标记是可应用于作业以实现精细访问权限控制的键值对。标记管理员在组织或项目级层为整个 Google Cloud 内的资源创建标记,并在 Resource Manager 中管理这些标记。标记提供了一种有条件地允许或拒绝政策的方法,具体依据是看资源是否具有特定的标记。
所需的角色
如需获得关联或分离标记所需的权限,请让管理员向您授予 Cloud Run 作业的以下 IAM 角色:
-
Cloud Run Admin (
roles/run.admin) -
Tag User (
roles/resourcemanager.tagUser)
为了在 Resource Manager 中管理标记值资源的访问权限,您的账号还必须具有针对标记值授予的 Tag User (roles/resourcemanager.tagUser ) 角色。标记值是关联到 Cloud Run 作业的资源。
如需查看与 Cloud Run 关联的 IAM 角色和权限的列表,请参阅 Cloud Run IAM 角色和 Cloud Run IAM 权限。如果您的 Cloud Run 作业与 Google Cloud API(例如 Cloud 客户端库)进行交互,请参阅服务身份配置指南。如需详细了解如何授予角色,请参阅部署权限和管理访问权限。
附加标记
使用 Google Cloud CLI 附加标记。
gcloud
使用以下命令更新作业的标记:
gcloud resource-manager tags bindings create \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
如需更新多个标记,请提供以英文逗号分隔的键值对列表。
替换
- 将 TAG_VALUE 替换为键对应的值。您可以使用以下各种类型的标识符:永久 ID(如
tagValues/12345678901)、命名空间值(如123456789012/env/prod)或短名称(如prod) - 将 PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
- 将 REGION 替换为您的 Cloud Run 作业要部署到的区域
- 将 JOB 替换为 Cloud Run 作业的名称
分离标记
使用 Google Cloud CLI 从作业中分离标记。
gcloud
如需从作业分离标记,请使用以下命令:
gcloud resource-manager tags bindings delete \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/jobs/JOB \
--location=REGION
如需分离多个标记,请提供以英文逗号分隔的键值对列表。
替换
- 将 TAG_VALUE 替换为键对应的值:您可以使用以下各种类型的标识符:永久 ID(如
tagValues/12345678901)、命名空间值(如123456789012/env/prod)或简称(如prod) - 将 PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
- 将 REGION 替换为您的 Cloud Run 作业要部署到的区域
- 将 JOB 替换为 Cloud Run 作业的名称