本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解强制执行
标签策略可以指定在指定资源类型上强制执行 不合规的标记操作。换句话说,阻止在指定的资源类型上完成不合规的标记操作。
重要
强制执行不会对创建时不带标签的资源造成影响。
要强制遵守标签策略,请在创建标签策略时执行以下操作之一:
-
从 Visual editor (可视化编辑器) 选项卡中,选择 Prevent noncompliant operations for this tag (防止此标签的不合规操作)。
-
在 JSON 选项卡中,使用
enforced_for字段。有关标签策略语法的信息,请参阅标签策略语法和示例。
在对标签策略强制执行合规性时,请遵循以下最佳实践:
-
请谨慎强制执行合规性 – 确保您了解使用标签策略的影响,并遵循标签策略入门中推荐的工作流。在将强制执行扩展到更多账户之前,在测试账户中测试强制执行的影响。否则,您可能会阻止组织账户中的用户标记他们所需的资源。
-
了解可以对哪些资源类型强制执行 – 您只能对支持资源类型上的标签策略强制执行合规性。当您使用可视化编辑器构建标签策略时,将列出支持强制执行合规性的资源类型。
-
了解与某些服务的交互 — 有些 Amazon 服务具有类似容器的资源分组,可以自动为您创建资源,标签可以从一项服务中的资源传播到另一项服务。例如,Amazon EC2 Auto Scaling 组和 Amazon EMR 集群上的标签可以自动传播到其中包含的 Amazon EC2 实例。您的 Amazon EC2 标签策略可能会比 Auto Scaling 组或 EMR 集群更严格。如果您启用强制执行,则标签策略会阻止对标记资源,并可能会阻止动态扩展和预配置。
以下各部门介绍如何查找不符合要求的资源,以及如何将其更正为合规。
查找账户的不合规资源
对于每个账户,您可以获取有关不合规资源的信息。您应该从账户拥有资源的每个区域运行此命令。
要查找具有标签策略的账户的不合规资源,请运行以下命令将结果保存到文件中:
$aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources >outputfile.txt
更正资源中的不合规标签
找到不符合标签后,请使用以下任意方法进行更正。您必须登录到具有不合规标签的资源的账户:
-
使用创建不合规资源的 Amazon 服务的控制台或标记 API 操作。
-
使用 Amazon Resource Groups TagResources和UntagResources操作添加符合有效策略的标签或删除不合规的标签。
查找和更正其他不合规问题
查找和更正合规性问题是一个迭代过程。重复前面两部分中的步骤,直到您关注的资源符合标签策略。
生成组织级的合规性报告
您可以随时生成一份报告,列出 Amazon Web Services 账户 整个组织中所有已标记的资源。报告显示每个资源是否符合有效标签策略。请注意,您对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织范围内的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。
您可以从 us-east-1 区域中的组织管理账户生成报告,前提是该账户具有对 Amazon S3 存储桶的访问权限。存储桶必须具有附加的存储桶策略,如用于存储报告的 Amazon S3 存储桶策略中所示。若要生成报告,请运行以下命令:
$aws resourcegroupstaggingapi get-compliance-summary --region us-east-1{ "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ] }
您一次可以生成一个报告。
完成报告可能需要一些时间。您可以通过运行以下命令来检查状态:
$aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED" }
当上述命令返回 SUCCEEDED 时,您可以从 Amazon S3 存储桶打开报告。