标记是可应用于服务以实现精细访问权限控制的键值对。标记管理员在组织或项目级层为整个 Google Cloud 内的资源创建标记,并在 Resource Manager 中管理这些标记。标记提供了一种有条件地允许或拒绝政策的方法,具体依据是看资源是否具有特定的标记。
附加到 Cloud Run 服务的标记不应与允许将流量路由到特定 Cloud Run 修订版本的 Cloud Run 流量标记混淆。
所需的 Identity and Access Management 角色
您必须具有以下角色:
- Cloud Run 服务的 Cloud Run Admin 角色
- 标记值和 Cloud Run 服务的 Tag User 角色
附加标记
请注意,将标记附加到服务不会创建新的修订版本。
您可以使用 Google Cloud 控制台或 gcloud 命令行附加或分离标记。
控制台
选中要为其设置标记的服务左侧的复选框。
点击服务列表上方的标记以显示标记窗格。
如果您的组织未显示在标记面板中,请点击选择范围。选择您的组织,然后点击打开。
如需将新的标记附加到服务,请点击添加标记,然后从键下拉菜单中选择一个标记键,从值下拉菜单中选择一个值。
点击保存,然后在出现提示时确认您的更改。
命令行
您可以使用以下命令更新服务的标记:
gcloud resource-manager tags bindings create \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \
--location=REGION
如需更新多个标记,请提供以英文逗号分隔的键值对列表。
替换
- 将 TAG_VALUE 替换为键对应的值:您可以使用以下各种类型的标识符:永久 ID(如
tagValues/12345678901)、命名空间值(如123456789012/env/prod)或简称(如prod) - 将 PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
- 将 REGION 替换为您的 Cloud Run 服务要部署到的区域
- 将 SERVICE 替换为您的 Cloud Run 服务的名称
分离标记
您可以使用控制台或命令行将标记与服务分离。
控制台
选中要从中分离标记的服务左侧的复选框。
点击服务列表上方的标记以显示标记窗格。
找到要分离的标记。
将光标悬停在标记对应的“值”下拉菜单的右侧,以显示垃圾箱图标,然后点击该图标。
点击保存,然后在出现提示时确认您的更改。
命令行
如需从服务分离标记,请执行以下操作:
gcloud resource-manager tags bindings delete \
--tag-value=TAG_VALUE \
--parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \
--location=REGION
如需分离多个标记,请提供以英文逗号分隔的键值对列表。
替换
- 将 TAG_VALUE 替换为键对应的值:您可以使用以下各种类型的标识符:永久 ID(如
tagValues/12345678901)、命名空间值(如123456789012/env/prod)或简称(如prod) - 将 PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
- 将 REGION 替换为您的 Cloud Run 服务要部署到的区域
- 将 SERVICE 替换为您的 Cloud Run 服务的名称