本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和权限
在评估标签策略合规性之前,请参阅Amazon Resource Groups,您需要满足要求并设置必要的权限。
评估标签策略合规性的先决条件
要评估标签策略的合规性需要以下条件:
-
您必须首先启用该功能Amazon Organizations然后创建并附加标签策略。有关更多信息,请参阅中的以下页面Amazon Organizations用户指南:
-
目的在账户资源上查找不合规的标签,您需要该帐户的登录凭据以及中列出的权限评估账户合规性的权限.
-
目的评估组织级的合规性,您需要组织管理帐户的登录凭据以及中列出的权限评估组织级的合规性的权限 .
评估账户合规性的权限
在账户资源上查找不合规的标签需要以下权限:
-
organizations:DescribeEffectivePolicy
— 获取该账户的有效标签策略的内容。 -
tag:GetResources
— 获取不符合附加标签策略的资源列表。 -
tag:TagResources
添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在 Amazon EC2 中标记资源,您需要ec2:CreateTags
. -
tag:UnTagResources
— 删除标签。您还需要特定于服务的权限才能删除标签。例如,要取消对 Amazon EC2 中的资源的标签,您需要以下权限:ec2:DeleteTags
.
以下 IAM 策略示例提供了用于评估账户标签合规性的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南。
评估组织级的合规性的权限
评估组织范围内对标签策略的合规性需要以下权限:
-
organizations:DescribeEffectivePolicy
— 获取附加到组织、OU 或帐户的标签策略的内容。 -
tag:GetComplianceSummary
— 获取组织中所有账户中不合规资源的摘要。 -
tag:StartReportCreation
— 将最近的合规性评估结果导出到文件中。每 48 小时对组织范围的合规性进行一次评估。 -
tag:DescribeReportCreation
— 检查报告创建状态。
以下 IAM 策略示例提供了用于评估组织级的合规性的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }
有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南。
用于存储报告的 Amazon S3 存储桶策略
要创建组织级的合规性报告,您必须向美国东部(弗吉尼亚北部)区域中 Amazon S3 存储桶授予标签策略服务委托人的访问权限以进行报告存储。将以下存储桶策略附加到存储桶,将占位符替换为您的实际 S3 存储桶名称和应用策略的组织的 ID 号。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
your-bucket-name
" }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::your-bucket-name
/AwsTagPolicies/your-org-id
/*" } ] }