本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
标签策略入门
使用标签策略涉及使用多个 Amazon Web Services 服务。要开始使用,请查看以下页面。然后按照此页面上的工作流来熟悉标签策略及其效果。
首次使用标签策略
首次使用标签策略时,请按照以下步骤开始。
任务 | 要登录的账户 | 要使用的 Amazon 服务控制台 |
---|---|---|
步骤 1:为您的组织启用标签策略。 |
组织的管理账户。¹ |
|
步骤 2:创建标签策略。 保持第一个标签策略简单。输入您要使用的一个大小写处理标签键,并将所有其他选项保留为默认值。 |
组织的管理账户。¹ |
|
在下一步中您需要登录此账户。 |
组织的管理账户。¹ |
|
步骤 4:创建一些具有合规标签的资源,以及一些具有不合规标签的资源。 |
您用于测试目的的成员账户。 |
您想使用的任何 Amazon 服务。例如,您可以使用 Amazon Secrets Manager |
步骤 5:查看有效标签策略并评估账户的合规性状态。 |
您用于测试目的的成员账户。 |
创建了资源的 Resource Groups 如果您创建了具有合规和不合规标签的资源,则应在结果中看到不合规标签。 |
步骤 6:重复查找和纠正合规性问题的过程,直到测试账户中的资源均符合标签策略。 |
您用于测试目的的成员账户。 |
创建了资源的 Resource Groups |
您可以随时评估组织级的合规性。 |
组织的管理账户。¹ |
¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
扩大标签策略的使用
您可以按任意顺序执行以下任务以扩展标签策略的使用范围。
高级任务 | 要登录的账户 | 要使用的 Amazon 服务控制台 |
---|---|---|
遵循与初次用户相同的流程,但尝试其他任务。例如,定义其他键或值,或为标签键指定不同的大小写处理。 |
组织的管理账户。¹ |
|
在将更多策略附加到账户或账户是其成员的任何 OU 之后,检查账户的有效标签策略。 |
组织的管理账户。¹ |
|
创建 SCP,以便在任何人创建新资源时要求标签。有关示例,请参阅 需要在指定的已创建资源上使用标签。 |
组织的管理账户。¹ |
|
具有有效标签策略的成员账户。 |
创建了资源的 Resource Groups |
|
组织的管理账户。¹ |
¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
首次强制执行标签策略
要首次强制执行标签策略,请遵循类似于首次使用标签策略使用测试账户的工作流。
警告
在强制执行合规性时要谨慎。请确保您了解使用标签策略的效果并遵循推荐的工作流。在将强制执行扩展到更多账户之前,在测试账户中测试强制执行的影响。否则,您可能会阻止组织账户中的用户标记他们所需的资源。有关更多信息,请参阅 了解强制执行。
强制执行任务 | 要登录的账户 | 要使用的 Amazon 服务控制台 |
---|---|---|
步骤 1:创建标签策略。 保持第一个强制执行的标签策略简单。输入您要使用的一个大小写处理标签键,然后选择 Prevent noncompliant operations for this tag (防止此标签的不合规操作) 选项。然后指定要在其上强制执行的资源类型。继续我们之前的例子,您可以选择在 Secrets Manager 密钥上强制执行它。 |
组织的管理账户。¹ |
|
步骤 2:将标签策略附加到单个测试账户。 |
组织的管理账户。¹ |
|
步骤 3:尝试创建一些具有合规标签的资源,一些具有不合规标签的资源。不允许在标签策略中指定的带有不兼容标签类型的资源上创建标签。 |
您用于测试目的的成员账户。 |
您想使用的任何 Amazon 服务。例如,您可以使用 Amazon Secrets Manager |
您用于测试目的的成员账户。 |
创建了资源的 Resource Groups |
|
步骤 5:重复查找和纠正合规性问题的过程,直到测试账户中的资源均符合标签策略。 |
您用于测试目的的成员账户。 |
创建了资源的 Resource Groups |
您可以随时评估组织级的合规性。 |
组织的管理账户。¹ |
¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。