本指南說明如何在「工作流程」中建立及管理工作流程標記。您可以使用標記,在機構中 Google Cloud Google Cloud 將工作流程和其他資源分組,以便進行報表、稽核和存取權控管。
關於代碼
標記是可附加至Google Cloud內資源的鍵/值組合。您可以將資源是否具備特定標記設為條件,並按照這項條件允許或拒絕政策。舉例來說,您可以根據資源是否具備特定標記,有條件地授予 Identity and Access Management (IAM) 角色。如要進一步瞭解標記,請參閱「標記總覽」。
如要將標記附加至資源,請建立標記繫結資源,將值連結至 Google Cloud 資源。
如要根據自動化和帳單用途將工作流程分組,請使用標籤。標記和標籤各自獨立運作,您可以將兩者套用至相同的工作流程。如要進一步瞭解標記和標籤之間的差異,請參閱「標記和標籤」。所需權限
如要取得管理標記所需的權限,請要求管理員授予您下列 IAM 角色:
-
標記檢視者 (
roles/resourcemanager.tagViewer) 標記附加至的資源 -
在機構層級查看及管理標記:
機構檢視者 (
roles/resourcemanager.organizationViewer) 機構 -
建立、更新及刪除代碼定義:
代碼管理員 (
roles/resourcemanager.tagAdmin) 適用於您要建立、更新或刪除代碼的資源 -
在資源中附加及移除標記:
標記使用者 (
roles/resourcemanager.tagUser) 在標記值和您要附加或移除標記值的資源上
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
如要將標籤附加至工作流程,您需要「工作流程編輯者」角色 (roles/workflows.editor)。
建立標記鍵和值
您必須先建立標記並設定其值,才能附加標記。 如要建立標記鍵和標記值,請參閱「建立標記」和「新增標記值」。
為現有資源新增標記
如要為現有工作流程新增標記,請按照下列步驟操作:
控制台
- 前往 Google Cloud 控制台的「Workflows」頁面。
- 選取要附加標記的工作流程。
- 按一下「代碼」。
- 如果「標記」面板中未顯示貴機構,請按一下「選取範圍」。選取機構,然後按一下「開啟」。
- 按一下「新增代碼」。
- 從清單中選取要附加的代碼鍵。輸入關鍵字即可篩選清單。
- 從清單中選取要附加的代碼值。輸入關鍵字即可篩選清單。
- 按一下 [儲存]。
- 在「確認」對話方塊中,按一下「確認」即可附加代碼。
系統會發送通知,確認代碼已更新。
gcloud
如要將標記附加至工作流程,請使用 gcloud resource-manager tags bindings create 指令建立標記繫結資源:
gcloud resource-manager tags bindings create \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
TAGVALUE_NAME:附加標記值的永久 ID 或命名空間名稱,例如tagValues/567890123456。-
RESOURCE_ID是資源的完整 ID,包括用於識別資源類型 (//workflows.googleapis.com/) 的 API 網域名稱。舉例來說,如要在projects/workflows-test-project的myWorkflow工作流程中附加標記 (位於us-central1區域),完整 ID 為://workflows.googleapis.com/projects/workflows-test-project/locations/us-central1/workflows/myWorkflow。 LOCATION:資源的位置。如要將標記附加至全域資源 (例如資料夾或專案),請省略這個旗標。如要將標記附加至地區或區域資源,請務必指定位置,例如us-central1(地區) 或us-central1-a(區域)。
列出附加至資源的標記
您可以查看直接附加至工作流程或由工作流程沿用的標記繫結清單。
控制台
- 前往 Google Cloud 控制台的「Workflows」頁面。
- 標記會顯示在工作流程的「標記」欄中。
gcloud
如要取得附加至資源的標記繫結清單,請使用 gcloud resource-manager tags bindings list 指令:
gcloud resource-manager tags bindings list \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
-
RESOURCE_ID是資源的完整 ID,包括用於識別資源類型 (//workflows.googleapis.com/) 的 API 網域名稱。舉例來說,如要在projects/workflows-test-project的myWorkflow工作流程中附加標記 (位於us-central1區域),完整 ID 為://workflows.googleapis.com/projects/workflows-test-project/locations/us-central1/workflows/myWorkflow。 LOCATION:資源的位置。如果您要查看附加至全域資源 (例如資料夾或專案) 的標記,請省略這個標記。如果查看附加至區域或地區資源的標記,您必須指定位置,例如us-central1(區域) 或us-central1-a(地區)。
您應該會收到類似以下的回覆:
name: tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
tagValue: tagValues/567890123456
resource: //workflows.googleapis.com/projects/PROJECT_ID/locations/REGION/WORKFLOW_ID
從資源卸離標記
您可以取消直接附加至工作流程的標記。如要覆寫繼承的標記,請附加具有相同鍵和不同值的標記,但無法卸離。
控制台
- 前往 Google Cloud 控制台的「Workflows」頁面。
- 選取要移除代碼的工作流程。
- 按一下「代碼」。
- 在「標記」面板中,找出要取消連結的標記,然後按一下旁邊的「刪除項目」。
- 按一下 [儲存]。
- 在「確認」對話方塊中,按一下「確認」即可取消連結標記。
系統會發送通知,確認代碼已更新。
gcloud
如要刪除標記繫結,請使用 gcloud resource-manager tags bindings delete 指令:
gcloud resource-manager tags bindings delete \
--tag-value=TAGVALUE_NAME \
--parent=RESOURCE_ID \
--location=LOCATION
更改下列內容:
TAGVALUE_NAME:附加標記值的永久 ID 或命名空間名稱,例如tagValues/567890123456。-
RESOURCE_ID是資源的完整 ID,包括用於識別資源類型 (//workflows.googleapis.com/) 的 API 網域名稱。舉例來說,如要在projects/workflows-test-project的myWorkflow工作流程中附加標記 (位於us-central1區域),完整 ID 為://workflows.googleapis.com/projects/workflows-test-project/locations/us-central1/workflows/myWorkflow。 LOCATION:資源的位置。如要將標記附加至全域資源 (例如資料夾或專案),請省略這個旗標。如要將標記附加至地區或區域資源,請務必指定位置,例如us-central1(地區) 或us-central1-a(區域)。
刪除標籤鍵和值
移除標籤鍵或值定義時,請務必將標籤從工作流程中分離。您必須先刪除現有代碼附件 (稱為代碼繫結),才能刪除代碼定義本身。如要刪除標記鍵和標記值,請參閱刪除標記。
身分與存取權管理條件和標記
您可以使用標記和 IAM 條件,有條件地將角色繫結授予階層中的使用者。如果已套用具有條件式角色繫結的 IAM 政策,變更或刪除附加至資源的標記,可能會移除使用者對該資源的存取權。詳情請參閱「身分與存取權管理條件和標記」。