使用NACP的标签

    您可以将“标签”分配给独立于用户的设备，并将该标签用作访问控制策略的一部分来限制访问。给设备打上标签后，标签代替了用户标识，也就是说，此时设备在飞网中的身份，已经不属于某个特定用户，而是属于分配给它的这个标签。

1 定义标签

    在为设备分配标签之前，必须在飞网访问控制策略中创建标签，并定义那个用户可以使用该标签。

"tagOwners": {
  "tag:webserver": [
    "张三@teamname"
  ]
},

2 给设备编辑标签

2.1 在控制面板上编辑标签

    您需要是飞网的所有者、管理员或网络管理员，才能在控制面板上给设备编辑标签。

    在控制面板上打开“设备详情”页面，赵到需要编辑标签的设备，在该设备这一行的最右侧点击操作，选择“编辑标签”，弹出“编辑标签”对话框。添加相应的标签（可多选），最后点击保存。

2.2 通过命令行给设备打标签

    通过命令行只能将Linux、macOS 和 Windows 设备打上标签，对于Android设备，请在控制面板上给此类设备打标签。

通过命令行给设备打标签的详细操作可参考tag命令的使用。

3 在NACP上限制标签设备的访问

    下面是一个飞网访问控制策略示例，用于将所有标签为tag:webserver的设备可以互相通信。

{
"Acls": [
    {
      "Action": "accept",
      "Src": [
        "tag:webserver"
      ],
      "Dst": [
        "tag:webserver:*"
      ]
    }
  ]
}