使用标签策略的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用标签策略的最佳实践

Amazon为使用标签策略推荐以下最佳实践。

确立标签大小写策略

确定您希望如何设定标签的大小写并在所有资源类型中一致地实施该策略。例如,决定是使用 Costcentercostcenter 还是 CostCenter,以及是否对所有标签使用相同的约定。为了在合规性报告中获得一致的结果,请避免使用具有不一致大小写处理的类似标签。此策略将帮助您定义组织的标签策略。

使用推荐的工作流程

从小事开始做,创建一个简单的标签策略。然后将其附加到用于测试用途的会员账户。使用标签策略入门中描述的工作流。

确定标记规则

这将取决于您组织的需求。例如,建议您指定当 CostCenter 标签附加到 Amazon Secrets Manager 密钥时,它必须使用指定的大小写处理。创建定义合规标签的标签策略,并将其附加到希望这些标记规则生效的组织实体。

培训账户管理员

当您准备扩展标签策略的使用时,请按照以下方式对账户管理员进行培训:

  • 沟通您的标签策略。

  • 强调管理员需要对特定资源类型使用标签。

    这一点很重要,因为未标记的资源在合规性结果中不会显示为不合规。

  • 提供有关使用标签策略检查合规性的指导。指导管理员使用《Amazon Resource Groups 用户指南》评估账户的合规性内所述的过程寻找并纠正其账户内资源的不合规标签错误。告知他们您希望的合规性检查频率。

在强制执行合规性时要谨慎

强制执行合规性可能会阻止组织账户中的用户标记他们所需的资源。查看了解强制执行中的信息。另请参阅标签策略入门中描述的工作流。

考虑创建 SCP 以围绕资源创建请求设置防护机制

从未附加标签的资源在报告中不会显示为不合规。账户管理员仍然可以创建未标记的资源。在某些情况下,您可以使用服务控制策略 (SCP) 来设置有关资源创建请求的防护机制。有关 SCP 的示例,请参阅 需要在指定的已创建资源上使用标签。如需了解 Amazon 服务是否支持使用标签控制访问权限,请参阅《IAM 用户指南》中的使用 IAM 的 Amazon 服务。在基于标签的授权列中查找标为 Yes (是) 的服务。选择服务名称以查看该服务的授权和访问控制文档。