云服务器内容精选
-
添加标签与创建标签键二者有什么不同? 添加标签时,仅设置标签“键”,则标签“值”默认为空值。在单击“确认”之后,将会有具体的标签与云资源关联。该功能支持批量操作。 创建标签键是在资源标签展示列表中添加“键”列,该“键”列下的所有“值”的默认状态为“无标签”,即默认不会有具体的标签与云资源关联。用户可在列表中添加具体的“值”,生成新的标签并实现关联操作。 如下图所示,为某个VPC资源关联标签“键”为“Owner”的标签,“值”未设置则默认为“空值”。同时,创建一个标签键“Usage”,该标签键将显示在资源列表中且默认为“无标签”,表示未与此VPC资源关联,若需要此标签键生效,则需要输入具体的“值”。 图1 示例
-
场景介绍 本手册基于华为云标签管理服务实践所编写,通过一个企业应用示例指导您在拥有大量云资源时,如何使用标签管理服务对云资源进行快速分类及查询。 某公司购买了一批华为云资源,包括弹性云服务器(E CS )、云硬盘(EVS)等,现有如下需求: 将所拥有的资源按业务部门及资源规格等类型进行划分。 需要可以快速定位到使用频率较高的华北-北京四区域、运维部下的规格类型为通用型的弹性云服务器。 有一批云服务器计划迁移至华为云,需要在迁移完成后快速准确地为其添加标签加以区分。 虽然各服务控制台支持标签功能,可以为各服务控制台下对应的资源添加标签,但需要切换区域切换服务控制台来进行操作,这样不仅效率低下,还不能完全满足以上需求。 标签管理服务提供跨服务跨区域的标签搜索功能,并支持可视化的标签编辑操作和标签批量管理,具有全局性、可组合搜索、高效管理的特点,解决了以上多资源面临的管理难问题。 父主题: 通过标签实现资源快速分类及查询
-
通过各服务控制台添加标签 以下步骤仅为示例,通过各服务控制台添加标签的具体操作请以各服务控制台实际显示为准。 登录管理控制台。 在服务列表中选择需要添加标签的云服务。 在资源展示列表中选中需要添加标签的云资源,进入资源详情页。 选择“标签”页签。 单击“添加标签”。 在标签输入框设置标签的“键”和“值”。 在标签输入框的下拉列表中可直接选择已创建的预定义标签,无需输入标签的“键”与“值”。 单击“确定”。
-
标签键设计示例 下表列举了常见业务维度的标签命名示例。涉及英文标签命名时,建议统一使用小写英文字母。 业务维度 标签键(key) 标签值(value) 组织架构 headquarters subcompany department team group 相关名称 业务架构 product module service microservice 相关名称 角色架构 role user 网络管理员 审计管理员 运维管理员 研发人员 测试人员 用途类标签 purpose 用途值 项目环境类标签 project task environment 项目相关值 成本分账 costcenter businessunit 部门相关值 订单 order 订单ID
-
标签设计的原则 企业上云后,云上创建的资源不断增加,有些大型企业资源数量达到十万、百万级别,一个账号内存在大量资源,企业需要进行分类管理。单纯通过人工进行资源的分类,效率低下,操作困难,此时需要借助云上的自动化平台化能力来解决。 华为云推荐您使用标签对资源进行标记,进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记,例如:按所属部门、地域或项目等。 命名标准化 命名标准化原则是指标签采用标准化命名原则,使后续基于标签的自动化能力,帮助平台能力高效的实施。 例如: 标签命名使用英文时,建议使用统一大小写的英文字母,避免大小写混杂。 标签命名使用中文时,建议尽量简洁,且键/值长度均不超过6个字符(中文字符在数据库中占位较长,避免超过上限)。 语义一致简洁 同一类资源的分类建议使用同一个标签来标识。例如:如已使用标签键purpose来标识资源的用途分类,则避免再使用use、用途等相同语义的标签。 标签键值含义明确清晰,避免使用一个标签键值代表两类含义。 事先制定标签规范 规划创建资源时,需要同步规划标签,并优先规划标签键。规划标签时,需先将对应的标签键/标签值预先定义完成。分类所有资源对象时都必须绑定已规划的标签键及其对应的标签值。 避免包含企业隐私信息 标签的键/值信息尽量不要使用涉及企业或个人的隐私信息,例如企业保密项目的名称、项目的收入数据、个人的电话号码和邮件地址等。
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
-
快速标识迁移资源 对于存在大量资源迁移需求的用户,可通过标签管理服务的预定义标签,以及标签的导入、导出功能,提高迁移的准确率和效率,降低了重复设置标签过程中的潜在风险。 创建预定义标签:用户可以在迁移资源之前在TMS中创建预定义标签,在资源迁入后直接进行关联。 导入、导出预定义标签:已有存量标签的用户可以将标签快速导入TMS预定义标签库,在资源迁入后进行关联,同时也可以导出预定义标签进行编辑操作。 图2 快速标识迁移资源
-
身份认证与访问控制 统一身份认证 (Identity and Access Management,简称 IAM )是华为云提供权限管理、访问控制和身份认证的基础服务,您可以使用IAM创建和管理用户、用户组,通过授权来允许或拒绝他们对云服务和资源的访问,通过设置安全策略提高账号和资源的安全性,同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,定义了允许和拒绝的访问操作,以此实现云资源权限的访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予所需的权限,用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。 父主题: 安全
-
TMS权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域,为全局级服务。授权时,在全局项目中设置策略,访问TMS时,不需要切换区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对TMS服务,管理员能够控制IAM用户仅能对TMS服务进行指定的操作,如仅给IAM用户授予查看预定义标签的细粒度授权项,那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。多数细粒度策略以API接口为粒度进行权限拆分,TMS支持的API授权项请参见策略及授权项说明。 如表1所示,包括了TMS的所有系统策略和系统角色。由于华为云各服务之间存在业务交互关系,标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时,需要同时授予依赖的权限,标签管理服务的权限才能生效。 表1 TMS系统权限 系统角色/策略名称 描述 类别 依赖关系 TMS FullAccess 标签管理服务所有权限。 系统策略 - TMS ReadOnlyAccess 标签管理服务只读权限。 系统策略 - TMS Administrator 标签管理服务管理员权限,拥有该服务下的所有权限,包括预定义标签的查询、创建、删除、导入和导出,以及资源标签的增删改查权限。 系统角色 依赖以下策略: Tenant Guest:全局级/项目级策略,全部云服务只读权限((除IAM权限))。 Server Administrator:项目级策略,在同项目中勾选。 Tenant Administrator:全局级/项目级策略,全部云服务管理员(除IAM管理权限)。 IMS Administrator:项目级服务,在同项目中勾选。 AutoScaling Administrator:项目级服务,在同项目中勾选。 VPC Administrator:项目级服务,在同项目中勾选。 VBS Administrator:项目级服务,在同项目中勾选。 表2列出了TMS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 TMS FullAccess TMS ReadOnlyAccess TMS Administrator 查询资源列表 √(依赖各云服务的查询资源权限) √(依赖各云服务的查询资源权限) √(依赖Tenant Guest) 创建标签键 √ x √(依赖Tenant Guest) 查看资源标签 √ √ √(依赖Tenant Guest) 创建资源标签 √(依赖各云服务的创建标签权限) x √(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) 修改资源标签 √(依赖各云服务的创建、删除、查看标签权限) x √(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) 删除资源标签 √(依赖各云服务的删除标签权限) x √(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) 查询预定义标签 √ √ √ 创建预定义标签 √ x √ 删除预定义标签 √ x √ 导出预定义标签 √ √ √ 导入预定义标签 √ x √ 在TMS控制台对云资源的标签进行操作时,您需要具有TMS查看、创建、删除资源标签等权限,以及资源所属服务的必要权限。由于修改资源标签是通过先删除旧标签再创建新标签(标签键相同,标签值不同)来实现功能,所以要修改云资源的标签需要具备TMS和相应云服务的创建和删除标签的权限。 以系统权限为例:例如您需要在TMS控制台对ECS资源进行增删标签操作,那么您除了需要具有“TMS FullAccess”系统权限外,还需要拥有“ECS FullAccess”系统权限。 以自定义策略为例:例如您需要在TMS控制台上查看ECS的资源和标签,那么您除了需要具有“tms:resourceTags:list”权限外,您还需要拥有ECS服务的“ecs:servers:getTags”和“ecs:servers:get”权限。 IAM支持服务的所有系统权限请参见系统权限。有关各服务细粒度授权项的更多信息,请参见每个服务的文档。
-
什么是标签管理服务 标签管理服务(Tag Management Service,简称TMS)是一种快速便捷将标签集中管理的可视化服务,提供跨区域、跨服务的集中标签管理和资源分类功能。 标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境等)对云资源进行分类。 图1 标签示例 图1说明了标签的工作方式。在此示例中,您为每个云资源分配了两个标签,每个标签都包含您定义的一个“键”和一个“值”,一个标签使用键为“所有者”,另一个使用键为“用途”,每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如,您可以为账号中的云资源定义一组标签,以跟踪每个云资源的所有者和用途,使资源管理变得更加轻松。 标签管理服务主要有以下功能: 资源标签管理:通过给账号下资源添加标签,可以对资源进行自定义标记,实现资源的分类。标签管理服务为用户提供可视化表格操作资源标签,并支持对标签进行批量编辑。 资源标签搜索:用户可以跨服务、跨区域对资源进行按标签搜索,还可以多标签组合搜索。 预定义标签管理:用户可以创建或导入/导出预定义标签。通过标签的预定义操作,用户可以从自身业务角度规划标签,实现标签的高效管理。 标签管理服务为免费服务。
-
约束与限制 以下是标签使用的基本限制: 表1 标签约束与限制 限制项 规格 每个资源最多支持的键-值对数 10个 资源绑定限制 对于每个资源,每个标签“键”都必须是唯一的,每个标签“键”只能有一个“值”。 每个账号中允许创建预定义标签的最大数量 500个 创建预定义标签的限制 创建的预定义标签如果与已有的预定义标签完全相同,则会覆盖已有的预定义标签;若只有“键”相同,“值”不同,则为新创建的预定义标签。 标签键限制 键的长度最大36字符,由英文字母、数字、下划线、中划线、中文字符组成。 标签值限制 值的长度最大43字符,由英文字母、数字、下划线、点、中划线、中文字符组成。 并非所有的资源类型都支持添加标签,当前标签支持的服务和资源类型请以控制台界面显示为准。
-
与其他服务的关系 支持标签集中管理的服务 标签管理服务规划对云资源中的所有标签进行统一集中管理,当前支持的服务如表1所示。 一个云服务可以包含多种资源类型,您可以在标签管理服务控制台根据需求选择对应的资源类型,对该类型资源的标签进行集中管理。 表1 标签管理当前支持的其他服务 服务 资源类型 终端节点服务 VPCEP Endpoint(终端节点) Endpoint service(终端节点服务) 数据复制服务 DRS Data Synchronization Task(实时同步任务) Data Subscription Task(数据订阅任务) Disaster Recovery Task(实时灾备任务) Backup Migration Task(备份迁移任务) Online Migration Task(实时迁移任务) 裸金属服务器 BMS BMS(裸金属服务器) 弹性云服务器 ECS ECS(弹性云服务器) 对象存储服务 OBS Bucket(桶) 虚拟私有云 VPC VPC(虚拟私有云) Subnet(子网) 弹性公网IP EIP EIP(弹性公网IP) 云硬盘 EVS Disk(磁盘) 云硬盘备份 VBS Backup(云硬盘备份) Backup policy(备份策略) 弹性伸缩 AS AS group(弹性伸缩组) 镜像服务 IMS Private image(私有镜像) 分布式缓存服务 DCS DCS(缓存实例) 云桌面 Workspace Desktop(桌面) 云解析服务 DNS Private zone(内网 域名 ) Public zone(公网域名) PTR record(反向解析记录) Private record set(内网解析记录集) Public record set(公网解析记录集) 虚拟专用网络 VPN VPN Connection(VPN连接) VPN Gateway(VPN网关) Customer Gateway(对端网关) 弹性文件服务 SFS SFS Turbo 弹性负载均衡 ELB Enhanced load balancer(弹性负载均衡器) Enhanced load balancer listener(监听器) 消息通知 服务 SMN Topic(主题) 分布式消息服务 DMS Kafka(Kafka实例) RabbitMQ(RabbitMQ实例) RocketMQ(RocketMQ实例) 数据湖探索 DLI Queue(队列) Package Resource(资源包) Flink Template(Flink模板) Flink Job(Flink作业) Basic Datasource(经典型跨源连接) Enhanced Datasource(增强型跨源连接) Database(数据库) Elastic Resource Pool(弹性资源池) 关系型数据库 RDS DB instance(数据库实例) MapReduce服务 MRS Cluster(集群) 数据仓库服务 DWS Cluster( 数据仓库 集群) 文档数据库服务 DDS DB instance(数据库实例) 数据接入服务 DIS Stream(通道) Web应用防火墙 WAF Domain(防护域名) Instance(实例) 云搜索服务 CSS Cluster(集群) NAT网关 NAT Gateway Public NAT Gateway(公网NAT网关) Private NAT Gateway( 私网NAT网关 ) Transit IP Address(中转IP) 云备份 CBR Vault(存储库) 数据加密 服务 DEW KMS Key(密钥) 云容器引擎 CCE Cluster(集群) Autopilot Cluster(Autopilot集群) 数据治理中心 DataArts Studio (原 智能数据湖 运营平台 DAYU) Workspace(工作空间) Instance(实例) 云数据库 GaussDB GaussDB Instance(GaussDB实例) 数据库安全服务 DBSS DBSS(实例) 内容分发网络 CDN CDN(域名) 云专线 DC Direct Connect(物理连接) GDGW(虚拟接口) 数据库和应用迁移 UGO Migrate(对象迁移) Evaluate(数据库评估) DDoS高防服务 AAD Instance(实例) 隐私保护通话 PrivateNumber Application(应用) 云连接 CC Cloud Connection(云连接) Bandwidth Package(带宽包) 云原生DDoS防护 CNAD Package(防护包) 图引擎服务 GES GES(GES集群) 容器镜像服务 SWR Instance(实例) 企业路由器 ER Instance(实例) 企业主机安全 HSS HSS(主机安全) 云日志 服务 LTS Log Stream(日志流) 云数据迁移 CDM Cluster(集群) 设备接入 IOTDA Instance(实例) 全球加速 GA Accelerators(加速器) Listeners(监听器) 微服务引擎 CSE CSE(微服务引擎) 应用管理与运维平台 ServiceStage Environment(ServiceStage环境) Application(ServiceStage应用) 性能测试 CodeArts PerfTest(原CPTS) CPTS-Project(PerfTest测试工程) Jmeter-Project(JMeter测试工程) 云手机服务器 CPH Server(云手机服务器) 开天集成工作台 MSSI Flow(流) 云审计服务 CTS Tracker(追踪器) 云堡垒机 CBH CBH( 堡垒机 ) 云防火墙 CFW CFW(云防火墙) 云监控服务 CES Alarm(告警规则) API网关 APIG APIG(专享版实例) 应用运维管理 AOM Alarm Rules(告警规则) 应用性能管理 APM APM 2-Business(APM2.0应用) 事件网格 EG Event Streaming(事件流) Subscription(事件订阅) Channel(事件通道) Event Sources(事件源) Connection(目标连接) Endpoint(访问端点) 函数工作流 FunctionGraph Functions(函数) 分布式数据库 中间件 DDM DDM(DDM实例) AI开发平台 ModelArts Training Job(训练作业) Resource Pool(资源池) Notebook(Notebook实例) Realtime Service(实时服务) 湖仓构建 LakeFormation Instance(实例) DDoS原生基础防护(Anti-DDoS流量清洗) Anti-DDoS(流量清洗) 区块链 服务 BCS Huawei Cloud Chain(华为云区块链引擎) 全域弹性公网IP GEIP GEIP(全域弹性公网IP) Internet Bandwidth(全域公网带宽) 资源访问管理 RAM Resource Shares(资源共享实例) 组织 Organizations Root(根) OUs(组织单元) Accounts(账号) Policies(策略) 工业数据管理及协同云服务 IPDCenter IPDC-envs(产品数字化协同服务) 工业数字模型驱动引擎 iDME iDME-linkx-f(数字主线引擎) iDME-mbm(数字化制造基础服务) iDME-runtime(基础版数据建模引擎节点) iDME-studio(iDMEStudio基础版) 凭据管理服务 C SMS Secret(凭据) 工业仿真工具链云服务 CraftArtsSIM CraftArtsSIM-SimSpace(工业仿真云平台) CraftArtsSIM-SimStudio(云原生仿真服务) CraftArtsSIM-CPUUnit(仿真求解计算) CraftArtsSIM-GUIUnit(仿真前后处理计算) IAM身份中心 Permission Set(权限集) 专属加密服务 DHSM HSM(加密机) 关联业务 表2 与其他服务之间关系 交互功能 相关服务 位置 通过CTS服务,您可以记录与标签管理服务相关的操作事件,便于日后的查询、审计和回溯。 云审计服务(Cloud Trace Service,CTS) 审计 需要IAM服务提供鉴权。 统一身份认证服务(Identity and Access Management,IAM) 用户权限
-
如何访问 公有云提供了Web化的服务管理平台,即管理控制台和基于HTTPS请求的API(Application Programming Interface)管理方式。 API方式 如果用户需要将公有云平台上的标签管理服务集成到第三方系统,用于二次开发,请使用API方式访问标签管理服务。具体操作请参见《标签管理服务API参考》。 管理控制台方式 管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,单击主页左上角的,选择“管理与监管”下的“标签管理服务”以打开本服务界面。
-
TMS自定义策略样例 示例1:授权用户查看预定义标签列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "tms:predefineTags:list" ] } ]} 示例2:拒绝用户删除预定义标签 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予TMS FullAccess的系统策略,但不希望用户拥有TMS FullAccess中定义的删除预定义标签权限,您可以创建一条拒绝删除预定义标签的自定义策略,然后同时将TMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对TMS执行除了删除预定义标签外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "tms:predefineTags:delete" ] } ]} 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "tms:predefineTags:create", "tms:predefineTags:delete" ] }, { "Effect": "Allow", "Action": [ "obs:bucket:ListAllMyBuckets", "obs:bucket:ListBucket" ] } ]}
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
