标记提供了一种根据资源是否有特定标记,有条件地允许或拒绝政策的方法。每项服务使用的资源和政策都以不同的方式使用标记。如需详细了解标记,请参阅标记概览。
有些服务(例如 Identity and Access Management (IAM))是支持通过标记进行引用的政策引擎。如果可以将标记附加到服务资源,并且政策引擎服务支持该资源,您就可以利用政策的条件强制执行功能来更好地控制资源层次结构。
许多服务不是政策引擎,但具有支持标记绑定的资源。如果政策引擎服务支持某项资源,您可以附加标记,以使用条件政策强制执行来控制该资源。
在将标记附加到服务资源时,请查看下面的相应部分。如需了解详情,请参阅创建和管理标记。
政策引擎服务
以下服务包括可包含标记的政策。通过在这些政策中引用标记,您可以微调 Google Cloud 资源层次结构中的资源操作方式。
| Google Cloud 服务 | 资源类型 |
|---|---|
| 身份和访问权限管理 (IAM) | |
| 组织政策服务 | |
| Virtual Private Cloud (VPC) |
以下各部分介绍了如何将标记与政策引擎服务搭配使用。
Identity and Access Management
您可以将标记与 Identity and Access Management (IAM) 政策搭配使用,从而支持有条件地强制执行这些政策。您可以将是否存在标记值作为该政策的条件。例如,您可以根据资源是否具有特定标记来有条件地授予 IAM 角色。
如需详细了解如何将标记与 IAM 搭配使用来帮助控制对 Google Cloud 资源的访问权限,请参阅标记和访问权限控制。
组织政策服务
您可以将组织政策与标记结合使用,以控制如何将组织政策限制条件应用于特定资源。可以附加到附加到以下资源的标记有条件地执行组织政策:
- Google Cloud 组织、文件夹和项目资源
- Cloud Storage 存储桶
附加到上文未明确列出的资源的标记无法有条件地强制执行组织政策。
如需了解详情,请参阅设置带有标记的组织政策。
虚拟私有云
您可以使用标记在网络防火墙政策和区域防火墙政策中定义来源和目标。您还可以将标记附加到虚拟机实例,以表示网络中的不同函数。如需了解详情,请参阅防火墙的 Resource Manager 标记。
支持的服务资源
您可以将标记附加到以下类型的 Google Cloud 资源:
| Google Cloud 服务 | 资源类型 |
|---|---|
| Artifact Registry | |
| BigQuery | |
| Cloud Bigtable | |
| Cloud Billing | |
| Cloud 网域 |
|
| Cloud Key Management Service (Cloud KMS) | |
| Cloud Run |
|
| Compute Engine |
|
| Cloud Storage | |
| Datastream | |
| Filestore |
|
| Google Kubernetes Engine (GKE) | |
| Managed Service for Microsoft Active Directory (Managed Microsoft AD) | |
| Resource Manager | |
| Cloud SQL |