本頁面說明 Google Cloud 標記,以及如何搭配 Cloud SQL 使用。如要使用 gcloud 為 Cloud SQL 執行個體新增標記,請參閱「在 Cloud SQL 執行個體上附加及管理標記」。如要立即使用 Google Cloud 控制台為 Cloud SQL 執行個體新增標記,請參閱「在執行個體中建立及管理標記」一文。
總覽
Google Cloud 標記可用來整理 Cloud SQL 資源。
標記會套用至 Google Cloud中資源階層的較高層級。Cloud SQL 和其他執行個體會繼承這些標記。這些資源會透過 Resource Manager 管理。您可以在 IAM 政策繫結中新增標記參照,授予資源條件存取權。
標記與標籤不同,後者是另一種整理及篩選執行個體的方式。標記和標籤各自獨立運作,您可以在同一個例項中使用這兩者。如要進一步瞭解如何在 Cloud SQL 中使用標籤,請參閱「標示執行個體」。
什麼是代碼?
標記是可以套用至資源的鍵/值組合,用於精細的存取控管機制。
標記鍵可以是屬性,例如 environment,而標記值可以是屬性,例如 development 或 production。在特定資源上,標記只能針對特定鍵提供一個值。
標記是在機構層級建立。標記會透過 Resource Manager 附加至資源 (例如專案或 Cloud SQL 執行個體),而 Resource Manager 則會用於 Google Cloud。
根據條件式標記繫結授予權限
標記附加至 Cloud SQL 執行個體或由其繼承後,您就可以使用標記搭配 IAM 條件,有條件地授予 Cloud SQL 資源存取權。您可以使用 IAM 條件,對 Cloud SQL 執行個體強制執行精細的存取權控管。如要使用 IAM 條件,您必須在 IAM 政策繫結中參照代碼。如要進一步瞭解如何使用標記授予 Cloud SQL 執行個體的條件存取權,請參閱「使用 IAM 條件」。
如果您在執行個體中新增標記型繫結,就可以有條件地授予 Cloud SQL 資源存取權。根據這項條件式存取權,您可以查看有效執行個體的所有備份,以及已刪除且具有相同名稱的執行個體的最終備份。不過,刪除含有標記繫結的執行個體後,您就無法看到與該執行個體名稱相關的任何備份。這是因為您已刪除執行個體,因此無法再判斷標記。
限制
標記的限制如下:
- 機構政策可有條件地參照從專案層級以上繼承的標記,但不支援直接附加至 Cloud SQL 執行個體的標記。
- Cloud 稽核記錄會顯示建立和刪除標記的記錄,但不會針對在 Cloud SQL 執行個體上附加標記和查看標記繫結產生記錄。
後續步驟
- 瞭解如何使用 Resource Manager 在執行個體上建立及管理標記。
- 如需 Cloud SQL 的特定
gcloud指令,請參閱「管理 Cloud SQL 中的標記」。 - 瞭解 IAM 條件。
- 瞭解如何搭配使用 Cloud SQL 和 IAM 條件。