通过

使用标记对 Azure 资源和管理层次结构进行组织

  • 项目

标记是应用于 Azure 资源的元数据元素。 它们是键值对,可帮助你根据与组织相关的设置来识别资源。 如果要跟踪资源的部署环境,请添加一个名为 Environment 的键。 要识别部署到生产环境的资源,请给它们一个 Production 值。 完整的键值对是 Environment = Production

本文介绍使用标记的条件和限制。 有关如何使用标记的步骤,请参阅:

标记用法和建议

可以将标记应用于 Azure 资源、资源组和订阅,但不能应用于管理组。

资源标记支持所有成本累积服务。 若要确保已为成本累积服务预配标记,请使用其中一个标记策略

警告

标记以纯文本形式存储。 切勿向标记中添加敏感值。 可以通过许多方法(包括成本报告、返回现有标记定义的命令、部署历史记录、导出的模板和监视日志)公开敏感值。

警告

在标记中使用非英语语言时请小心。 从 IMDS(实例元数据服务)加载 VM 的元数据时,它可能会导致解码进度失败。

重要

标记名称对于操作不区分大小写。 系统会更新或检索具有标记名称的标记,而不考虑大小写。 但是,资源提供程序可能会保留为标记名称提供的大小写。 你将在成本报表中看到该大小写。

标记值区分大小写。

注意

本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

所需访问权限

可以通过两种方式获取对标记资源的所需访问权限。

  • 你可以拥有对 Microsoft.Resources/tags 资源类型的写入权限。 此权限允许你标记任何资源,即使你无权访问资源本身。 标记参与者角色授予此访问权限。 例如,标记参与者角色无法通过门户将标记应用到资源或资源组。 但是,该角色可以通过门户将标记应用到订阅。 它支持通过 Azure PowerShell 和 REST API 执行所有标记操作。

  • 你可以拥有对资源本身的写入权限。 参与者角色授予对任何实体应用标记所需的访问权限。 要将标记仅应用于一种资源类型,请使用该资源的参与者角色。 例如,要将标记应用到虚拟机,请使用虚拟机参与者

继承标记

资源不会继承应用于资源组或订阅的标记。 要将订阅或资源组中的标记应用于资源,请参阅 Azure 策略 - 标记

可以使用 cm-resource-parent 标记对 Azure 资源的成本进行分组。 使用此标记,可以在 Microsoft 成本管理中查看标记的成本,而无需使用筛选器。 此标记的键是 cm-resource-parent,其值为要按其对成本分组的 Azure 资源的资源 ID。 例如,要按 Azure 虚拟桌面主机池对成本进行分组,请提供主机池的资源 ID。 有关详细信息,请参阅在成本分析中对相关资源进行分组

标记和计费

可使用标记对计费数据进行分组。 例如,如果针对不同组织运行多个 VM,可以使用标记根据成本中心对使用情况进行分组。 还可使用标记根据运行时环境对成本进行分类;例如,在生产环境中运行的虚拟机的计费使用情况。

可以通过从 Azure 门户下载可用的使用情况文件来检索有关标记的信息。

有关 REST API 操作,请参阅 Azure 计费 REST API 参考

唯一标记分页

调用唯一标记 API 时,对返回的每个 API 响应页的大小有限制。 具有大量唯一值的标记将需要 API 获取下一个页面来检索剩余的值集。 发生这种情况时,将再次显示标记键,以指示值仍在此键下。

这可能会导致某些工具(例如 Azure 门户)将标记键显示两次。

限制

以下限制适用于标记:

  • 并非所有资源类型都支持标记。 要确定是否可以将标记应用于某个资源类型,请参阅 Azure 资源的标记支持

  • 使用标记时,每个资源类型可能具有特定的要求。 例如,仅当虚拟机 (VM) 正在运行时才能更新虚拟机扩展上的标记。 如果在尝试更新标记时收到错误消息,请按照消息中的说明操作。

  • 每个资源、资源组和订阅最多可以有 50 个标记名称/值对。 如果需要应用的标记超过最大允许数量,请使用 JSON 字符串作为标记值。 JSON 字符串可以包含多个应用于单个标记名称的值。 一个资源组或订阅可以包含多个资源,这些资源每个都有 50 个标记名称/值对。

  • 标记名称限制为 512 个字符,标记值限制为 256 个字符。 对于存储帐户,标记名称限制为 128 个字符,标记值限制为 256 个字符。

  • 云服务等经典资源不支持标记。

  • Azure IP 组和 Azure 防火墙策略不支持 PATCH 操作。 因此,PATCH API 方法操作无法通过门户更新标记。 可以对这些资源使用更新命令。 例如,可使用 az network ip-group update 命令更新 IP 组的标记。

  • 标记名称不能包含以下字符:<>%&\?/

    注意

    • Azure 域名系统 (DNS) 区域不支持在该标记或以数字开头的标记中使用空格或括号。 Azure DNS 标记名称不支持特殊字符和 unicode 字符。 该值可以包含所有字符。

    • 流量管理器不支持在标记名称中使用空格、#:。 标记名称不能以数字开头。

    • Azure Front Door 不支持在标记名称中使用 #:

    • 以下 Azure 资源仅支持 15 个标记:

      • Azure 自动化
      • Azure 内容分发网络 (CDN)
      • Azure DNS(区域和记录)
      • Azure Log Analytics 保存的搜索

后续步骤

  • 并非所有资源类型都支持标记。 若要确定是否可以将标记应用到资源类型,请参阅 Azure 资源的标记支持