本主题介绍如何在 Managed Service for Microsoft Active Directory(代管式 Microsoft AD)中将标记附加到现有网域、列出附加到网域的标记,以及从网域中移除标记。
概览
标记是可以附加到 Google Cloud 中的资源的键值对。您可以使用标记有条件地允许或拒绝政策,具体取决于资源是否具有特定的标记。例如,您可以根据 Managed Microsoft AD 网域是否具有特定标记,有条件地授予 IAM 角色。如需详细了解代码,请参阅代码概览。
通过创建将值关联到 Google Cloud 资源的标记绑定资源,可将标记附加到资源。
准备工作
在开始之前,请执行以下操作:
- 创建托管式 Microsoft AD 域。
- 创建标记键并添加标记值。如需详细了解如何创建标记键和添加标记值,请参阅创建和管理标记。
- 获取标记值的永久 ID。永久 ID 是将标记值添加到标记键时显示的唯一标识符。如需了解详情,请参阅代码定义和标识符。
- 请确保您拥有以下 Tag User 角色:
roles/resourcemanager.tagUser。如需详细了解该角色,请参阅 Resource Manager 角色。
将标记附加到网域
您必须创建标记绑定资源,才能将标记附加到代管式 Microsoft AD 网域。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
替换以下内容:
- TAG_VALUE_ID:要附加的代码值的永久性 ID 或命名空间型名称。例如
tagValues/1234567890。 - DOMAIN_NAME:代管式 Microsoft AD 网域的完整资源名称,采用
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME格式。
作为响应,您会收到创建的代码绑定的详细信息。
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
创建标记绑定后,您可以使用定义何时必须强制执行政策的条件,为这些标记配置组织政策。如需了解详情,请参阅使用标记设置组织政策。
列出已附加到网域的代码
您可以获取附加到代管式 Microsoft AD 网域的代码绑定资源列表。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
替换以下内容:
- DOMAIN_NAME:代管式 Microsoft AD 网域的完整资源名称,采用
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME格式。
作为响应,您会收到附加到您网域的代码绑定资源列表。
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
将代码与网域分离
您必须删除标记绑定资源,才能将标记与 Managed Microsoft AD 网域分离。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
替换以下内容:
- TAG_VALUE_ID:要附加的代码值的永久性 ID 或命名空间型名称。例如
tagValues/1234567890。 - DOMAIN_NAME:代管式 Microsoft AD 网域的完整资源名称,采用
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME格式。
后续步骤
- 了解如何使用代码控制访问权限。
- 了解如何使用标记设置组织政策。