本指南說明如何建立及管理 Compute Engine 資源的標記。標記是可附加至資源的鍵/值組合。Trusted Cloud by S3NS 標籤的用途包括:
- 根據資源是否具備特定標記,有條件地允許或拒絕政策。
- 在全域網路防火牆政策和區域網路防火牆政策中定義來源和目標。
- 以邏輯方式整理資源。
建立標記並授予標記和資源適當的存取權後,即可將標記附加為鍵/值組合。針對特定鍵,您只能為資源附加一個值。舉例來說,如果您附加 environment: development 標記,就無法附加 environment: production 或 environment: test 標記。每個資源最多可附加 50 個鍵/值組合。
如要將標記附加至資源,您必須建立 TagBinding 資源,將標記值連結至 Trusted Cloud 資源。如要進一步瞭解代碼及其運作方式,請參閱「代碼總覽」文件。
事前準備
- 請參閱 Resource Manager 說明文件中的標記總覽。
- 請參閱 Resource Manager 說明文件中的「建立及管理標記」。
-
如果尚未設定驗證,請先完成設定。
「驗證」是指驗證身分的程序,確認您有權存取 Trusted Cloud by S3NS 服務和 API。如要從本機開發環境執行程式碼或範例,請選取下列任一選項,向 Compute Engine 進行驗證:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
-
安裝 Google Cloud CLI,然後 使用同盟身分登入 gcloud CLI。 登入後,執行下列指令初始化 Google Cloud CLI:
gcloud init - Set a default region and zone.
REST
如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。
安裝 Google Cloud CLI,然後 使用同盟身分登入 gcloud CLI。 登入後,執行下列指令初始化 Google Cloud CLI:
gcloud init詳情請參閱 Trusted Cloud 驗證說明文件中的「Authenticate for using REST」。
權限
如要管理 Compute Engine 資源的標記,請授予使用者和服務帳戶
tagUser角色。如要進一步瞭解tagUser角色,請參閱「必要權限」。支援的資源
Compute Engine 支援為下列資源加上標記:
僅限資源建立後:
- 代管執行個體群組 (MIG)
- 圖片
- 快照
- 大多數網路資源,例如網路、子網路、防火牆和健康狀態檢查資源。
資源建立期間和之後:虛擬機器 (VM) 執行個體和磁碟
為資源新增標記
您可以將現有標記附加至特定資源。建立資源後,請按照下列操作說明為該資源附加標記。
主控台
視資源類型而定,實際步驟可能有所不同。舉例來說,下列步驟會將標記附加至 VM:
前往 Trusted Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
選取您的專案並點選 [繼續]。
在「Name」(名稱) 欄中,按一下要新增標記的 VM 名稱。
在「VM 執行個體詳細資料」頁面上,完成下列步驟:
- 按一下 [編輯]。
- 在「基本資訊」部分中,按一下「管理標記」,然後為執行個體新增所需標記。
- 按一下 [儲存]。
gcloud
如要瞭解如何使用這些標記,請參閱 Resource Manager 說明文件中的「將標記附加至資源」。
舉例來說,下列指令會將標記附加至 VM:
gcloud resource-manager tags bindings create \ --location LOCATION_NAME \ --tag-value=tagValues/TAGVALUE_ID \ --parent=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID更改下列內容:
LOCATION_NAME:包含目標資源的區域;在本例中,是 VM 執行個體的區域TAGVALUE_ID:標記值的數值 IDPROJECT_NUMBER:包含目標資源的專案數字 IDZONE:包含目標資源的可用區;在本範例中,這是指 VM 執行個體的可用區VM_ID:VM 執行個體 ID
REST
如要將標記附加至資源,您必須先建立標記繫結的 JSON 表示法,其中包含標記值的永久 ID 或命名空間名稱,以及資源的永久 ID。如要進一步瞭解標記繫結的格式,請參閱tagBindings 參考資料。
如要將標記附加至區域資源 (例如 VM 執行個體),請使用
tagBindings.create方法,並搭配資源所在的區域端點。例如:POST https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings
要求主體可以是下列其中一個選項:
{ "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID", "tagValue": "tagValue/TAGVALUE_ID" }{ "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID", "tagValueNamespacedName": TAGVALUE_NAMESPACED_NAME }更改下列內容:
LOCATION_NAME:包含目標資源的區域;在本例中,為 VM 執行個體的區域PROJECT_NUMBER:包含目標資源的專案數字 IDZONE:包含目標資源的可用區;在本例中,這是 VM 執行個體的可用區VM_ID:VM 執行個體 IDTAGVALUE_ID:附加的標記值永久 ID,例如:4567890123TAGVALUE_NAMESPACED_NAME:附加標記的值的命名空間名稱,格式為:parentNamespace/tagKeyShortName/tagValueShortName
在建立資源時為資源新增標記
在某些情況下,您可能想在建立資源時標記資源,而不是在資源建立後標記。
主控台
視資源類型而定,確切步驟可能會有所不同。以下步驟適用於 VM:
前往 Trusted Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
選取您的專案並點選 [繼續]。
按一下「Create instance」(建立執行個體)。「建立執行個體」頁面隨即顯示,並顯示「機器設定」窗格。
在導覽選單中,按一下「進階」。在隨即顯示的「進階」窗格中,執行下列操作:
- 展開「管理標記和標籤」部分。
- 按一下「新增標記」。
- 在隨即開啟的「標記」窗格中,按照操作說明將標記新增至執行個體。
- 按一下 [儲存]。
指定執行個體的其他設定選項。詳情請參閱「建立執行個體時的設定選項」。
如要建立並啟動 VM,請按一下 [Create] (建立)。
gcloud
如要在建立資源時附加標記,請使用相應的
create指令新增--resource-manager-tags旗標。舉例來說,如要將標記附加至 VM,請使用下列指令:gcloud compute instances create INSTANCE_NAME \ --zone=ZONE \ --resource-manager-tags=tagKeys/TAGKEY_ID=tagValues/TAGVALUE_ID更改下列內容:
INSTANCE_NAME:VM 執行個體的名稱ZONE:包含 VM 執行個體的可用區TAGKEY_ID:標記鍵編號數值 IDTAGVALUE_ID:附加標記值的永久數字 ID,例如:4567890123
如要指定多個標記,請以半形逗號分隔,例如
TAGKEY1=TAGVALUE1,TAGKEY2=TAGVALUE2。REST
請對以下網址提出
POST要求:POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances
加入下列 JSON 要求內文:
{ "name": INSTANCE_NAME, "params": { "resourceManagerTags": { "tagKeys/TAGKEY_ID": "tagValues/TAGVALUE_ID", }, } // other fields omitted }更改下列內容:
INSTANCE_NAME:VM 執行個體的名稱TAGKEY_ID:標記鍵編號數值 IDTAGVALUE_ID:附加標記值的永久數字 ID,例如:4567890123
從資源中卸離標記
如要從資源卸離標籤,請刪除標籤繫結資源。
如要查看如何分離標記的操作說明,請參閱資源管理員文件中的「從資源分離標記」。
主控台
視資源類型而定,確切步驟可能略有不同。舉例來說,下列步驟會從 VM 中分離標記:
前往 Trusted Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
選取您的專案並點選 [繼續]。
在「Name」(名稱) 欄中,按一下要新增標記的 VM 名稱。
在「VM 執行個體詳細資料」頁面上,完成下列步驟:
- 按一下 [編輯]。
- 在「基本」部分,按一下「管理標記」,然後移除執行個體所需的標記。
- 按一下 [儲存]。
gcloud
以下範例使用 gcloud CLI 從 VM 分離標記:
gcloud resource-manager tags bindings delete \ --location LOCATION_NAME \ --tag-value=tagValues/TAGVALUE_ID \ --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID更改下列內容:
LOCATION_NAME:目標資源的可用區,例如us-central1-aTAGVALUE_ID:標記鍵的數值 IDPROJECT_NUMBER:包含目標資源的專案數字 IDZONE:可用區名稱,例如us-central1-aVM_ID:VM 執行個體的數值 ID
如要更新或將現有標記繫結替換為其他標記繫結,請先卸離舊的標記繫結,然後附加新的標記繫結。
REST
如要刪除附加至資源 (例如 VM) 的標記繫結,請使用
tagBindings.delete方法,並搭配資源所在的區域端點。DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/{name=TAGBINDINGS_NAME}更改下列內容:
LOCATION:資源的區域端點,例如us-central1TAGBINDINGS_NAME:TagBinding 的永久 ID,例如:tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F1234567890/tagValues/567890123456
查看附加至資源的標記
如要查看列出標記的詳細操作說明,請參閱資源管理員說明文件中的「列出附加至資源的所有標記」。
主控台
視資源類型而定,確切步驟可能略有不同。舉例來說,下列步驟說明如何查看 VM 的標記:
前往 Trusted Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
選取您的專案並點選 [繼續]。
在「Name」(名稱) 欄中,按一下要查看標記的 VM 名稱。
在「VM instance」(VM 執行個體) 詳細資料頁面中,找出「Tags」(標記) 區段下的標記。
gcloud
如要取得直接附加至資源的標記繫結清單,請使用
gcloud resource-manager tags bindings list指令。如果您新增--effective旗標,系統也會傳回這個資源繼承的標記清單。例如:gcloud resource-manager tags bindings list \ --location=LOCATION_NAME \ --parent //compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID更改下列內容:
LOCATION_NAME:目標資源的可用區,例如us-central1-aPROJECT_NUMBER:包含目標資源的專案數值 IDZONE:可用區名稱,例如us-central1-aVM_ID:VM 執行個體的數值 ID
如果您在
tags bindings list指令中加入--effective標記,也會傳回這個資源沿用的所有標記清單。輸出結果會與下列內容相似:
namespacedTagKey: 961309089256/environment namespacedTagValue: 961309089256/environment/production tagKey: tagKeys/417628178507 tagValue: tagValues/247197504380 inherited: true
如果資源上評估的所有標記都是直接附加,則
inherited欄位為 false,且會省略。REST
如要列出附加至地區資源 (例如 Compute Engine 執行個體) 的標籤繫結,請搭配資源所在地區的端點使用
tagBindings.list方法。例如:GET https://LOCATION_NAME-cloudresourcemanager.googleapis.com/v3/tagBindings { "parent": "//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/VM_ID" }更改下列內容:
LOCATION_NAME:目標資源的區域,例如us-central1PROJECT_NUMBER:包含目標資源的專案數值 IDZONE:可用區名稱,例如us-central1-aVM_ID:VM 執行個體的數值 ID
後續步驟
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-08-08 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["缺少我需要的資訊","missingTheInformationINeed","thumb-down"],["過於複雜/步驟過多","tooComplicatedTooManySteps","thumb-down"],["過時","outOfDate","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["示例/程式碼問題","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-08-08 (世界標準時間)。"],[[["Tags in Compute Engine are key-value pairs attached to resources for policy enforcement, network firewall configuration, and organization."],["Tags are attached to resources using TagBinding resources, with each resource supporting a maximum of 50 key-value pairs, and only one value per key."],["Tags can be attached to most resources after creation, and to Virtual Machine (VM) instances and disks both during and after creation."],["Tags can be managed through the Google Cloud console, the gcloud command-line tool, or the REST API, enabling actions such as attaching, detaching, and viewing tags."],["To manage Compute Engine tags, users need the `tagUser` role and can utilize tags to define firewall policies and control access based on specified tags."]]],[]] -