了解强制执行 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解强制执行

标签策略可以指定在指定资源类型上强制执行 不合规的标记操作。换句话说,阻止在指定的资源类型上完成不合规的标记操作。

重要

强制执行不会对创建时不带标签的资源造成影响。

要强制遵守标签策略,请在创建标签策略时执行以下操作之一:

在对标签策略强制执行合规性时,请遵循以下最佳实践:

  • 请谨慎强制执行合规性 – 确保您了解使用标签策略的影响,并遵循标签策略入门中推荐的工作流。在将强制执行扩展到更多账户之前,在测试账户中测试强制执行的影响。否则,您可能会阻止组织账户中的用户标记他们所需的资源。

  • 了解可以对哪些资源类型强制执行 – 您只能对支持资源类型上的标签策略强制执行合规性。当您使用可视化编辑器构建标签策略时,将列出支持强制执行合规性的资源类型。

  • 了解与某些服务的交互 – 某些Amazon服务具有类似于容器的资源分组,可以自动为您创建资源,并且标签可以从一个服务中的资源传播到另一个服务。例如,Amazon EC2 Auto Scaling 组和 Amazon EMR 集群上的标签可以自动传播到其中包含的 Amazon EC2 实例。您的 Amazon EC2 标签策略可能会比 Auto Scaling 组或 EMR 集群更严格。如果您启用强制执行,则标签策略会阻止对标记资源,并可能会阻止动态扩展和预配置。

以下各部门介绍如何查找不符合要求的资源,以及如何将其更正为合规。

查找账户的不合规资源

对于每个账户,您可以获取有关不合规资源的信息。您应该从账户拥有资源的每个区域运行此命令。

要查找使用标签策略的账户的不合规资源,请在登录账户时运行以下命令,并将结果保存到文件中:

$ aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources > outputfile.txt

更正资源中的不合规标签

找到不符合标签后,请使用以下任意方法进行更正。您必须登录到具有不合规标签的资源的账户:

  • 使用创建不合规资源的Amazon服务的控制台或标记 API 操作。

  • 使用 Amazon Resource Groups TagResourcesUntagResources操作添加符合有效策略的标签或删除不合规标签。

查找和更正其他不合规问题

查找和更正合规性问题是一个迭代过程。重复前面两部分中的步骤,直到您关注的资源符合标签策略。

生成组织级的合规性报告

您可以随时生成列出组织的Amazon Web Services 账户中所有已标记资源的报告。报告显示每个资源是否符合有效标签策略。请注意,您对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织范围内的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。

您可以从 us-east-1 区域中的组织管理账户生成报告,前提是该账户具有对 Amazon S3 存储桶的访问权限。存储桶必须具有附加的存储桶策略,如用于存储报告的 Amazon S3 存储桶策略中所示。若要生成报告,请运行以下命令:

$ aws resourcegroupstaggingapi get-compliance-summary --region us-east-1 { "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ] }

您一次可以生成一个报告。

完成报告可能需要一些时间。您可以通过运行以下命令来检查状态:

$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1 { "Status": "SUCCEEDED" }

当上述命令返回 SUCCEEDED 时,您可以从 Amazon S3 存储桶打开报告。