使用 Google Cloud 标记进行访问权限控制

本页面介绍 Google Cloud 标记及其如何与 Cloud SQL 搭配使用。如需使用 gcloud 向 Cloud SQL 实例添加标记,请参阅在 Cloud SQL 实例上附加和管理标记。如需使用 Google Cloud 控制台向 Cloud SQL 实例添加标记,请参阅在实例上创建和管理标记

概览

Google Cloud 标记是一种整理 Cloud SQL 资源的方法。

标记在整个 Google Cloud 中资源层次结构的较高级层应用。Cloud SQL 和其他实例会继承标记。标记通过 Resource Manager 进行管理。您可以在 IAM 政策绑定中添加对标记的引用,以授予对资源的有条件访问权限。

标记与标签不同,标签是整理和过滤实例的另一种方法。标记和标签彼此独立工作,因此您可以对同一个实例使用标记和标签。如需详细了解如何在 Cloud SQL 中使用标签,请参阅为实例加标签

什么是标记?

标记是可应用于资源以实现精细访问权限控制的键值对。

标记键可以是属性(如 environment),而标记值可以是特性(如 developmentproduction)。对于一个特定资源,标记的一个给定键只能有一个值。

标记是在组织级层创建的。标记通过 Resource Manager 附加到资源(例如项目或 Cloud SQL 实例),可在整个 Google Cloud 中使用。

根据有条件标记绑定授予权限

将标记附加到 Cloud SQL 实例或 Cloud SQL 实例继承标记后,您可以将标记与 IAM Conditions 搭配使用,以有条件地授予对 Cloud SQL 资源的访问权限。通过 IAM Conditions,您可以对 Cloud SQL 实例实施精细的访问权限控制。如需使用 IAM Conditions,您可以在 IAM 政策绑定中引用标记。如需详细了解如何使用标记授予 Cloud SQL 实例的有条件访问权限,请参阅使用 IAM 条件

限制

标记具有以下限制:

  • 组织政策可以有条件地引用从项目及更高级别继承的标记,但不支持直接附加到 Cloud SQL 实例的标记。
  • Cloud Audit Logs 会显示标记的创建和删除,但不会为在 Cloud SQL 实例上附加标记和查看标记绑定生成条目。

后续步骤