本頁面由 Cloud Translation API 翻譯而成。

建立及管理標記

本指南說明如何建立及管理服務帳戶資源的標記。

關於代碼

標記是可附加至Google Cloud內資源的鍵/值組合。您可以根據資源是否具備特定標記，有條件地允許或拒絕政策。舉例來說，您可以根據資源是否具備特定標記，有條件地授予 Identity and Access Management (IAM) 角色。如要進一步瞭解標記，請參閱「標記總覽」。

如要將標記附加至資源，請建立標記繫結資源，將值連結至 Google Cloud 資源。

所需權限

如要取得管理標記所需的權限，請要求管理員授予您服務帳戶的下列 IAM 角色：

標記檢視者 (roles/resourcemanager.tagViewer) - 標記附加的資源
在機構層級查看及管理標記：機構檢視者 (roles/resourcemanager.organizationViewer) - 機構
建立、更新及刪除標記定義：標記管理員 (roles/resourcemanager.tagAdmin) - 您要建立、更新或刪除標記的資源
在資源中附加及移除標記：標記使用者 (roles/resourcemanager.tagUser) - 標記值，以及您要附加或移除標記值的資源

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

如要取得將標記附加至服務帳戶所需的權限，請要求管理員授予您服務帳戶的「服務帳戶管理員」 (roles/iam.ServiceAccountAdmin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立標記鍵和值

您必須先建立標記並設定其值，才能附加標記。如要建立標記鍵和標記值，請參閱「建立標記」和「新增標記值」。

為現有資源新增標記

如要為現有服務帳戶新增代碼，請按照下列步驟操作：

gcloud

如要將標記附加至服務帳戶，請使用 gcloud resource-manager tags bindings create 指令建立標記繫結資源：

      gcloud resource-manager tags bindings create \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

更改下列內容：

TAGVALUE_NAME：附加標記值的永久 ID 或命名空間名稱，例如 tagValues/567890123456。
RESOURCE_ID：服務帳戶的專屬 ID 或電子郵件地址，包括 API 網域名稱 (//iam.googleapis.com/)。舉例來說，專案 test-project 中專屬 ID 為 1029384756 的服務帳戶完整 ID 為 //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756。

列出附加至資源的標記

您可以查看直接附加至服務帳戶或由服務帳戶沿用的標記繫結清單。

gcloud

如要取得附加至資源的標記繫結清單，請使用 gcloud resource-manager tags bindings list 指令：

      gcloud resource-manager tags bindings list \
          --parent=RESOURCE_ID

更改下列內容：

RESOURCE_ID：服務帳戶的專屬 ID 或電子郵件地址，包括 API 網域名稱 (//iam.googleapis.com/)。舉例來說，專案 test-project 中專屬 ID 為 1029384756 的服務帳戶完整 ID 為 //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756。

您應該會得到類似以下的回覆：

name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
          tagValue: tagValues/567890123456
          resource: //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756

從資源卸離標記

您可以將直接附加至服務帳戶的標記分離。如要覆寫繼承的標記，請附加具有相同鍵和不同值的標記，但無法卸離。

gcloud

如要刪除標記繫結，請使用 gcloud resource-manager tags bindings delete 指令：

      gcloud resource-manager tags bindings delete \
          --tag-value=TAGVALUE_NAME \
          --parent=RESOURCE_ID

更改下列內容：

TAGVALUE_NAME：附加標記值的永久 ID 或命名空間名稱，例如 tagValues/567890123456。
RESOURCE_ID：服務帳戶的專屬 ID 或電子郵件地址，包括 API 網域名稱 (//iam.googleapis.com/)。舉例來說，專案 test-project 中專屬 ID 為 1029384756 的服務帳戶完整 ID 為 //iam.googleapis.com/projects/test-project/serviceAccounts/1029384756。

刪除標籤鍵和值

移除標籤鍵或值定義時，請務必將標籤從服務帳戶中分離。您必須先刪除現有代碼附件 (稱為代碼繫結)，才能刪除代碼定義本身。如要刪除標記鍵和標記值，請參閱刪除標記。

身分與存取權管理條件和標記

您可以使用標記和 IAM 條件，有條件地將角色繫結授予階層中的使用者。如果已套用具有條件角色繫結的 IAM 政策，變更或刪除附加至資源的標記，可能會移除使用者對該資源的存取權。詳情請參閱「身分與存取權管理條件和標記」。

後續步驟

查看其他支援代碼的服務。
如要瞭解如何搭配 IAM 使用標記，請參閱「標記和存取權控管」。