亚马逊AWS官方博客

新增功能 – 使用标签策略跨多个 AWS 账户管理标签

我们推出 EC2 后不久,便有客户开始询问识别、划分或对实例进行分类的方法。我们早在 2010 年就推出了 EC2 实例和其他 EC2 资源的标记服务,而且多年以来还增加了对很多其他资源类型的支持。几年前,我们增加了创建时标记实例和 EBS 卷的功能,同时还推出了标记 API 功能和标签编辑器。今天,标签有很多重要用途。它们可用于确定资源的成本分配,控制对 AWS 资源的访问权(直接或通过 IAM 用户和角色上的标签)。除了这些工具之外,我们还为您提供了标签策略的全面建议,您可以将它们用作您为自己的组织设置的标记标准的基础。

善意背后
所有这些工具和建议奠定了坚实的基础,您开始使用标签可能只是因为最好的意图。然而,正如 Jeff Bezos 经常提醒我们的那样,“善意并不会起作用,但机制会。” 对名称、值、大小写和标点符号进行标准化是很好的想法,但将它付诸实践却很难。将标签用于控制对资源的访问权或分摊费用时,一些小错误可能会造成大问题!

今天,我们将向您提供一种机制,帮助您实施跨越一个 AWS 组织内多个 AWS 账户和组织单位 (OU) 的一致性高质量标记准则。现在,您可以创建并应用标签策略,并将它们应用于您组织内的任何所需的 AWS 账户或 OU,或应用于整个组织。每个级别的策略都会聚合到一个账户的有效策略中。

每个标签策略都包含一组标签规则。每个规则都会将一个标签键映射到该键的允许值。当您执行影响现有资源上的标签的操作时,检查标签策略。当您设置好自己的标签策略后,您可以轻松发现不合规的标记资源。

创建标签策略
标签策略易于使用。首先,登录代表我所在组织的 AWS 账户,并确保其“设置”中的标签策略已启用:

然后,点击策略标签策略,为我的组织创建一个标签策略:

我可以看到我的现有策略,然后点击创建策略来创建另一个策略:

我为策略输入名称和说明:

然后,指定标签键,说明大小写是否必须匹配,或者可以选择输入一组允许值:

此时,我有三个选项可选:

创建策略 – 创建一个策略,以告知我(通过报告)我指定的根、OU 和账户中的任何不合规的资源。

添加标签键 – 向策略添加另一个标签键。

防止不合规的操作 – 加强策略,以便能够通过阻止不合规的操作来强制标签的适当使用。要执行此操作,我还必须选择所需的资源类型:

然后,点击创建策略,准备好继续操作。选择我的策略,然后可以将该策略附加到根,或者任何所需 OU 或账户中:

检查策略的合规性
当我创建并附加策略后,我可以在“资源组”控制台中访问“标签策略”页面,以检查合规性:

我还可以下载合规报告(CSV 格式),或请求生成一个新报告:

注意事项
这里需要牢记几点:

策略继承 – 上面的示例使用内置继承系统:组织到 OU 再到账户。我还可以优化继承模型,以添加或删除可接受的标签值,或者限制子策略可以进行的更改。要了解更多信息,请阅读策略继承的工作原理

标签补救 – 作为账户管理员,我可以使用“资源组”控制台查看有关的标签策略(继承后),以便可以采取措施来修复任何不合规的标签。

新资源的标签 – 我可以使用组织级服务控制策略或 IAM 策略来阻止创建未按照组织内部标准标记的新资源(有关示例策略,请参阅在创建资源时要求指定标签)。

访问 – 这个新功能可通过 AWS 管理控制台AWS 命令行界面 (CLI)AWS 开发工具包使用。

现已推出
现在,您可以在所有的 AWS 商用区域使用标签策略,无需额外付费。

Jeff

本篇作者

Jeff Barr

AWS 首席布道师; 2004年开始发布博客,此后便笔耕不辍。