标记服务

标记是可应用于服务以实现精细访问权限控制的键值对。标记管理员在组织或项目级层为整个 Google Cloud 内的资源创建标记,并在 Resource Manager 中管理这些标记。标记提供了一种有条件地允许或拒绝政策的方法,具体依据是看资源是否具有特定的标记。

附加到 Cloud Run 服务的标记不应与允许将流量路由到特定 Cloud Run 修订版本的 Cloud Run 流量标记混淆。

所需的角色

如需获得附加或分离标记所需的权限,请让管理员向您授予 Cloud Run 服务的以下 IAM 角色:

为了在 Resource Manager 中管理标记值资源的访问权限,您的账号还必须具有针对标记值授予Tag User (roles/resourcemanager.tagUser ) 角色。标记值是附加到 Cloud Run 服务的资源。

如需查看与 Cloud Run 关联的 IAM 角色和权限的列表,请参阅 Cloud Run IAM 角色Cloud Run IAM 权限。如果您的 Cloud Run 服务与 Google Cloud API(例如 Cloud 客户端库)进行交互,请参阅服务身份配置指南。如需详细了解如何授予角色,请参阅部署权限管理访问权限

附加标记

请注意,将标记附加到服务不会创建新的修订版本。

您可以使用 Google Cloud 控制台或 gcloud 命令行附加或分离标记。

控制台

  1. 转到 Cloud Run

  2. 选中要为其设置标记的服务左侧的复选框。

  3. 点击服务列表上方的标记以显示标记窗格。

    设置标记

  4. 如果您的组织未显示在标记面板中,请点击选择范围。选择您的组织,然后点击打开

  5. 如需将新的标记附加到服务,请点击添加标记,然后从键下拉菜单中选择一个标记键,从值下拉菜单中选择一个值。

  6. 点击保存,然后在出现提示时确认您的更改。

命令行

您可以使用以下命令更新服务的标记:

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE \
    --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \
    --location=REGION

如需更新多个标记,请提供以英文逗号分隔的键值对列表。

替换

  • TAG_VALUE 替换为键对应的值:您可以使用以下各种类型的标识符:永久 ID(如 tagValues/12345678901)、命名空间值(如 123456789012/env/prod)或简称(如 prod
  • PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
  • REGION 替换为您的 Cloud Run 服务要部署到的区域
  • SERVICE 替换为您的 Cloud Run 服务的名称

分离标记

您可以使用控制台或命令行将标记与服务分离。

控制台

  1. 转到 Cloud Run

  2. 选中要从中分离标记的服务左侧的复选框。

  3. 点击服务列表上方的标记以显示标记窗格。

  4. 找到要分离的标记。

  5. 将光标悬停在标记对应的“值”下拉菜单的右侧,以显示垃圾箱图标,然后点击该图标。

  6. 点击保存,然后在出现提示时确认您的更改。

命令行

如需从服务分离标记,请执行以下操作:

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE \
    --parent=//run.googleapis.com/projects/PROJECT_ID/locations/REGION/services/SERVICE \
    --location=REGION

如需分离多个标记,请提供以英文逗号分隔的键值对列表。

替换

  • TAG_VALUE 替换为键对应的值:您可以使用以下各种类型的标识符:永久 ID(如 tagValues/12345678901)、命名空间值(如 123456789012/env/prod)或简称(如 prod
  • PROJECT_ID 替换为您的 Google Cloud 项目的项目 ID
  • REGION 替换为您的 Cloud Run 服务要部署到的区域
  • SERVICE 替换为您的 Cloud Run 服务的名称