé dans le compte. Ajoutez des étiquettes d'utilisateur à vos ressources afin d'organiser, de suivre et de gérer les coûts des ressources connexes. Lorsque vous utilisez un schéma d'étiquetage cohérent pour identifier les ressources liées à des équipes spécifiques, vous pouvez regrouper et filtrer ces étiquettes lorsque vous analysez les coûts dans votre rapport d'utilisation exporté.

Envisagez d'utiliser un projet pour organiser et suivre les ressources entre les comptes. Les ressources créées par le déploiement d'un projet comportent automatiquement des balises de service associées à l'ID de projet et à l'ID de configuration. De cette façon, vous n'avez pas besoin de gérer les ressources associées au balisage de manière automatique.

Balises de service: Les balises de service sont attachées par les services. Aucun utilisateur n'est autorisé à attacher ou détacher des balises de service sur une ressource, même s'il a accès à la gestion des balises sur la ressource.

Les ressources créées en déployant un projet sont automatiquement balisées avec l'ID de projet et l'ID de configuration, qui sont disponibles dans votre rapport d'utilisation. Utilisez des projets pour vous aider à suivre les dépenses des projets. Pour plus d'informations, voir Suivi de l'utilisation et des dépenses pour les projets.

Etiquettes de gestion des accès: Les balises de gestion des accès permettent de gérer l'accès aux ressources. Ils peuvent être créés à l'avance pour être utilisés dans les règles d'accès, qui octroient l'accès aux ressources auxquelles des balises de gestion des accès sont associées. Seul l'administrateur de compte peut créer des balises de gestion des accès et les supprimer uniquement lorsque les balises ne sont associées à aucune ressource du compte. Seul l'administrateur de ressources peut associer et détacher des balises de gestion des accès sur la ressource elle-même.

Règles d'étiquetage

Les balises ne sont pas sensibles à la casse, les majuscules sont converties en minuscules et la longueur maximale d'une balise est de 128 caractères. Les caractères autorisés sont les suivants : A à Z, 0 à 9, espace, trait de soulignement, trait d'union, point et virgule. key:value est le seul format pris en charge pour les étiquettes de gestion des accès. L'utilisation d'un signe deux-points permet de formaliser la balise dans une chaîne qui isole deux parties logiques, comme une paire env:dev. La virgule permet de séparer plusieurs étiquettes et ne peut pas être utilisée dans le nom de l'étiquette lui-même.

Les balises sont visibles à l'échelle du compte et peuvent être répliquées dans les régions géographiques. Les balises n'étant pas des renseignements réglementés, évitez de créer des balises qui utilisent des renseignements personnels, comme votre nom, votre adresse, votre numéro de téléphone, votre adresse électronique ou tout autre renseignement d'identification ou de propriété.

Exemples d'étiquette et syntaxe

Vous pouvez appliquer des balises pour vous aider à organiser et à gérer vos ressources, vos identifiants de service et vos politiques d'accès. Envisagez de créer des paires key:value pour faciliter la coordination de vos environnements de développement, de vos projets, de la conformité et de l'optimisation dans votre organisation. Le tableau ci-après présente des exemples d'étiquette que vous pouvez utiliser.

Syntaxe des étiquettes
Balise	Description
`env:dev`, `env:test`, `env:stage`, `env:prod`	Permet d'identifier ou même de gérer l'accès à votre environnement de développement
`project:lw-wizard`, `app:poc-app`	Permet d'identifier ou même de gérer l'accès à un projet
`dataresidency:germany`, `compliance:hipaa`, `compliance:pii`	Permet de définir des exigences de conformité
`schedule:24x7`, `maxruntime:12days`	Permet d'automatiser l'optimisation

Création de balises

Création d'étiquettes utilisateur

Il n'est pas nécessaire de créer des étiquettes utilisateur pour les attacher à des ressources ou à des identifiants de service. Pour plus d'informations, voir Connexion et déconnexion d'étiquettes.

Création d'étiquettes de gestion des accès dans la console

Avant de pouvoir attacher vos balises de gestion des accès à des ressources individuelles ou à des identifiants de service, vous devez d'abord les créer. Pour créer des balises de gestion des accès, vous devez avoir le rôle d'administrateur sur les services de gestion de tous les comptes.

IBM Cloud® autorise jusqu'à 250 balises de gestion d'accès par compte.

Accédez à Gérer > Compte dans la console IBM Cloud® et sélectionnez Etiquettes.
Cliquez sur Etiquettes de gestion des accès.
Entrez les noms de vos étiquettes et cliquez sur Créer des étiquettes. Ces balises sont maintenant prêtes à être associées à des ressources ou à des ID de service et à la portée des règles d'accès.

Ensuite, voir Joindre et détacher des étiquettes. Pour un tutoriel complet, voir Contrôler l'accès aux ressources à l'aide de balises.

Création d'étiquettes de gestion des accès dans l'interface de ligne de commande

IBM Cloud® autorise jusqu'à 250 balises de gestion d'accès par compte.

Connectez-vous à l'interface de ligne de commande IBM Cloud. Si vous possédez plusieurs comptes, vous êtes invité à sélectionner le compte à utiliser. Si vous n'indiquez pas de région avec l'option -r, vous devez également sélectionner une région.
```
ibmcloud login
```
Si vos données d'identification sont rejetées, vous pouvez utiliser un ID fédéré. Pour vous connecter avec un ID fédéré, utilisez l'indicateur --sso. Voir Connexion à l'aide d'un ID fédéré pour plus de détails.

Si c'est la première fois que vous utilisez l'interface de ligne de commande IBM Cloud, consultez la rubrique Tutoriel d'initiation.
Entrez la commande ibmcloud resource tag-create pour créer une étiquette de gestion des accès dans votre compte. L'exemple suivant crée une étiquette nommée project:myproject :
```
ibmcloud resource tag-create --tag-names project:myproject
```

Pour plus d'informations, voir la référence pour la commande ibmcloud resource.

Ensuite, voir Joindre et détacher des étiquettes.

Création d'étiquettes de gestion des accès avec l'API

IBM Cloud® autorise jusqu'à 250 balises de gestion d'accès par compte.

Vous pouvez créer des balises de gestion d'accès de manière programmatique en appelant l'API Recherche globale et balisage - Balisage, comme le montre l'exemple de demande suivant. Ce dernier crée une étiquette nommée project:myproject.

curl -X POST -H "Authorization: {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{ "tag_names": ["project:myproject"] }' \
"tags.global-search-tagging.cloud.ibm.com/v3/tags?tag_type=access"

CreateTagOptions createTagOptions = new CreateTagOptions.Builder()
    .addTagNames("project:myproject")
    .tagType("access")
    .build();

Response<CreateTagResults> response = service.createTag(createTagOptions).execute();
CreateTagResults createTagResults = response.getResult();
System.out.println(createTagResults);

const params = {
  tagNames: ['project:myproject'],
  tagType: 'access',
};

globalTaggingService.createTag(params)
  .then(res => {
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });

create_tag_results = global_tagging_service.create_tag(
  tag_names=['project:myproject'],
  tag_type='access').get_result()

print(json.dumps(create_tag_results, indent=2))

createTagOptions := globalTaggingService.NewCreateTagOptions(
  []string{"project:myproject"},
)
createTagOptions.SetTagType("access")

createTagResults, response, err := globalTaggingService.CreateTag(createTagOptions)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(createTagResults, "", "  ")
fmt.Println(string(b))

Ensuite, voir Joindre et détacher des étiquettes.

Création d'étiquettes de gestion des accès à l'aide de Terraform

Avant de pouvoir créer des balises de gestion des accès à l'aide de Terraform, vérifiez que vous avez effectué les opérations suivantes:

Installez l'interface de ligne de commande Terraform et configurez le plug-in IBM Cloud Provider pour Terraform. Pour plus d'informations, voir le tutoriel Initiation à Terraform sur IBM Cloud®. Ce plug-in résume les API IBM Cloud utilisées pour effectuer cette tâche.
Créez un fichier de configuration Terraform nommé main.tf. Dans ce fichier, vous définissez des ressources à l'aide du langage de configuration HashiCorp. Pour plus d'informations, voir la documentation de Terraform.
Avant de pouvoir attacher vos balises de gestion des accès à des ressources individuelles ou à des identifiants de service, vous devez d'abord les créer. Pour créer des balises de gestion des accès, vous devez avoir le rôle d'administrateur sur tous les services de gestion des comptes.

IBM Cloud® autorise jusqu'à 250 balises de gestion d'accès par compte.

Pour créer des balises de gestion des accès à l'aide de Terraform, procédez comme suit:

Créez un argument dans votre fichier main.tf. L'exemple suivant crée l'étiquette de gestion d'accès ibm_tag dans la ressource ibm pour l'ID ressource ibm_satellite_location.location.crn.
```
resource "ibm_resource" "ibm" {
resource_id = ibm_satellite_location.location.crn
tags        = [ "ibm_tag" ]
}
```
Une fois que vous avez terminé de générer votre fichier de configuration, initialisez l'interface de ligne de commande Terraform. Pour plus d'informations, voir Initialisation des répertoires de travail.
```
terraform init
```
Mettez à disposition les ressources à partir du fichier main.tf. Pour plus d'informations, voir Mise à disposition d'une infrastructure avec Terraform.
1. Exécutez terraform plan pour générer un plan d'exécution Terraform afin de prévisualiser les actions proposées.
```
terraform plan
```
2. Exécutez terraform apply pour créer les ressources définies dans le plan.
```
terraform apply
```

Recherche d'étiquettes dans la console

Vous pouvez rechercher des balises et des ressources liées aux balises en utilisant l'une des méthodes suivantes :

Utilisez la barre de recherche se trouvant dans la barre de menus de la console IBM Cloud®.
Vous pouvez filtrer votre liste de ressources en fonction de l'étiquette recherchée.
A partir de la page des détails de l'application, vous pouvez rechercher les étiquettes associées à cette ressource.

Le même tag peut être attaché à plusieurs ressources et identifiants de service par différents utilisateurs sur le même compte de facturation, et tous les utilisateurs n'ont pas la visibilité sur toutes les ressources du compte.

Recherche d'étiquettes à l'aide de l'interface de ligne de commande

Pour rechercher des étiquettes à l'aide de l'interface de ligne de commande, voir Recherche de ressources.

Recherche d'étiquettes à l'aide de l'API

Pour rechercher des étiquettes à l'aide de l'API, voir Recherche de ressources.

Un cas d'utilisation courant pour la recherche de balises à l'aide de l'API consiste à extraire les balises associées à une ressource. Il y a quelques options pour le faire.

L'option préférée est l'API de recherche, comme illustré dans l'exemple suivant.

curl -s -H'Content-type:application/json' -H'Accept:application/json' -H"Authorization:Bearer $IAM_TOKEN" \
-X POST 'https://api.global-search-tagging.cloud.ibm.com/v3/resources/search' \
-d'{"query":"crn:\"crn:v1:bluemix:public:codeengine:us-south:a/aabbccddeeff00112233445566778899:aabbccdd-1234-4321-aaaa-001122334455::\"", \
"fields":["crn","name","tags", "access_tags", "service_tags"]}'

Si la ressource avec le CRN donné existe et que vous pouvez la lire, vous obtenez l'exemple de sortie suivant, qui inclut tous les types de balise associés à la ressource:

{
  "items": [
    {
      "name": "my-codeengine-instance",
      "crn": "crn:v1:bluemix:public:codeengine:us-south:a/aabbccddeeff00112233445566778899:aabbccdd-1234-4321-aaaa-001122334455::",
      "tags": ["one", "two"],
      "access_tags": ["atag:one", "another-tag:two"],
       "service_tags": ["service-tag:one", "service-tag:two"]
     }
  ],
  "limit": 10,
  "search_cursor": "..."
}

Vous pouvez également utiliser l'API Get tags avec le paramètre de requête attached_to pour obtenir le même résultat. Cependant, l'API Get tags est strictement limitée dans le débit et ne renvoie pas tous les types de balise dans un seul appel, comme le fait /v3/resources/search, qui est la raison pour laquelle il ne s'agit pas de la méthode suggérée.

Si vous devez effectuer la tâche à l'aide de la ligne de commande ibmcloud, utilisez la commande resource search. Par défaut, il génère toutes les balises associées aux ressources.

Par exemple, si vous utilisez la commande ibmcloud resource search name:my-codeengine-instance, vous obtenez la sortie suivante:

Name:                my-codeengine-instance
Location:            us-south
Family:              resource_controller
Resource Type:       resource-instance
Resource Group ID:   a58ebff30cab4b30bc67de9fec9cfda5
CRN:                 crn:v1:staging:public:codeengine:us-south:a/aa00ffbccdb34a6fbe7a6499ce091aaa:0a01030b-1234-1234-aaaa-002245318e88::
Tags:                one,two
Service Tags:        service-tag:one,service-tag:two
Access Tags:         atag:one,another-tag:two

Etiquetage pour les revendeurs

Tous les membres d'un compte peuvent voir toutes les étiquettes. Pour visualiser la politique d'une balise de gestion des accès, l'utilisateur doit avoir au moins un rôle de spectateur sur la ressource balisée. Si votre compte est associé à différentes organisations (par exemple, si vous êtes revendeur), vous pouvez recommander à vos clients de ne pas stocker d'informations sensibles dans les étiquettes.

Pour contrôler la visibilité des étiquettes, suivez les instructions d'étiquetage et informez les utilisateurs que les étiquettes sont visibles sur l'ensemble du compte.

Utilisez des codes plutôt que des noms pour les clients et les comptes et évitez de placer des informations confidentielles dans des étiquettes.