支持标记的服务

标记可让您为资源创建注解，在某些情况下，可以根据资源是否有特定标记，有条件地允许或拒绝政策。每项服务使用的资源和政策都以不同的方式使用标记。如需详细了解标记，请参阅标记概览。

某些服务（例如 Identity and Access Management (IAM)）是支持按标记进行引用的政策引擎。如果您可以将标记附加到服务资源，并且政策引擎服务支持该资源，则可以利用政策的条件强制执行来更好地控制资源层次结构。每项政策引擎服务都会在政策引擎服务部分中列出其支持的资源。

如果资源未明确列为受政策引擎服务支持，则无法直接针对该资源有条件地强制执行政策。相反，应标记父级项目、文件夹或组织资源以提供条件控制。

在将标记附加到服务资源时，请查看下面的相应部分。如需了解详情，请参阅创建和管理标记。

政策引擎服务

以下服务包括可包含标记的政策。通过在这些政策中引用标记，您可以微调这些政策在 Google Cloud 资源层次结构中对受支持资源的操作方式。

Google Cloud 服务	资源类型
Identity and Access Management (IAM)	允许政策和拒绝政策
组织政策服务	组织政策 支持标记的资源
Virtual Private Cloud (VPC)	网络防火墙政策 虚拟机实例 安全 Web 代理实例

以下各部分介绍了如何将标记与政策引擎服务搭配使用。

Identity and Access Management

您可以根据资源是否具有特定标记来有条件地授予 IAM 角色或有条件地拒绝 IAM 权限。

资源会从其父级组织、文件夹和项目中继承标记值。因此，您可以使用标记来管理对任何 Google Cloud 资源的访问权限。

如需详细了解如何将标记与 IAM 搭配使用来帮助控制对 Google Cloud 资源的访问权限，请参阅标记和访问权限控制。

组织政策服务

您可以使用带有标记的组织政策来控制如何对特定资源应用组织政策限制条件。通过引用附加到受支持的资源的标记，可以有条件地强制执行组织政策。

如需了解详情，请参阅设置带有标记的组织政策。

Virtual Private Cloud

您可以使用标记在网络防火墙政策和区域防火墙政策中定义来源和目标。您还可以将标记附加到 Compute Engine 虚拟机实例，以表示网络中的不同功能。如需了解详情，请参阅防火墙的 Resource Manager 标记。

您可以将标记附加到以下 VPC 资源，以便在 IAM 政策中使用：

• 网络
• 子网
• 路由
• VPC 防火墙规则
• 网络防火墙政策
• 区域级防火墙政策

如需了解详情，请参阅为 Virtual Private Cloud 资源创建和管理标记。

支持的服务资源

您可以将标记附加到以下类型的 Google Cloud 资源：

Google Cloud 服务	资源类型
AlloyDB for PostgreSQL	集群 备份
API Gateway	API 网关
API Hub	API API 部署
Artifact Registry	代码库（预览版）
BigQuery	数据集 Tables 视图
Bigtable	实例
Google Cloud Armor	网络边缘安全服务 安全政策
Certificate Manager	证书 证书映射 信任配置 证书颁发配置 DNS 授权
Certificate Authority Service	CA 池 证书模板
Cloud Billing	在 Cloud Billing BigQuery 导出中查看资源级标记
Cloud Data Fusion	实例（预览版）
Cloud Deploy	交付流水线（预览版） 目标（预览版）
Cloud 网域	注册
Cloud Key Management Service (Cloud KMS)	密钥环
Cloud Load Balancing	后端存储分区 后端服务 转发规则 健康检查 网络端点组 SSL 政策 SSL 证书 目标 GRPC 代理 目标 HTTP(S) 代理 目标实例 目标池数 目标 SSL 代理 目标 TCP 代理 网址映射 可用区级实例组
Cloud Logging	日志存储分区
Cloud Router	路由器
Cloud Interconnect	互连 互连连接
Cloud VPN	外部 VPN 网关 VPN 网关 VPN 隧道 目标 VPN 网关
Cloud Run	服务 作业（预览版）
Cloud SQL	实例
Cloud Storage	存储分区
Cloud Workstations	集群
Transcoder API	作业 JobTemplate
Compute Engine	图片 实例 区域永久性磁盘 快照 可用区永久性磁盘
Dataproc	集群
Dataproc Metastore	服务 联合
Datastore	数据库
Datastream	专用连接配置 连接配置文件 直播
Cloud DNS	政策
Filestore	备份 实例 快照
Firestore	数据库
Google Distributed Cloud	BareMetalCluster BareMetalAdminCluster VMWareCluster VMWareAdminCluster
Google Kubernetes Engine (GKE)	集群
Identity and Access Management	服务账号
Managed Service for Microsoft Active Directory (Managed Microsoft AD)	网域
Memorystore for Redis	实例
Pub/Sub	主题 订阅 快照
reCAPTCHA Enterprise	键
Resource Manager	组织 文件夹 项目
Secret Manager	密文
Spanner	实例
Google Cloud VMware Engine	私有云 专用连接 网络 网络对等互连 网络政策
VPC	网络 子网 路由 VPC 防火墙规则
Workflows	Workflows