标记提供了一种为资源创建注解的方法,在某些情况下,可以根据资源是否有特定标记,有条件地允许或拒绝政策。每项服务使用的资源和政策利用不同 方法。如需详细了解标记,请参阅标记概览。
Identity and Access Management (IAM) 等一些服务是政策引擎, 支持按标记引用引用。如果您可以将标记附加到服务资源 政策引擎服务支持该资源,然后您就可以利用 有条件地强制执行政策,以更好地控制您的资源 层级结构。每项政策引擎服务都会在 政策引擎服务部分。
不得将未列为政策引擎服务明确支持的资源 。相反, 应标记项目、文件夹或组织资源, 条件控制。
在将标记附加到服务资源时,请查看下面的相应部分。如需了解详情,请参阅创建和管理标记。
政策引擎服务
以下服务包括可包含标记的政策。引用标记 通过这些政策,您可以微调它们在支持的 Google Cloud 资源层次结构中的资源。
Google Cloud 服务 | 资源类型 |
---|---|
身份和访问权限管理 (IAM) | |
组织政策服务 | |
Virtual Private Cloud (VPC) |
以下各部分介绍了如何将标记与政策引擎服务搭配使用。
Identity and Access Management
您可以 有条件地授予 IAM 角色或 有条件地拒绝 IAM 权限 根据资源是否具有特定的标记来自定义。
资源会从其父级继承标记值 组织、文件夹和项目。因此,您可以使用标记来管理对任何 Google Cloud 资源的访问权限。
如需详细了解如何将标记与 IAM 搭配使用来帮助控制对 Google Cloud 资源的访问权限,请参阅标记和访问权限控制。
组织政策服务
您可以将组织政策与标记结合使用,以控制您的组织如何 政策限制应用于某些资源。组织政策可以 由附加到以下资源的标记有条件地强制执行:
- Google Cloud 组织、文件夹和项目资源
- Cloud Storage 存储桶
附加的标记无法有条件地强制执行组织政策 上面未明确列出的资源。但是,组织政策限制条件 对 IAM 允许政策执行各种操作 网域限定共享 限制条件,可通过任何受支持的服务上的标记有条件地强制执行 资源。
如需了解详情,请参阅设置带有标记的组织政策。
虚拟私有云
您可以使用标记在网络防火墙政策中定义来源和目标, 区域级防火墙政策您还可以为 Compute Engine 虚拟机附加标记 这些实例来表示网络中的不同功能。如需更多信息 请参阅防火墙的 Resource Manager 标记。
以下 VPC 资源可以为以下 VPC 资源附加标记: 在 IAM 政策中使用:
如需了解详情,请参阅 为 Virtual Private Cloud 资源创建和管理标记。
支持的服务资源
您可以将标记附加到以下类型的 Google Cloud 资源: