标记提供了一种根据资源是否有特定标记,有条件地允许或拒绝政策的方法。每项服务使用的资源和政策都以不同的方式使用标记。如需详细了解标记,请参阅标记概览。
某些服务(例如组织政策服务和 Identity and Access Management (IAM))是支持按标记进行引用的政策引擎。如果您可以将标记附加到服务资源,则可以利用政策的条件强制执行以更好地控制资源层次结构。
许多服务不是政策引擎,但具有支持标记绑定的资源。将标记附加到其中一个资源后,可以通过条件政策强制执行来控制它们。
在将标记附加到服务资源时,请查看下面的相应部分。如需了解详情,请参阅创建和管理标记。
政策引擎服务
以下服务包括可包含标记的政策。通过在这些政策中引用标记,您可以微调 Google Cloud 资源层次结构中的资源操作方式。
| Google Cloud 服务 | 资源类型 |
|---|---|
| 身份和访问权限管理 (IAM) | |
| 组织政策服务 |
以下各部分介绍了如何将标记与政策引擎服务搭配使用。
Identity and Access Management
您可以将标记与 Identity and Access Management (IAM) 政策搭配使用,从而支持有条件地强制执行这些政策。您可以将是否存在标记值作为该政策的条件。例如,您可以根据资源是否具有特定标记来有条件地授予 IAM 角色。
如需详细了解如何将标记与 IAM 搭配使用来帮助控制对 Google Cloud 资源的访问权限,请参阅标记和访问权限控制。
组织政策服务
您可以使用带有标记的组织政策来控制如何应用组织政策限制条件。如需了解详情,请参阅设置带有标记的组织政策。
支持的服务资源
您可以将标记附加到以下类型的 Google Cloud 资源:
| Google Cloud 服务 | 资源类型 |
|---|---|
| Cloud Key Management Service (Cloud KMS) | |
| Compute Engine |
|
| Google Kubernetes Engine (GKE) | |
| Managed Service for Microsoft Active Directory (Managed Microsoft AD) | |
| Resource Manager | |
| Cloud SQL |