标签策略入门 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

标签策略入门

使用标签策略涉及使用多个Amazon服务。要开始使用,请查看以下页面。然后按照此页面上的工作流来熟悉标签策略及其效果。

首次使用标签策略

首次使用标签策略时,请按照以下步骤开始。

任务 要登录的账户 要使用的 Amazon 服务控制台

步骤 1:为您的组织启用标签策略。

组织的管理账户。¹

Amazon Organizations

步骤 2:创建标签策略

保持第一个标签策略简单。输入您要使用的一个大小写处理标签键,并将所有其他选项保留为默认值。

组织的管理账户。¹

Amazon Organizations

步骤 3:将标签策略附加到可用于测试的单个成员账户。

在下一步中您需要登录此账户。

组织的管理账户。¹

Amazon Organizations

步骤 4:创建一些具有合规标签的资源,以及一些具有不合规标签的资源。

您用于测试目的的成员账户。

您想使用的任何 Amazon 服务。例如,您可以使用 Amazon Secrets Manager 并按照创建基本密钥中的过程创建具有合规和不合规密钥的密钥。

步骤 5:查看有效标签策略并评估账户的合规性状态。

您用于测试目的的成员账户。

创建了资源的 Resource Groups 和Amazon服务。

如果您创建了具有合规和不合规标签的资源,则应在结果中看到不合规标签。

步骤 6:重复查找和纠正合规性问题的过程,直到测试账户中的资源均符合标签策略。

您用于测试目的的成员账户。

创建了资源的 Resource Groups 和Amazon服务。

您可以随时评估组织级的合规性

组织的管理账户。¹

资源组

¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

扩大标签策略的使用

您可以按任意顺序执行以下任务以扩展标签策略的使用范围。

高级任务 要登录的账户 要使用的 Amazon 服务控制台

创建更多高级标签策略

遵循与初次用户相同的流程,但尝试其他任务。例如,定义其他键或值,或为标签键指定不同的大小写处理。

您可以使用了解管理策略继承标签策略语法中的信息创建更详细的标签策略。

组织的管理账户。¹

Amazon Organizations

将标签策略附加到其他账户或 OU。

在将更多策略附加到账户或账户是其成员的任何 OU 之后,检查账户的有效标签策略

组织的管理账户。¹

Amazon Organizations

创建 SCP,以便在任何人创建新资源时要求标签。有关示例,请参阅 需要在指定的已创建资源上使用标签

组织的管理账户。¹

Amazon Organizations

当账户更改时,继续根据有效标签策略评估账户的合规性状态。更正不合规标签。

具有有效标签策略的成员账户。

创建了资源的 Resource Groups 和Amazon服务。

评估组织级的合规性

组织的管理账户。¹

资源组

¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

首次强制执行标签策略

要首次强制执行标签策略,请遵循类似于首次使用标签策略使用测试账户的工作流。

警告

在强制执行合规性时要谨慎。请确保您了解使用标签策略的效果并遵循推荐的工作流。在将强制执行扩展到更多账户之前,在测试账户中测试强制执行的影响。否则,您可能会阻止组织账户中的用户标记他们所需的资源。有关更多信息,请参阅了解强制执行

强制执行任务 要登录的账户 要使用的 Amazon 服务控制台

步骤 1:创建标签策略

保持第一个强制执行的标签策略简单。输入您要使用的一个大小写处理标签键,然后选择 Prevent noncompliant operations for this tag (防止此标签的不合规操作) 选项。然后指定要在其上强制执行的资源类型。继续我们之前的例子,您可以选择在 Secrets Manager 密钥上强制执行它。

组织的管理账户。¹

Amazon Organizations

步骤 2:将标签策略附加到单个测试账户。

组织的管理账户。¹

Amazon Organizations

步骤 3:尝试创建一些具有合规标签的资源,一些具有不合规标签的资源。不允许在标签策略中指定的带有不兼容标签类型的资源上创建标签。

您用于测试目的的成员账户。

您想使用的任何 Amazon 服务。例如,您可以使用 Amazon Secrets Manager 并按照创建基本密钥中的过程创建具有合规和不合规密钥的密钥。

步骤 4:根据有效标签策略评估账户的合规性状态,并更正不合规的标签。

您用于测试目的的成员账户。

创建了资源的 Resource Groups 和Amazon服务。

步骤 5:重复查找和纠正合规性问题的过程,直到测试账户中的资源均符合标签策略。

您用于测试目的的成员账户。

创建了资源的 Resource Groups 和Amazon服务。

您可以随时评估组织级的合规性

组织的管理账户。¹

资源组

¹ 您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。