使用标记对 Azure 资源和管理层次结构进行组织
标记是应用于 Azure 资源的元数据元素。 它们是键值对,可帮助你根据与组织相关的设置来识别资源。 如果要跟踪资源的部署环境,请添加一个名为 Environment
的键。 要识别部署到生产环境的资源,请给它们一个 Production
值。 完整格式的键值对为 Environment = Production
。
本文介绍使用标记的条件和限制。 有关如何使用标记的步骤,请参阅:
标记用法和建议
可以将标记应用于 Azure 资源、资源组和订阅。
资源标记支持所有成本累积服务。 若要确保已为成本累积服务预配标记,请使用其中一个标记策略。
警告
标记以纯文本形式存储。 切勿向标记中添加敏感值。 可以通过许多方法(包括成本报告、返回现有标记定义的命令、部署历史记录、导出的模板和监视日志)公开敏感值。
警告
在标记中使用非英语语言时请小心。 从 IMDS(实例元数据服务)加载 VM 的元数据时,它可能会导致解码进度失败。
重要
标记名称对于操作不区分大小写。 系统会更新或检索具有标记名称的标记,而不考虑大小写。 但是,资源提供程序可能会保留为标记名称提供的大小写。 你将在成本报表中看到该大小写。
标记值区分大小写。
注意
本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
所需访问权限
可以通过两种方式获取对标记资源的所需访问权限。
你可以拥有对
Microsoft.Resources/tags
资源类型的写入权限。 此权限允许你标记任何资源,即使你无权访问资源本身。 标记参与者角色授予此访问权限。 例如,标记参与者角色无法通过门户将标记应用到资源或资源组。 但是,该角色可以通过门户将标记应用到订阅。 它支持通过 Azure PowerShell 和 REST API 执行所有标记操作。你可以拥有对资源本身的写入权限。 参与者角色授予对任何实体应用标记所需的访问权限。 要将标记仅应用于一种资源类型,请使用该资源的参与者角色。 例如,要将标记应用到虚拟机,请使用虚拟机参与者。
继承标记
资源不会继承应用于资源组或订阅的标记。 要将订阅或资源组中的标记应用于资源,请参阅 Azure 策略 - 标记。
标记和计费
可使用标记对计费数据进行分组。 例如,如果针对不同组织运行多个 VM,可以使用标记根据成本中心对使用情况进行分组。 还可使用标记根据运行时环境对成本进行分类;例如,在生产环境中运行的虚拟机的计费使用情况。
可以通过从 Azure 门户下载可用的使用情况文件来检索有关标记的信息。
有关 REST API 操作,请参阅 Azure 计费 REST API 参考。
限制
以下限制适用于标记:
并非所有资源类型都支持标记。 要确定是否可以将标记应用于某个资源类型,请参阅 Azure 资源的标记支持。
每个资源、资源组和订阅最多可以有 50 个标记名称/值对。 如果需要应用的标记超过最大允许数量,请使用 JSON 字符串作为标记值。 JSON 字符串可以包含多个应用于单个标记名称的值。 一个资源组或订阅可以包含多个资源,这些资源每个都有 50 个标记名称/值对。
标记名称限制为 512 个字符,标记值限制为 256 个字符。 对于存储帐户,标记名称限制为 128 个字符,标记值限制为 256 个字符。
云服务等经典资源不支持标记。
Azure IP 组和 Azure 防火墙策略不支持 PATCH 操作。 因此,PATCH API 方法操作无法通过门户更新标记。 可以对这些资源使用更新命令。 例如,可使用 az network ip-group update 命令更新 IP 组的标记。
标记名称不能包含以下字符:
<
、>
、%
、&
、\
、?
、/
注意
Azure 域名系统 (DNS) 区域不支持在标记中使用空格,也不支持以数字开头的标记。 Azure DNS 标记名称不支持特殊字符和 unicode 字符。 该值可以包含所有字符。
流量管理器不支持在标记名称中使用空格、
#
或:
。 标记名称不能以数字开头。Azure Front Door 不支持在标记名称中使用
#
或:
。以下 Azure 资源仅支持 15 个标记:
- Azure 自动化
- Azure 内容分发网络 (CDN)
- Azure DNS(区域和记录)
- Azure Log Analytics 保存的搜索
后续步骤
- 并非所有资源类型都支持标记。 若要确定是否可以将标记应用到资源类型,请参阅 Azure 资源的标记支持。