你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用标记对 Azure 资源和管理层次结构进行组织
标记是应用于 Azure 资源的元数据元素。 它们是键值对,可帮助你根据与组织相关的设置来识别资源。 如果要跟踪资源的部署环境,请添加一个名为 Environment
的键。 要识别部署到生产环境的资源,请给它们一个 Production
值。 完整的键值对是 Environment = Production
。
本文介绍使用标记的条件和限制。 有关如何使用标记的步骤,请参阅:
标记用法和建议
可以将标记应用于 Azure 资源、资源组和订阅,但不能应用于管理组。
有关如何实现标记策略的建议,请参阅资源命名和标记决策指南。
资源标记支持所有成本累积服务。 若要确保已为成本累积服务预配标记,请使用其中一个标记策略。
警告
标记以纯文本形式存储。 切勿向标记中添加敏感值。 可以通过许多方法(包括成本报告、返回现有标记定义的命令、部署历史记录、导出的模板和监视日志)公开敏感值。
警告
在标记中使用非英语语言时请小心。 从 IMDS(实例元数据服务)加载 VM 的元数据时,它可能会导致解码进度失败。
重要
标记名称对于操作不区分大小写。 系统会更新或检索具有标记名称的标记,而不考虑大小写。 但是,资源提供程序可能会保留为标记名称提供的大小写。 你将在成本报表中看到该大小写。
标记值区分大小写。
注意
本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
所需访问权限
可以通过两种方式获取对标记资源的所需访问权限。
你可以拥有对
Microsoft.Resources/tags
资源类型的写入权限。 此权限允许你标记任何资源,即使你无权访问资源本身。 标记参与者角色授予此访问权限。 例如,标记参与者角色无法通过门户将标记应用到资源或资源组。 但是,该角色可以通过门户将标记应用到订阅。 它支持通过 Azure PowerShell 和 REST API 执行所有标记操作。你可以拥有对资源本身的写入权限。 参与者角色授予对任何实体应用标记所需的访问权限。 要将标记仅应用于一种资源类型,请使用该资源的参与者角色。 例如,要将标记应用到虚拟机,请使用虚拟机参与者。
继承标记
资源不会继承应用于资源组或订阅的标记。 要将订阅或资源组中的标记应用于资源,请参阅 Azure 策略 - 标记。
可以使用 cm-resource-parent 标记对 Azure 资源的成本进行分组。 使用此标记,可以在 Microsoft 成本管理中查看标记的成本,而无需使用筛选器。 此标记的键是 cm-resource-parent,其值为要按其对成本分组的 Azure 资源的资源 ID。 例如,要按 Azure 虚拟桌面主机池对成本进行分组,请提供主机池的资源 ID。 有关详细信息,请参阅在成本分析中对相关资源进行分组。
标记和计费
可使用标记对计费数据进行分组。 例如,如果针对不同组织运行多个 VM,可以使用标记根据成本中心对使用情况进行分组。 还可使用标记根据运行时环境对成本进行分类;例如,在生产环境中运行的虚拟机的计费使用情况。
可以通过从 Azure 门户下载可用的使用情况文件来检索有关标记的信息。 有关详细信息,请参阅下载或查看 Azure 计费发票和每日使用数据。 对于支持为账单提供标记的服务,标记会显示在“标记”列中。
有关 REST API 操作,请参阅 Azure 计费 REST API 参考。
唯一标记分页
调用唯一标记 API 时,对返回的每个 API 响应页的大小有限制。 具有大量唯一值的标记将需要 API 获取下一个页面来检索剩余的值集。 发生这种情况时,将再次显示标记键,以指示值仍在此键下。
这可能会导致某些工具(例如 Azure 门户)将标记键显示两次。
限制
以下限制适用于标记:
并非所有资源类型都支持标记。 要确定是否可以将标记应用于某个资源类型,请参阅 Azure 资源的标记支持。
每个资源、资源组和订阅最多可以有 50 个标记名称/值对。 如果需要应用的标记超过最大允许数量,请使用 JSON 字符串作为标记值。 JSON 字符串可以包含多个应用于单个标记名称的值。 一个资源组或订阅可以包含多个资源,这些资源每个都有 50 个标记名称/值对。
标记名称限制为 512 个字符,标记值限制为 256 个字符。 对于存储帐户,标记名称限制为 128 个字符,标记值限制为 256 个字符。
云服务等经典资源不支持标记。
Azure IP 组和 Azure 防火墙策略不支持 PATCH 操作。 因此,PATCH API 方法操作无法通过门户更新标记。 可以对这些资源使用更新命令。 例如,可使用 az network ip-group update 命令更新 IP 组的标记。
标记名称不能包含以下字符:
<
、>
、%
、&
、\
、?
、/
注意
Azure 域名系统 (DNS) 区域不支持在该标记或以数字开头的标记中使用空格或括号。 Azure DNS 标记名称不支持特殊字符和 unicode 字符。 该值可以包含所有字符。
流量管理器不支持在标记名称中使用空格、
#
或:
。 标记名称不能以数字开头。Azure Front Door 不支持在标记名称中使用
#
或:
。以下 Azure 资源仅支持 15 个标记:
- Azure 自动化
- Azure 内容分发网络 (CDN)
- Azure DNS(区域和记录)
- Azure Log Analytics 保存的搜索
后续步骤
并非所有资源类型都支持标记。 若要确定是否可以将标记应用到资源类型,请参阅 Azure 资源的标记支持。
有关如何实现标记策略的建议,请参阅资源命名和标记决策指南。
有关如何使用标记的步骤,请参阅: