先决条件和权限 - Amazon Resource Groups和标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件和权限

在评估标签策略合规性之前,请参阅Amazon Resource Groups,您需要满足要求并设置必要的权限。

评估标签策略合规性的先决条件

要评估标签策略的合规性需要以下条件:

评估账户合规性的权限

在账户资源上查找不合规的标签需要以下权限:

  • organizations:DescribeEffectivePolicy— 获取该账户的有效标签策略的内容。

  • tag:GetResources— 获取不符合附加标签策略的资源列表。

  • tag:TagResources添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在 Amazon EC2 中标记资源,您需要ec2:CreateTags.

  • tag:UnTagResources— 删除标签。您还需要特定于服务的权限才能删除标签。例如,要取消对 Amazon EC2 中的资源的标签,您需要以下权限:ec2:DeleteTags.

以下 IAM 策略示例提供了用于评估账户标签合规性的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

评估组织级的合规性的权限

评估组织范围内对标签策略的合规性需要以下权限:

  • organizations:DescribeEffectivePolicy— 获取附加到组织、OU 或帐户的标签策略的内容。

  • tag:GetComplianceSummary— 获取组织中所有账户中不合规资源的摘要。

  • tag:StartReportCreation— 将最近的合规性评估结果导出到文件中。每 48 小时对组织范围的合规性进行一次评估。

  • tag:DescribeReportCreation— 检查报告创建状态。

以下 IAM 策略示例提供了用于评估组织级的合规性的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

用于存储报告的 Amazon S3 存储桶策略

要创建组织级的合规性报告,您必须向美国东部(弗吉尼亚北部)区域中 Amazon S3 存储桶授予标签策略服务委托人的访问权限以进行报告存储。将以下存储桶策略附加到存储桶,将占位符替换为您的实际 S3 存储桶名称和应用策略的组织的 ID 号。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-bucket-name" }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::your-bucket-name/AwsTagPolicies/your-org-id/*" } ] }