本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估组织级的合规性
您可以生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。
未标记的资源不会在结果中显示为不合规。
您可以从组织的管理帐户生成报告,在us-east-1仅限区域,它必须拥有美国东部(弗吉尼亚北部)区域中的 Amazon S3 存储桶的访问权限。存储桶必须具有附加的存储桶策略,如中所示用于存储报告的 Amazon S3 存储桶策略.
要生成组织范围内的合规性报告,您必须拥有以下权限:
-
organizations:DescribeEffectivePolicy -
tag:StartReportCreation -
tag:DescribeReportCreation -
tag:GetComplianceSummary
生成组织级的合规性报告(控制台)
-
在Amazon Resource Groups控制台
导航窗格中,选择标签策略. 直接链接:标签策略控制台
-
从中的标签策略窗格中,选择此组织根目录选项卡。
-
在页面底部附近,选择页面底部的生成报告.
-
在存储库的生成报告窗口中,指定存储报告的位置。
-
选择开始导出.
完成报告后,您可以从不合规性报告部分中的组织根选项卡。
下面显示了一个示例报告摘录:
每 48 小时评估一次组织范围内的合规性。这将产生以下结果:
-
标签策略或资源的更改,最多可能需要 48 小时才能反映在组织范围内的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。
-
尽管您可以随时生成报告,但在下一次评估完成之前,报告结果不会更新。
-
这些区域有:不合规密钥列列出资源中不符合生效标签策略的标签键。
-
这些区域有:具有不合规值的键列列出了在有效策略中定义的键,这些键在资源上具有不正确的案例处理或不符合的值。
生成组织级的合规性报告 (Amazon CLI、AmazonAPI)
使用以下命令和操作生成组织范围内的合规性报告、检查其状态并查看报告:
-
Amazon CLI:
有关在中使用标签策略的完整过程,请参阅Amazon CLI,请参阅在 中使用标签策略Amazon CLI中的Amazon Organizations用户指南.
-
Amazon API: