使用NACP的标签
您可以将“标签”分配给独立于用户的设备,并将该标签用作访问控制策略的一部分来限制访问。给设备打上标签后,标签代替了用户标识,也就是说,此时设备在飞网中的身份,已经不属于某个特定用户,而是属于分配给它的这个标签。
1 定义标签
在为设备分配标签之前,必须在飞网访问控制策略中创建标签,并定义那个用户可以使用该标签。
"tagOwners": {
"tag:webserver": [
"张三@teamname"
]
},
2 给设备编辑标签
2.1 在控制面板上编辑标签
您需要是飞网的所有者、管理员或网络管理员,才能在控制面板上给设备编辑标签。
在控制面板上打开“设备详情”页面,赵到需要编辑标签的设备,在该设备这一行的最右侧点击操作,选择“编辑标签”,弹出“编辑标签”对话框。添加相应的标签(可多选),最后点击保存。
2.2 通过命令行给设备打标签
通过命令行只能将Linux、macOS 和 Windows 设备打上标签,对于Android设备,请在控制面板上给此类设备打标签。
通过命令行给设备打标签的详细操作可参考tag命令的使用。
3 在NACP上限制标签设备的访问
下面是一个飞网访问控制策略示例,用于将所有标签为tag:webserver
的设备可以互相通信。
{
"Acls": [
{
"Action": "accept",
"Src": [
"tag:webserver"
],
"Dst": [
"tag:webserver:*"
]
}
]
}