使用标签策略的最佳实践
Amazon为使用标签策略推荐以下最佳实践。
确立标签大小写策略
确定您希望如何设定标签的大小写并在所有资源类型中一致地实施该策略。例如,决定是使用 Costcenter
、costcenter
还是 CostCenter
,以及是否对所有标签使用相同的约定。为了在合规性报告中获得一致的结果,请避免使用具有不一致大小写处理的类似标签。此策略将帮助您定义组织的标签策略。
使用推荐的工作流程
从小事开始做,创建一个简单的标签策略。然后将其附加到用于测试用途的会员账户。使用标签策略入门中描述的工作流。
确定标记规则
这将取决于您组织的需求。例如,建议您指定当 CostCenter
标签附加到 Amazon Secrets Manager 密钥时,它必须使用指定的大小写处理。创建定义合规标签的标签策略,并将其附加到希望这些标记规则生效的组织实体。
培训账户管理员
当您准备扩展标签策略的使用时,请按照以下方式对账户管理员进行培训:
-
沟通您的标签策略。
-
强调管理员需要对特定资源类型使用标签。
这一点很重要,因为未标记的资源在合规性结果中不会显示为不合规。
-
提供有关使用标签策略检查合规性的指导。指导管理员使用《标记 Amazon 资源用户指南》中评估账户的合规性部分所述的过程,查找并纠正其账户内资源的不合规标签错误。告知他们您希望的合规性检查频率。
在强制执行合规性时要谨慎
强制执行合规性可能会阻止组织账户中的用户标记他们所需的资源。查看了解强制执行中的信息。另请参阅标签策略入门中描述的工作流。
考虑创建 SCP 以围绕资源创建请求设置防护机制
从未附加标签的资源在报告中不会显示为不合规。账户管理员仍然可以创建未标记的资源。在某些情况下,您可以使用服务控制策略 (SCP) 来设置有关资源创建请求的防护机制。有关 SCP 的示例,请参阅 需要在指定的已创建资源上使用标签。如需了解 Amazon 服务是否支持使用标签控制访问权限,请参阅《IAM 用户指南》中的可与 IAM 结合使用的 Amazon Web Services 服务。在基于标签的授权列中查找标为 Yes (是) 的服务。选择服务名称以查看该服务的授权和访问控制文档。