评估组织级的合规性 - 标记 Amazon 资源和标签编辑器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

评估组织级的合规性

您可以评估您的组织是否遵守资源的生效标签策略。您能够生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。

重要

未标记的资源不会在结果中显示为不合规。

要在您的账户中查找未标记的资源,请使用 Amazon 资源探索器 用一个使用的查询tag:none。有关更多信息,请参阅中搜索未标记的资源 Amazon 资源探索器 用户指南

您可以通过您所在组织的管理账户生成报告 us-east-1 Amazon Web Services 区域 只有。生成报告的账户必须能够访问美国东部(弗吉尼亚州北部)区域中的 Amazon S3 存储桶。存储桶必须具有附加的存储桶策略,如用于存储报告的 Amazon S3 存储桶策略中所示。

要生成组织级的合规性报告,您必须拥有以下权限:

  • organizations:DescribeEffectivePolicy

  • tag:GetComplianceSummary

  • tag:StartReportCreation

  • tag:DescribeReportCreation

  • s3:ListAllMyBuckets

  • s3:GetBucketAcl

  • s3:GetObject

  • s3:PutObject

有关显示这些权限的IAM策略示例,请查看用于评估组织范围合规性的权限

生成组织级的合规性报告(控制台)
  1. 打开标签策略控制台

  2. 选择此组织根标签,选择生成报告

  3. 生成报告屏幕上,指定报告的存储位置。

  4. 选择开始导出

报告完成后,您可以从组织根目录选项卡上的不合规报告部分下载报告。

注意

组织级的合规性每隔 48 小时评估一次。这将产生以下结果:

  • 对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织级的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。

  • 尽管您可以随时生成报告,但报告结果要等到下一次评估完成后才会更新。

  • NoncompliantKeys列列出了资源上不符合有效标签策略的标签密钥。

  • KeysWithNonCompliantValues列列出了资源上有效策略中定义的具有错误案例处理或不合规值的密钥。

  • 如果你关闭 Amazon Web Services 账户 那是该组织的成员,它可以在标签合规报告中持续显示长达 90 天。

要生成组织范围的合规报告 (Amazon CLI, Amazon API)

使用以下命令和操作生成组织级的合规性报告、检查其状态并查看报告: