本主题介绍了如何在 Managed Service for Microsoft Active Directory (托管式 Microsoft AD) 中向现有网域附加标记、列出附加到网域的标记,以及从网域中移除标记。
概览
标记是可以附加到 Google Cloud 中资源的键值对。您可以使用标记,根据资源是否具有特定标记,有条件地允许或拒绝政策。例如,您可以根据 Managed Microsoft AD 网域是否具有特定标记有条件地授予 IAM 角色。如需详细了解代码,请参阅代码概览。
通过创建可将值关联到 Google Cloud 资源的标记绑定资源,系统会将标记关联到资源。
准备工作
在开始之前,请执行以下操作:
- 创建托管式 Microsoft AD 网域。
- 创建标记键并添加标记值。如需详细了解如何创建标记键以及添加标记值,请参阅创建和管理标记。
- 获取标记值的永久 ID。永久 ID 是向标记键添加标记值时显示的唯一标识符。如需了解详情,请参阅标记定义和标识符。
- 确保您拥有以下“代码植入用户”角色:
roles/resourcemanager.tagUser。如需详细了解此角色,请参阅 Resource Manager 角色。
将代码附加到网域
您必须创建标记绑定资源,才能将标记附加到 Managed Microsoft AD 网域。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
替换以下内容:
- TAG_VALUE_ID:要附加的标记值的永久 ID 或命名空间名称。例如
tagValues/1234567890。 - DOMAIN_NAME:托管式 Microsoft AD 网域的完整资源名称,格式为
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
您会收到创建的代码绑定的详细信息作为响应。
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
创建代码绑定后,您可以使用定义必须强制执行政策的时间的条件,为这些代码配置组织政策。如需了解详情,请参阅使用标记设置组织政策。
列出附加到网域的标记
您可以获取附加到托管式 Microsoft AD 网域的标记绑定资源的列表。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
替换以下内容:
- DOMAIN_NAME:托管式 Microsoft AD 网域的完整资源名称,格式为
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
您会收到附加到您网域的标记绑定资源列表作为响应。
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
将代码与网域分离
您必须删除标记绑定资源,才能从托管式 Microsoft AD 网域中分离标记。
运行以下 gcloud CLI 命令:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
替换以下内容:
- TAG_VALUE_ID:要附加的代码值的永久 ID 或命名空间名称。例如
tagValues/1234567890。 - DOMAIN_NAME:代管式 Microsoft AD 网域的完整资源名称,格式为
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
后续步骤
- 了解如何使用标记控制访问权限。
- 了解如何使用标记设置组织政策。