您可以為下列 Trusted Cloud by S3NS 負載平衡資源附加標記:
- 後端值區
- 後端服務
- 轉送規則
- 健康狀態檢查
- 執行個體群組 (區域性)
- 網路端點群組
- SSL 政策
- SSL 憑證
- 目標執行個體
- 目標集區
- 目標 gRPC Proxy
- 目標 HTTP(S) Proxy
- 目標 SSL Proxy
- 目標 TCP Proxy
- 網址對應
關於代碼
標記是鍵/值組合,可附加至Trusted Cloud by S3NS中的資源。您可以使用標記,根據資源是否具備特定標記,有條件地允許或拒絕政策。舉例來說,您可以根據資源是否具備特定標記,有條件地授予 Identity and Access Management (IAM) 角色。如要進一步瞭解標籤,請參閱「標籤總覽」。
您可以建立標記繫結資源,將值連結至 Trusted Cloud by S3NS 資源,藉此將標記附加至資源。
如要將負載平衡資源分組,以便進行自動化和計費作業,請使用標籤。標記和標籤各自獨立運作,您可以將兩者套用至資源。所需權限
您需要的權限取決於您要執行的動作。
如要取得這些權限,請要求管理員在資源階層的適當層級授予建議的角色。
查看代碼
如要查看標記定義和附加至資源的標記,您必須具備「標記檢視者」角色 (roles/resourcemanager.tagViewer),或是具備下列權限的其他角色:
所需權限
resourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.tagValues.listresourcemanager.tagValues.getlistTagBindings的資源類型。例如,compute.instances.listTagBindings可用於查看附加至 Compute Engine 執行個體的標記。listEffectiveTags 適用於適當的資源類型。例如,
compute.instances.listEffectiveTags 可用於查看 Compute Engine 執行個體附加或繼承的所有標記。如要在機構層級查看標記,您必須在機構資源上具備「機構檢視者」角色 (roles/resourcemanager.organizationViewer)。
管理代碼
如要建立、更新及刪除代碼定義,您必須具備代碼管理員角色 (roles/resourcemanager.tagAdmin),或是具備下列權限的其他角色:
所需權限
resourcemanager.tagKeys.createresourcemanager.tagKeys.updateresourcemanager.tagKeys.deleteresourcemanager.tagKeys.listresourcemanager.tagKeys.getresourcemanager.tagKeys.getIamPolicyresourcemanager.tagKeys.setIamPolicyresourcemanager.tagValues.createresourcemanager.tagValues.updateresourcemanager.tagValues.deleteresourcemanager.tagValues.listresourcemanager.tagValues.getresourcemanager.tagValues.getIamPolicyresourcemanager.tagValues.setIamPolicy
如要在機構層級管理標記,您需要具備機構資源的機構檢視者角色 (roles/resourcemanager.organizationViewer)。
管理資源的標記
如要新增及移除附加至資源的標記,您必須在標記值和要附加標記值的資源上,具備標記使用者角色 (roles/resourcemanager.tagUser) 或其他具備等同權限的角色。「標記使用者」角色具備下列權限:
所需權限
- 您要附加標記值的資源所需的權限
- 資源專屬的
createTagBinding權限,例如 Compute Engine 執行個體的compute.instances.createTagBinding。 - 資源專屬的
deleteTagBinding權限,例如 Compute Engine 執行個體的compute.instances.deleteTagBinding。 - 標記值所需的權限:
resourcemanager.tagValueBindings.createresourcemanager.tagValueBindings.delete- 可讓您查看專案和標記定義的權限:
resourcemanager.tagValues.getresourcemanager.tagValues.listresourcemanager.tagKeys.getresourcemanager.tagKeys.listresourcemanager.projects.get
如要將標記附加至負載平衡資源,您必須具備 Compute 網路管理員角色 (roles/compute.networkAdmin) 和 Compute 安全性管理員角色 (roles/compute.securityAdmin)。
建立標記鍵和值
您必須先建立標記並設定其值,才能附加標記。如要建立代碼鍵和代碼值,請參閱「建立代碼」和「新增代碼值」相關說明。
將標記新增至現有資源
如要為現有的負載平衡資源新增標記,請按照下列步驟操作:
gcloud
如要將標記附加至負載平衡資源,您必須使用 gcloud resource-manager tags bindings create 指令建立標記繫結資源:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
TAGVALUE_NAME:已附加的標記值的永久 ID 或命名空間名稱,例如tagValues/567890123456。-
RESOURCE_ID:資源的完整 ID,包括用於識別資源類型的 API 網域名稱 (//compute.googleapis.com/)。例如:
- 區域資源的資源 ID (例如
projects/7890123456中的區域後端服務) 如下所示://compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id} - 區域性資源的資源 ID (例如
projects/7890123456中的網路端點群組) 如下所示://compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
- 區域資源的資源 ID (例如
LOCATION:資源的位置。如果您要將標記附加至全域資源 (例如資料夾或專案),請略過這個標記。如果要將標記附加至地區或區域資源,您必須指定位置,例如us-central1(地區) 或us-central1-a(區域)。
列出資源附加的標記
您可以查看負載平衡資源直接附加或沿用的標記繫結清單。
gcloud
如要取得已連結至資源的標記繫結清單,請使用 gcloud resource-manager tags bindings list 指令:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
-
RESOURCE_ID:資源的完整 ID,包括用於識別資源類型的 API 網域名稱 (//compute.googleapis.com/)。例如:
- 區域資源的資源 ID (例如
projects/7890123456中的區域後端服務) 如下所示://compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id} - 區域性資源的資源 ID (例如
projects/7890123456中的網路端點群組) 如下所示://compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
- 區域資源的資源 ID (例如
LOCATION:資源的位置。如果您查看的是附加至全域資源 (例如資料夾或專案) 的標記,請省略這個標記。如果您查看的是附加至地區或區域資源的代碼,則必須指定位置,例如us-central1(地區) 或us-central1-a(區域)。
您應該會收到類似以下的回應:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource:
//compute.googleapis.com/projects/7890123456/regions/REGION/targetHttpProxies/{resource-id}
從資源中卸離標記
您可以分離直接附加至負載平衡資源的標記。您可以附加具有相同鍵和不同值的標記,藉此覆寫繼承的標記,但無法將標記分離。
gcloud
如要刪除標記繫結,請使用 gcloud resource-manager tags bindings delete 指令:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
TAGVALUE_NAME:已附加的標記值的永久 ID 或命名空間名稱,例如tagValues/567890123456。-
RESOURCE_ID:資源的完整 ID,包括用於識別資源類型的 API 網域名稱 (//compute.googleapis.com/)。例如:
- 區域資源的資源 ID (例如
projects/7890123456中的區域後端服務) 如下所示://compute.googleapis.com/projects/7890123456/regions/REGION/backendServices/{resource-id} - 區域性資源的資源 ID (例如
projects/7890123456中的網路端點群組) 如下所示://compute.googleapis.com/projects/7890123456/zones/ZONE/networkEndpointGroups/{resource-id}
- 區域資源的資源 ID (例如
LOCATION:資源的位置。如果您要將標記附加至全域資源 (例如資料夾或專案),請略過這個標記。如果要將標記附加至地區或區域資源,您必須指定位置,例如us-central1(地區) 或us-central1-a(區域)。
刪除標籤鍵和值
移除標籤鍵或值定義時,請確認標籤已從負載平衡資源中分離。您必須先刪除現有的代碼附件 (稱為代碼繫結),才能刪除代碼定義本身。如要刪除標記鍵和標記值,請參閱「刪除標記」。
Identity and Access Management 條件和標記
您可以使用標記和 IAM 條件,依條件授予階層中的使用者角色繫結。如果已套用含有條件角色繫結的 IAM 政策,變更或刪除附加至資源的標記,可能會移除使用者對該資源的存取權。詳情請參閱「身分與存取權管理條件和標記」。