与其他服务的关系 支持标签集中管理的服务 标签管理服务规划对云资源中的所有标签进行统一集中管理，当前支持的服务如表1所示。 一个云服务可以包含多种资源类型，您可以在标签管理服务控制台根据需求选择对应的资源类型，对该类型资源的标签进行集中管理。 表1 标签管理当前支持的其他服务 服务 资源类型 终端节点服务 VPCEP Endpoint（终端节点） Endpoint service（终端节点服务） 数据复制服务 DRS Data Synchronization Task（实时同步任务） Data Subscription Task（数据订阅任务） Disaster Recovery Task（实时灾备任务） Backup Migration Task（备份迁移任务） Online Migration Task（实时迁移任务） 裸金属服务器 BMS BMS（裸金属服务器） 弹性云服务器 ECS ECS（弹性云服务器） 对象存储服务 OBS Bucket（桶） 虚拟私有云 VPC VPC（虚拟私有云） Subnet（子网） 弹性公网IP EIP EIP（弹性公网IP） 云硬盘 EVS Disk（磁盘） 云硬盘备份 VBS Backup（云硬盘备份） Backup policy（备份策略） 弹性伸缩 AS AS group（弹性伸缩组） 镜像服务 IMS Private image（私有镜像） 分布式缓存服务 DCS DCS（缓存实例） 云桌面 Workspace Desktop（桌面） 云解析服务 DNS Private zone（内网域名） Public zone（公网域名） PTR record（反向解析记录） Private record set（内网解析记录集） Public record set（公网解析记录集） 虚拟专用网络 VPN VPN Connection（VPN连接） VPN Gateway（VPN网关） Customer Gateway（对端网关） 弹性文件服务 SFS SFS Turbo 弹性负载均衡 ELB Enhanced load balancer（弹性负载均衡器） Enhanced load balancer listener（监听器） 消息通知服务 SMN Topic（主题） 分布式消息服务 DMS Kafka（Kafka实例） RabbitMQ（RabbitMQ实例） RocketMQ（RocketMQ实例） 数据湖探索 DLI Queue（队列） Package Resource（资源包） Flink Template（Flink模板） Flink Job（Flink作业） Basic Datasource（经典型跨源连接） Enhanced Datasource（增强型跨源连接） Database（数据库） Elastic Resource Pool（弹性资源池） 关系型数据库 RDS DB instance（数据库实例） MapReduce服务 MRS Cluster（集群） 数据仓库服务 DWS Cluster（数据仓库集群） 文档数据库服务 DDS DB instance（数据库实例） 数据接入服务 DIS Stream（通道） Web应用防火墙 WAF Domain（防护域名） Instance（实例） 云搜索服务 CSS Cluster（集群） NAT网关 NAT Gateway Public NAT Gateway（公网NAT网关） Private NAT Gateway（私网NAT网关） Transit IP Address（中转IP） 云备份 CBR Vault（存储库） 数据加密服务 DEW KMS Key（密钥） 云容器引擎 CCE Cluster（集群） Autopilot Cluster（Autopilot集群） 数据治理中心 DataArts Studio（原 智能数据湖运营平台 DAYU） Workspace（工作空间） Instance（实例） 云数据库 GaussDB GaussDB Instance（GaussDB实例） 数据库安全服务 DBSS DBSS（实例） 内容分发网络 CDN CDN（域名） 云专线 DC Direct Connect（物理连接） GDGW（虚拟接口） 数据库和应用迁移 UGO Migrate（对象迁移） Evaluate（数据库评估） DDoS高防服务 AAD Instance（实例） 隐私保护通话 PrivateNumber Application（应用） 云连接 CC Cloud Connection（云连接） Bandwidth Package（带宽包） 云原生DDoS防护 CNAD Package（防护包） 图引擎服务 GES GES（GES集群） 容器镜像服务 SWR Instance（实例） 企业路由器 ER Instance（实例） 企业主机安全 HSS HSS（主机安全） 云日志服务 LTS Log Stream（日志流） 云数据迁移 CDM Cluster（集群） 设备接入 IOTDA Instance（实例） 全球加速 GA Accelerators（加速器） Listeners（监听器） 微服务引擎 CSE CSE（微服务引擎） 应用管理与运维平台 ServiceStage Environment（ServiceStage环境） Application（ServiceStage应用） 性能测试 CodeArts PerfTest（原CPTS） CPTS-Project（PerfTest测试工程） Jmeter-Project（JMeter测试工程） 云手机服务器 CPH Server（云手机服务器） 开天集成工作台 MSSI Flow（流） 云审计服务 CTS Tracker（追踪器） 云堡垒机 CBH CBH（堡垒机） 云防火墙 CFW CFW（云防火墙） 云监控服务 CES Alarm（告警规则） API网关 APIG APIG（专享版实例） 应用运维管理 AOM Alarm Rules（告警规则） 应用性能管理 APM APM2-Business（APM2.0应用） 事件网格 EG Event Streaming（事件流） Subscription（事件订阅） Channel（事件通道） Event Sources（事件源） Connection（目标连接） Endpoint（访问端点） 函数工作流 FunctionGraph Functions（函数） 分布式数据库中间件 DDM DDM（DDM实例） AI开发平台 ModelArts Training Job（训练作业） Resource Pool（资源池） Notebook（Notebook实例） Realtime Service（实时服务） 湖仓构建 LakeFormation Instance（实例） DDoS原生基础防护（Anti-DDoS流量清洗） Anti-DDoS（流量清洗） 区块链服务 BCS Huawei Cloud Chain（华为云区块链引擎） 全域弹性公网IP GEIP GEIP（全域弹性公网IP） Internet Bandwidth（全域公网带宽） 资源访问管理 RAM Resource Shares（资源共享实例） 组织 Organizations Root（根） OUs（组织单元） Accounts（账号） Policies（策略） 工业数据管理及协同云服务 IPDCenter IPDC-envs（产品数字化协同服务） 工业数字模型驱动引擎 iDME iDME-linkx-f（数字主线引擎） iDME-mbm（数字化制造基础服务） iDME-runtime（基础版数据建模引擎节点） iDME-studio（iDMEStudio基础版） 凭据管理服务 CSMS Secret（凭据） 工业仿真工具链云服务 CraftArtsSIM CraftArtsSIM-SimSpace（工业仿真云平台） CraftArtsSIM-SimStudio（云原生仿真服务） CraftArtsSIM-CPUUnit（仿真求解计算） CraftArtsSIM-GUIUnit（仿真前后处理计算） IAM身份中心 Permission Set（权限集） 专属加密服务 DHSM HSM（加密机） 关联业务 表2 与其他服务之间关系 交互功能 相关服务 位置 通过CTS服务，您可以记录与标签管理服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS） 审计 需要IAM服务提供鉴权。 统一身份认证服务（Identity and Access Management，IAM） 用户权限

约束与限制 以下是标签使用的基本限制： 表1 标签约束与限制 限制项 规格 每个资源最多支持的键-值对数 10个 资源绑定限制 对于每个资源，每个标签“键”都必须是唯一的，每个标签“键”只能有一个“值”。 每个账号中允许创建预定义标签的最大数量 500个 创建预定义标签的限制 创建的预定义标签如果与已有的预定义标签完全相同，则会覆盖已有的预定义标签；若只有“键”相同，“值”不同，则为新创建的预定义标签。 标签键限制 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符、“@”组成。 标签值限制 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符、“@”组成。 并非所有的资源类型都支持添加标签，当前标签支持的服务和资源类型请以控制台界面显示为准。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

标签设计的原则 企业上云后，云上创建的资源不断增加，有些大型企业资源数量达到十万、百万级别，一个账号内存在大量资源，企业需要进行分类管理。单纯通过人工进行资源的分类，效率低下，操作困难，此时需要借助云上的自动化平台化能力来解决。 华为云推荐您使用标签对资源进行标记，进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记，例如：按所属部门、地域或项目等。 命名标准化 命名标准化原则是指标签采用标准化命名原则，使后续基于标签的自动化能力，帮助平台能力高效的实施。 例如： 标签命名使用英文时，建议使用统一大小写的英文字母，避免大小写混杂。 标签命名使用中文时，建议尽量简洁，且键/值长度均不超过6个字符（中文字符在数据库中占位较长，避免超过上限）。 语义一致简洁 同一类资源的分类建议使用同一个标签来标识。例如：如已使用标签键purpose来标识资源的用途分类，则避免再使用use、用途等相同语义的标签。 标签键值含义明确清晰，避免使用一个标签键值代表两类含义。 事先制定标签规范 规划创建资源时，需要同步规划标签，并优先规划标签键。规划标签时，需先将对应的标签键/标签值预先定义完成。分类所有资源对象时都必须绑定已规划的标签键及其对应的标签值。 避免包含企业隐私信息 标签的键/值信息尽量不要使用涉及企业或个人的隐私信息，例如企业保密项目的名称、项目的收入数据、个人的电话号码和邮件地址等。

标签键设计示例 下表列举了常见业务维度的标签命名示例。涉及英文标签命名时，建议统一使用小写英文字母。 业务维度 标签键（key） 标签值（value） 组织架构 headquarters subcompany department team group 相关名称 业务架构 product module service microservice 相关名称 角色架构 role user 网络管理员 审计管理员 运维管理员 研发人员 测试人员 用途类标签 purpose 用途值 项目环境类标签 project task environment 项目相关值 成本分账 costcenter businessunit 部门相关值 订单 order 订单ID

场景介绍 本手册基于华为云标签管理服务实践所编写，通过一个企业应用示例指导您在拥有大量云资源时，如何使用标签管理服务对云资源进行快速分类及查询。 某公司购买了一批华为云资源，包括弹性云服务器（ECS）、云硬盘（EVS）等，现有如下需求： 将所拥有的资源按业务部门及资源规格等类型进行划分。 需要可以快速定位到使用频率较高的华北-北京四区域、运维部下的规格类型为通用型的弹性云服务器。 有一批云服务器计划迁移至华为云，需要在迁移完成后快速准确地为其添加标签加以区分。 虽然各服务控制台支持标签功能，可以为各服务控制台下对应的资源添加标签，但需要切换区域切换服务控制台来进行操作，这样不仅效率低下，还不能完全满足以上需求。 标签管理服务提供跨服务跨区域的标签搜索功能，并支持可视化的标签编辑操作和标签批量管理，具有全局性、可组合搜索、高效管理的特点，解决了以上多资源面临的管理难问题。 父主题： 通过标签实现资源快速分类及查询

支持审计的关键操作列表 云审计服务支持的标签管理服务操作列表如表1所示。 表1 云审计服务支持的TMS操作列表 操作名称 资源类型 事件名称 创建预定义标签 predefineTag addPredefineTag 删除预定义标签 predefineTag deletePredefineTag 修改预定义标签 predefineTag modifyPredefineTag 创建资源标签 application createResourceTag 删除资源标签 application deleteResourceTag 批量添加标签 resourceTag batchCreateResourceTags 批量移除标签 resourceTag batchDeleteResourceTags 父主题： 审计

约束与限制 预定义标签导入功能支持将第三方导出的“.csv”文件直接导入标签管理服务使用，且“.csv”文件的编码格式须为“UTF-8”。 IE9浏览器导出的标签文件或下载的模板文件，不支持在其他浏览器导入。反之，其他浏览器导出下载的文件，不支持在IE9导入。 若当前环境与导入文件存在重复内容时，将在执行导入操作后被覆盖。 当您对导入标签进行编辑操作时，需要关注以下标签约束与限制： 每个账号最多支持创建500个预定义标签。 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符组成。 待导入的“.csv”文件不支持Excel操作，否则将产生标签乱码致使导入失效。推荐使用记事本打开修改。

约束与限制 设置搜索指定标签时最多可同时查找10个标签。 如果需要设置搜索指定标签时，“键”为必填项，“值”为可选填写项。 每个资源最多支持10个键-值对。 对于每个资源，每个标签“键”都必须是唯一的，每个标签“键”只能有一个“值”。 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符组成。 每次最多支持为标签批量绑定500个云资源。

示例流程 图1 给用户授权TMS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予标签管理服务只读权限“TMS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证权限： 在“服务列表”中选择标签管理服务 TMS，进入标签管理服务界面，单击左侧的“预定义标签”，进入“预定义标签”页面，可以在预定义标签列表查看已存在的预定义标签，然后单击右上角的“创建标签”，尝试创建预定义标签，如果无法创建预定义标签（假设当前权限仅包含TMS ReadOnlyAccess），表示“TMS ReadOnlyAccess”已生效。 在“服务列表”中选择除标签管理服务外（假设当前权限仅包含TMS ReadOnlyAccess）的任一服务，若提示权限不足，表示“TMS ReadOnlyAccess”已生效。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

什么是标签管理服务 标签管理服务（Tag Management Service，简称TMS）是一种快速便捷将标签集中管理的可视化服务，提供跨区域、跨服务的集中标签管理和资源分类功能。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境等）对云资源进行分类。 图1 标签示例 图1说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为账号中的云资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签管理服务主要有以下功能： 资源标签管理：通过给账号下资源添加标签，可以对资源进行自定义标记，实现资源的分类。标签管理服务为用户提供可视化表格操作资源标签，并支持对标签进行批量编辑。 资源标签搜索：用户可以跨服务、跨区域对资源进行按标签搜索，还可以多标签组合搜索。 预定义标签管理：用户可以创建或导入/导出预定义标签。通过标签的预定义操作，用户可以从自身业务角度规划标签，实现标签的高效管理。 标签管理服务为免费服务。

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于Config定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于Config定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下TMS的相关操作。 表1 TMS支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 tms:predefineTags:list 授予权限以查询预定义标签列表。 list - - tms:predefineTags:create 授予权限以创建预定义标签。 write - - tms:predefineTags:update 授予权限以更新预定义标签。 write - - tms:predefineTags:delete 授予权限以删除预定义标签。 write - - tms:resourceTags:list 授予权限以查询资源标签列表。 list - - tms:resourceTags:create 授予权限以创建资源标签。 write - - tms:resourceTags:delete 授予权限以删除资源标签。 write - - tms:resources:list 授予权限以查询资源列表。 list - - tms:tagKeys:list 授予权限以查询标签key列表。 list - - tms:tagValues:list 授予权限以查询标签values列表。 list - -

如何访问 公有云提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application Programming Interface）管理方式。 API方式 如果用户需要将公有云平台上的标签管理服务集成到第三方系统，用于二次开发，请使用API方式访问标签管理服务。具体操作请参见《标签管理服务API参考》。 管理控制台方式 管理控制台是网页形式的，您可以使用直观的界面进行相应的操作。登录管理控制台，单击主页左上角的，选择“管理与监管”下的“标签管理服务”以打开本服务界面。

TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。多数细粒度策略以API接口为粒度进行权限拆分，TMS支持的API授权项请参见策略及授权项说明。 如表1所示，包括了TMS的所有系统策略和系统角色。由于华为云各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。 表1 TMS系统权限 系统角色/策略名称 描述 类别 依赖关系 TMS FullAccess 标签管理服务所有权限。 系统策略 - TMS ReadOnlyAccess 标签管理服务只读权限。 系统策略 - TMS Administrator 标签管理服务管理员权限，拥有该服务下的所有权限，包括预定义标签的查询、创建、删除、导入和导出，以及资源标签的增删改查权限。 系统角色 依赖以下策略： Tenant Guest：全局级/项目级策略，全部云服务只读权限（(除IAM权限)）。 Server Administrator：项目级策略，在同项目中勾选。 Tenant Administrator：全局级/项目级策略，全部云服务管理员（除IAM管理权限）。 IMS Administrator：项目级服务，在同项目中勾选。 AutoScaling Administrator：项目级服务，在同项目中勾选。 VPC Administrator：项目级服务，在同项目中勾选。 VBS Administrator：项目级服务，在同项目中勾选。 表2列出了TMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 TMS FullAccess TMS ReadOnlyAccess TMS Administrator 查询资源列表 √（依赖各云服务的查询资源权限） √（依赖各云服务的查询资源权限） √（依赖Tenant Guest） 创建标签键 √ x √（依赖Tenant Guest） 查看资源标签 √ √ √（依赖Tenant Guest） 创建资源标签 √（依赖各云服务的创建标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 修改资源标签 √（依赖各云服务的创建、删除、查看标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 删除资源标签 √（依赖各云服务的删除标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 查询预定义标签 √ √ √ 创建预定义标签 √ x √ 删除预定义标签 √ x √ 导出预定义标签 √ √ √ 导入预定义标签 √ x √ 在TMS控制台对云资源的标签进行操作时，您需要具有TMS查看、创建、删除资源标签等权限，以及资源所属服务的必要权限。由于修改资源标签是通过先删除旧标签再创建新标签（标签键相同，标签值不同）来实现功能，所以要修改云资源的标签需要具备TMS和相应云服务的创建和删除标签的权限。 以系统权限为例：例如您需要在TMS控制台对ECS资源进行增删标签操作，那么您除了需要具有“TMS FullAccess”系统权限外，还需要拥有“ECS FullAccess”系统权限。 以自定义策略为例：例如您需要在TMS控制台上查看ECS的资源和标签，那么您除了需要具有“tms:resourceTags:list”权限外，您还需要拥有ECS服务的“ecs:servers:getTags”和“ecs:servers:get”权限。 IAM支持服务的所有系统权限请参见系统权限。有关各服务细粒度授权项的更多信息，请参见每个服务的文档。