本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估账户的合规性
您可以评估组织中的某个账户是否符合其生效标签策略。
重要
未标记的资源不会在结果中显示为不合规。
要在您的账户中查找未标记的资源,请 Amazon 资源探索器 与使用的查询一起使用tag:none
。有关更多信息,请参阅《Amazon 资源探索器
用户指南》中的搜索未标记的资源。
生效标签策略指定应用到账户的标记规则。账户继承的任何标签策略以及直接附加到账户的任何标签策略的聚合称为生效标签策略。将标签策略附加到组织根时,它应用到组织中的所有账户。当您将标签策略附加到组织单位 (OU) 时,它适用于属于OUs该组织单位的所有账户。
注意
如果您尚未创建标签策略,请参阅 Amazon Organizations 《用户指南》中的标签策略入门。
要查找不合规标签,您必须拥有以下权限:
-
organizations:DescribeEffectivePolicy
-
tag:GetResources
-
tag:TagResources
-
tag:UntagResources
评估账户是否符合其生效标签策略(控制台)
-
登录要检查合规性的账户后,打开标签策略控制台
。 -
生效标签策略部分显示上次策略更新的时间和定义的标签密钥。您可以展开标签密钥,查看有关标签密钥值、案例处理以及是否针对特定资源类型强制使用这些值的信息。
注意
如果您已登录管理账户,则需要选择一个账户才能查看其生效策略和合规信息。
-
在带有不合规标签的资源部分中,指定 Amazon Web Services 区域 要搜索哪些不合规标签。您还可以按资源类型进行搜索。然后选择搜索资源。
实时结果显示于搜索结果部分。要更改每页返回的结果数或要显示的列,请选择设置图标。
-
在搜索结果中,选择标签不合规的资源。
-
在列出资源标签的对话框中,选择超链接以打开已创建资源的 Amazon Web Services 服务 。在该控制台上,更正不合规标签。
提示
如果您不确定哪些标签不合规,请前往标签策略控制台中该账户的生效标签策略部分。您可以展开标签密钥以查看其标记规则。
-
重复查找和更正标签的过程,直至您所关注的账户资源在每个区域都合规。
要查找不合规的标签 (Amazon CLI, Amazon API)
使用以下命令和操作查找不合规标签:
-
Amazon Command Line Interface (Amazon CLI):
有关使用标签策略的完整过程 Amazon CLI,请参阅《Amazon Organizations 用户指南》 Amazon CLI中的使用标签策略。
-
Amazon Resource Groups Tagging API:
后续步骤
我们建议您重复查找和纠正合规性问题。持续操作,直至您所关注的账户资源符合每个区域的生效标签策略。
查找和更正不合规标签是一个迭代过程,原因众多,其中包括:
-
您的组织对标签策略的使用可能会随着时间推移而发生变化。
-
创建资源时,在组织中进行变更需要时间。
-
每当创建新资源或为资源分配新标签时,合规性就会发生变化。
-
每当账户的标签策略被附加或分离时,该账户的生效标签策略就会更新。每当账户继承的标记策略发生变化时,生效标记策略也会更新。
如果您以组织管理账户的身份登录,还可以生成报告。此报告显示组织账户中所有已标记资源的信息。有关更多信息,请参阅 评估组织级的合规性。