本主題說明如何在 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 中,為現有網域附加標記、列出已附加至網域的標記,以及從網域中移除標記。
總覽
標記是鍵/值組合,可附加至 Google Cloud中的資源。您可以使用標記,根據資源是否具備特定標記,有條件地允許或拒絕政策。舉例來說,您可以根據受管理的 Microsoft AD 網域是否具有特定標記,有條件地授予 IAM 角色。如要進一步瞭解代碼,請參閱「代碼總覽」。
您可以建立標記繫結資源,將值連結至 Google Cloud 資源,藉此將標記附加至資源。
事前準備
開始之前,請先執行下列操作:
- 建立代管的 Microsoft AD 網域。
- 建立標記鍵並新增標記值。如要進一步瞭解如何建立標籤鍵和新增標籤值,請參閱「建立及管理標籤」一文。
- 取得代碼值的永久 ID。永久 ID 是標記值新增至標記鍵時顯示的專屬 ID。詳情請參閱「標記定義和 ID」。
- 請確認您具備下列「代碼使用者」角色:
roles/resourcemanager.tagUser。如要進一步瞭解這個角色,請參閱「Resource Manager 角色」。
將標記附加至網域
您必須建立代碼繫結資源,才能將代碼附加至受管理的 Microsoft AD 網域。
執行下列 gcloud CLI 指令:
gcloud alpha resource-manager tags bindings create --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
更改下列內容:
- TAG_VALUE_ID:要附加的標記值的永久 ID 或命名空間名稱。例如:
tagValues/1234567890。 - DOMAIN_NAME:受管理 Microsoft AD 網域的完整資源名稱,格式為:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
您會收到建立的標記繫結詳細資料。
done: true response: '@type': type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
建立代碼繫結後,您可以使用定義政策必須生效時機的條件,為這些代碼設定機構政策。詳情請參閱「設定含有標記的組織政策」。
列出網域附加的標記
您可以取得連結至代管 Microsoft AD 網域的標記繫結資源清單。
執行下列 gcloud CLI 指令:
gcloud alpha resource-manager tags bindings list --parent=DOMAIN_NAME
更改下列內容:
- DOMAIN_NAME:受管理 Microsoft AD 網域的完整資源名稱,格式為:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
您會收到附加至網域的代碼繫結資源清單做為回應。
tagBindings: name: TAG_BINDING_NAME parent: DOMAIN_NAME tagValue: TAG_VALUE_ID
從網域中卸離標記
您必須刪除標記繫結資源,才能從受管理的 Microsoft AD 網域中卸除標記。
執行下列 gcloud CLI 指令:
gcloud alpha resource-manager tags bindings delete --tag-value=TAG_VALUE_ID --parent=DOMAIN_NAME
更改下列內容:
- TAG_VALUE_ID:要附加的標記值的永久 ID 或命名空間名稱。例如:
tagValues/1234567890。 - DOMAIN_NAME:受管理 Microsoft AD 網域的完整資源名稱,格式為:
//managedidentities.googleapis.com/projects/PROJECT_ID/locations/global/domains/DOMAIN-NAME。
後續步驟
- 瞭解如何使用標記控管存取權。
- 瞭解如何使用標記設定機構政策。