本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估组织级的合规性
您可以生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。
未标记的资源不会在结果中显示为不合规。
您可以从组织的管理账户生成报告,请参阅us-east-1仅限区域,且必须能够访问美国东部(弗吉尼亚北部)区域中的 Amazon S3 存储桶。存储桶必须具有附加的存储桶策略,如用于存储报告的 Amazon S3 存储桶策略中所示。
要生成组织级的合规性报告,您必须具有以下权限:
-
organizations:DescribeEffectivePolicy -
tag:StartReportCreation -
tag:DescribeReportCreation -
tag:GetComplianceSummary
生成组织级的合规性报告(控制台)
-
在Amazon Resource Groups控制台
选择导航窗格,选择标签策略. 直接链接:标签策略控制台
-
从标签策略窗格中,选择这个组织根选项卡。
-
在页面底部附近,选择生成报告.
-
在存储库的生成报告屏幕中,指定存储报告的位置。
-
选择开始导出.
完成报告后,可从不合规报告部分中的组织根选项卡。
下面是一个示例报告摘录:
每 48 小时对组织范围的合规性进行一次评估。这将产生以下结果:
-
标签策略或资源的更改,最多可能需要 48 小时才能反映在组织范围内的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。
-
尽管您可以随时生成报告,但在下次评估完成之前,报告结果才会更新。
-
这些区域有:不合规 KEYS列列出了资源上不符合有效标签策略的标签键。
-
这些区域有:具有不合规值的键列列出了有效策略中定义的资源上具有不正确的案例处理或不合规值的键。
-
如果你关闭Amazon Web Services 账户那是该组织的成员,它可以继续在标签合规性报告中显示长达 90 天。
生成组织级的合规性报告(Amazon CLI、AmazonAPI)
使用以下命令和操作生成组织范围的合规性报告、检查其状态并查看报告:
-
Amazon CLI:
有关在中使用标签策略的完整过程,请参阅Amazon CLI,请参阅在 中使用标签策略Amazon CLI中的Amazon Organizations用户指南.
-
Amazon API: