标记提供了一种为资源创建注释的方法,并且在某些情况下,可以根据资源是否具有特定的标记有条件地允许或拒绝政策。每项服务使用的资源和政策以不同的方式利用标记。如需详细了解标记,请参阅标记概览。
某些服务(例如 Identity and Access Management (IAM))是支持通过标记引用的政策引擎。如果您可以将标记附加到服务资源,并且政策引擎服务支持该资源,您就可以利用有条件地强制执行政策来更好地控制资源层次结构。每项政策引擎服务都会在政策引擎服务部分列出其支持的资源。
未列为政策引擎服务明确支持的资源不能直接作为有条件的强制执行政策的目标。相反,您应标记父项目、文件夹或组织资源,以提供条件控制。
在将标记附加到服务资源时,请查看下面的相应部分。如需了解详情,请参阅创建和管理标记。
政策引擎服务
以下服务包括可包含标记的政策。通过在这些政策中引用标记,您可以微调它们对 Google Cloud 资源层次结构中受支持资源的操作方式。
| Google Cloud 服务 | 资源类型 |
|---|---|
| 身份和访问权限管理 (IAM) | |
| 组织政策服务 | |
| Virtual Private Cloud (VPC) |
以下各部分介绍了如何将标记与政策引擎服务搭配使用。
Identity and Access Management
您可以根据资源是否具有特定的标记,有条件地授予 IAM 角色或有条件地拒绝 IAM 权限。
资源会从其父级组织、文件夹和项目中继承标记值。因此,您可以使用标记来管理对任何 Google Cloud 资源的访问权限。
如需详细了解如何将标记与 IAM 搭配使用来帮助控制对 Google Cloud 资源的访问权限,请参阅标记和访问权限控制。
组织政策服务
您可以将组织政策与标记一起使用,以控制如何将组织政策限制条件应用于某些资源。您可以通过附加到以下资源的标记有条件地强制执行组织政策:
- Google Cloud 组织、文件夹和项目资源
- Cloud Storage 存储桶
附加到上文中未明确列出的资源的标记无法有条件地强制执行组织政策。但是,针对 IAM 允许政策执行的组织政策限制条件(例如网域限制共享限制条件)可以使用任何受支持的服务资源上的标记有条件地强制执行。
如需了解详情,请参阅设置带有标记的组织政策。
虚拟私有云
您可以使用标记在网络防火墙政策和区域防火墙政策中定义来源和目标。您还可以将标记附加到 Compute Engine 虚拟机实例,用于表示网络中的不同功能。如需了解详情,请参阅防火墙的 Resource Manager 标记。
以下 VPC 资源可以附加标记,以便在 IAM 政策中使用:
如需了解详情,请参阅创建和管理虚拟私有云资源的标记。
支持的服务资源
您可以将标记附加到以下类型的 Google Cloud 资源。预览版中支持标记的资源只能使用 Google Cloud CLI 或 API 附加标记。