本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 评估组织级的合规性 您可以评估您的组织是否遵守资源的生效标签策略。您能够生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。 **重要** 未标记的资源不会在结果中显示为不合规。 要在您的账户中查找未标记的资源,请 Amazon 资源探索器 与使用的查询一起使用**tag:none**。有关更多信息,请参阅*《Amazon 资源探索器 用户指南》*中的[搜索未标记的资源](https://docs.amazonaws.cn/resource-explorer/latest/userguide/using-search-query-examples.html#example-1)。 您`us-east-1` Amazon Web Services 区域 只能通过组织的管理账户生成报告。生成报告的账户必须能够访问美国东部(弗吉尼亚州北部)区域中的 Amazon S3 存储桶。存储桶必须具有附加的存储桶策略,如[用于存储报告的 Amazon S3 存储桶策略](tag-policies-orgs.md#bucket-policy)中所示。 要生成组织级的合规性报告,您必须拥有以下权限: + `organizations:DescribeEffectivePolicy` + `tag:GetComplianceSummary` + `tag:StartReportCreation` + `tag:DescribeReportCreation` + `s3:ListAllMyBuckets` + `s3:GetBucketAcl` + `s3:GetObject` + `s3:PutObject` 有关显示这些权限的 IAM 策略示例,请查看[评估组织范围合规性的权限](https://docs.amazonaws.cn/tag-editor/latest/userguide/tag-policies-orgs.html#tag-policies-permissions-org)。 **生成组织级的合规性报告(控制台)** 1. 打开[标签策略控制台](https://console.amazonaws.cn/resource-groups/tag-policies/)。 1. 选择**此组织根**标签,选择**生成报告**。 1. 在**生成报告**屏幕上,指定报告的存储位置。 1. 选择**开始导出**。 报告完成后,您可以从**组织根目录**选项卡上的**不合规报告**部分下载报告。 **注意** 组织级的合规性每隔 48 小时评估一次。这将产生以下结果: 对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织级的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。 尽管您可以随时生成报告,但报告结果要等到下一次评估完成后才会更新。 该**NoncompliantKeys**列列出了资源上不符合有效标签策略的标签密钥。 该**KeysWithNonCompliantValues**列列出了资源上有效策略中定义的具有错误案例处理或不合规值的密钥。 如果您关闭了曾经是 Amazon Web Services 账户 该组织成员的,则它可以在标签合规性报告中持续显示长达 90 天。 **生成组织范围的合规报告 (Amazon CLI, Amazon API)** 使用以下命令和操作生成组织级的合规性报告、检查其状态并查看报告: + Amazon Command Line Interface Amazon CLI): + [https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/start-report-creation.html](https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/start-report-creation.html) + [https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/describe-report-creation.html](https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/describe-report-creation.html) + [https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/get-compliance-summary.html](https://docs.amazonaws.cn//cli/latest/reference/resourcegroupstaggingapi/get-compliance-summary.html) 有关使用标签策略的完整过程 Amazon CLI,请参阅《*Amazon Organizations 用户指南*[》 Amazon CLI中的使用标签策略](https://docs.amazonaws.cn//organizations/latest/userguide/tag-policy-cli.html)。 + Amazon API: + [https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_StartReportCreation.html](https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_StartReportCreation.html) + [https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html](https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html) + [https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html](https://docs.amazonaws.cn//resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html)