View a markdown version of this page

报告标签合规性 - Amazon Organizations
报告 “基本合规规则”报告 “必需的标签密钥”
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

报告标签合规性

标签策略为 “基本合规性规则” 和 “必需的标签密钥” 提供了报告模式。您可以使用此模式来评估组织中某个账户是否符合其有效标签策略。生成的报告仅包含生命周期中任何时候至少有一个用户定义标签的资源。

重要

未标记的资源不会在结果中显示为不合规。

要在您的账户中查找未标记的资源,请使用 Amazon 资源管理器并使用tag:none查询。有关更多信息,请参阅《资源管理器用户指南》中的搜索未标记的Amazon 资源

主题

报告 “基本合规规则”

通过报告基本合规性规则,您可以生成标签合规性报告,根据大小写和允许的标签值检查合规性。

要举报,

在可视化编辑器选项卡中,输入要报告合规性的标签密钥的值。下面的屏幕截图显示了 “CostCenter” 标签密钥的客户合规报告。在此示例中,如果标记的资源仅与 “” 标签键的小写值匹配,则该报告将突出显示该资源为合规,这意味着该字符串等于 “costcenterCostCenter”。

可视化编辑器选项卡,显示带有 Legal 和 HR 值的 CostCenter 标签的标签策略配置

下面的 JSON 会根据 “CostCenter” 标签键的小写值生成资源的合规性报告。

{
    "tags": {
        "CostCenter": {}
    }
}

要报告资本化情况,

在 “可视化编辑器” 选项卡中,输入要报告合规性的标签键的值,然后选择 “大写” 选项。下面的屏幕截图显示了带有大写字母的 “CostCenter” 标签密钥的客户合规报告。在此示例中,如果标记的资源与 “CostCenter” 标签键完全匹配的字符串,则该报告将突出显示该资源为合规。

可视化编辑器选项卡,显示大写 CostCenter 标签的标签策略配置

下面的 JSON 会针对带大写字母的 “CostCenter” 标签键生成资源的合规性报告。

{
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

要使用大写来报告允许的标签值,

在可视化编辑器选项卡中,输入要报告合规性的标签键的值,选择允许的值选项,然后输入允许的标签值的值。下面的屏幕截图显示了 “CostCenter” 标签键的客户合规报告,其中包含大写字母和允许的标签值。在此示例中,如果标记的资源与 “” 标签键完全匹配,并且标签值为 “HRCostCenter” 或 “Legal”,则该报告将突出显示该资源为合规。

可视化编辑器选项卡,显示带有大写字母和允许 CostCenter 标签值的标签策略配置 HR 和 Legal

下面的 JSON 会根据 “CostCenter” 标签键生成资源合规性报告,该报告包含大写字母和允许的标签值 “HR” 和 “Legal”。

{
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            },
            "tag_value": {
                "@@assign": [
                    "HR",
                    "Legal"
                ]
            }
        }
    }
}

报告 “必需的标签密钥”

警告

Res Amazon ource Groups 控制台目前不支持在评估账户合规性时报告所需的标签密钥。缺少所需标签密钥的不合规资源不会出现在带有不合规标签的资源部分,也不会将该账户标记为不合规。改用组织范围的合规性报告来查找缺少所需标签密钥的不合规资源。

通过报告所需的标签密钥,您可以评估您的资源创建操作是缺少必需的标签密钥还是必需的标签密钥。在 CLI 中运行以下命令,列出账户有效标签策略中定义的必需标签密钥。您可以使用此信息手动验证您创建的资源是否包含账户管理员定义的所有必需标签。

$ aws resourcegroupstaggingapi list-required-tags

要报告所需的标签密钥,

在 “可视化编辑器” 选项卡中,输入要报告合规性的标签键的值,然后选择 “将标记为报告所需的标记” 选项。下面的屏幕截图显示了 “CostCenter” 标签密钥的客户合规报告,其中包含所需标签密钥的大写和报告。在此示例中,如果标记的资源包含确切的字符串 “CostCenter” 作为标签键,则该报告将突出显示该资源为合规。

重要

您需要根据报告选项的要求同时选择 “大写” 和 “标记” 标签,以生成缺少精确所需标签的选定资源类型的报告。例如,当您尝试检查是否与 “CostCenter” 标签键完全匹配时,将同时使用这两个选项。

您只能选择 “将标签标记为报告所需的标记” 选项,以生成缺少所需标签的选定资源类型的报告。在这种情况下,如果资源有 “”、“CostCenter”、“Costcenter”、CostCenter “costcenter” 或任何类似的变体,则生成的报告将标记为合规。此功能允许您为选定的资源类型生成合规性报告,而不是为账户中的所有已标记资源生成合规性报告。

仅选择 “大写” 将生成所有已标记资源的报告,如果标签键的字符串不完全匹配,则将这些资源标记为不合规。

可视化编辑器选项卡,显示所需标签报告的标签策略配置

下面的 JSON 会根据 “CostCenter” 标签键为资源生成合规性报告,并使用大写字母和标记标签作为报告所必需的标记。

{
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            },
            "report_required_tag_for": {
                "@@assign": [
                    "ec2:ALL_SUPPORTED"
                ]
            }
        }
    }
}

为了强制执行,

您可以将报告与 IaC 工具(例如 Amazon CloudFormation Terraform 和 Pulumi)一起使用,以警告开发人员或阻止缺少所需标签的部署。现在,你可以使用一种有效的标签策略,该策略可以跨越 Amazon CloudFormation Terraform和Pulumi。有关更多详细信息,请参阅使用 IaC 强制执行 “必需的标签密钥”