先决条件和权限 - Amazon Resource Groups和标签
评估标签策略合规性的先决条件评估账户合规性的权限评估组织级的合规性的权限 用于存储报告的 Amazon S3 存储桶策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件和权限

在评估标签策略合规性之前,请参阅Amazon Resource Groups,您需要满足要求并设置必要的权限。

评估标签策略合规性的先决条件

要评估标签策略的合规性需要以下条件:

评估账户合规性的权限

在账户资源上查找不合规的标签需要以下权限:

  • organizations:DescribeEffectivePolicy— 获取该账户的有效标签策略的内容。

  • tag:GetResources— 获取不符合附加标签策略的资源列表。

  • tag:TagResources添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在 Amazon EC2 中标记资源,您需要ec2:CreateTags.

  • tag:UnTagResources— 删除标签。您还需要特定于服务的权限才能删除标签。例如,要取消对 Amazon EC2 中的资源的标签,您需要以下权限:ec2:DeleteTags.

以下 IAM 策略示例提供了用于评估账户标签合规性的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

评估组织级的合规性的权限

评估组织范围内对标签策略的合规性需要以下权限:

  • organizations:DescribeEffectivePolicy— 获取附加到组织、OU 或帐户的标签策略的内容。

  • tag:GetComplianceSummary— 获取组织中所有账户中不合规资源的摘要。

  • tag:StartReportCreation— 将最近的合规性评估结果导出到文件中。每 48 小时对组织范围的合规性进行一次评估。

  • tag:DescribeReportCreation— 检查报告创建状态。

以下 IAM 策略示例提供了用于评估组织级的合规性的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateOrgCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetComplianceSummary",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation"
            ],
            "Resource": "*"
        }
    ]
}

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

用于存储报告的 Amazon S3 存储桶策略

要创建组织级的合规性报告,您必须向美国东部(弗吉尼亚北部)区域中 Amazon S3 存储桶授予标签策略服务委托人的访问权限以进行报告存储。将以下存储桶策略附加到存储桶,将占位符替换为您的实际 S3 存储桶名称和应用策略的组织的 ID 号。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TagPolicyACL",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "tagpolicies.tag.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-bucket-name"
        },
        {
            "Sid": "TagPolicyBucketDelivery",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "tagpolicies.tag.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::your-bucket-name/AwsTagPolicies/your-org-id/*"
        }
    ]
}