Amazon Organizations 标签政策 - 标记 Amazon 资源和标签编辑器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Organizations 标签政策

标签策略是您在中创建的一种策略 Amazon Organizations。 您可以使用标签策略来帮助实现组织账户中资源的标签标准化。要使用标签策略,我们建议您按照中标签策略入门中所述的工作流程进行操作 Amazon Organizations 用户指南。如该页面所述,建议的工作流程包括查找和更正不合规标签。要完成这些任务,您需要使用标签编辑器控制台。

先决条件和权限

在标签编辑器中评估标签策略的合规性之前,必须满足相应要求并设置必要的权限。

评估标签策略合规性的先决条件

评估标签策略合规性要求以下内容:

评估账户合规性的权限

在账户资源上查找不合规标签需要以下权限:

  • organizations:DescribeEffectivePolicy – 获取账户的有效标签策略的内容。

  • tag:GetResources – 获取不符合附加标签策略的资源列表。

  • tag:TagResources – 添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在亚马逊弹性计算云 (AmazonEC2) 中为资源添加标签,您需要权限ec2:CreateTags

  • tag:UnTagResources – 删除标签。您还需要特定于服务的权限才能移除标签。例如,要取消标记 Amazon 中的资源EC2,您需要权限。ec2:DeleteTags

以下示例 Amazon Identity and Access Management (IAM) 策略提供评估账户标签合规性的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

有关IAM策略和权限的更多信息,请参阅《IAM用户指南》

评估组织范围合规性的权限

评估组织范围的标签策略合规性需要以下权限:

  • organizations:DescribeEffectivePolicy – 获取附加到组织、组织单位 (OU) 或账户的标签策略内容。

  • tag:GetComplianceSummary – 获取组织中所有账户中不合规资源的摘要。

  • tag:StartReportCreation – 将最近的合规性评估结果导出到文件中。组织级的合规性每隔 48 小时评估一次。

  • tag:DescribeReportCreation – 检查报告创建的状态。

  • s3:ListAllMyBuckets— 协助访问组织范围的合规报告。

  • s3:GetBucketAcl— 检查接收合规报告的 Amazon S3 存储桶的访问控制列表 (ACL)。

  • s3:GetObject— 从服务拥有的 Amazon S3 存储桶中检索合规报告。

  • s3:PutObject— 将合规报告放在指定的 Amazon S3 存储桶中。

以下示例IAM策略提供了评估组织范围合规性的权限。替换每个 placeholder 用你自己的信息:

  • bucket_name — 您的亚马逊 S3 存储桶名称

  • organization_id — 您的组织的 ID

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:StartReportCreation", "tag:DescribeReportCreation", "tag:GetComplianceSummary", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GetBucketAclForReportDelivery", "Effect": "Allow", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "GetObjectForReportDelivery", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "PutObjectForReportDelivery", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" }, "StringLike": { "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*" } } } ] }

有关IAM策略和权限的更多信息,请参阅《IAM用户指南》

使用 Amazon S3 存储桶策略以存储报告

要创建组织范围的合规报告,您用来调用的身份StartReportCreationAPI必须能够访问美国东部(弗吉尼亚北部)地区的亚马逊简单存储服务 (Amazon S3) Service 存储桶来存储报告。标签策略使用调用身份的凭证将合规性报告传送到指定的存储桶。

如果用于调用的存储桶和身份StartReportCreationAPI属于同一个账户,则此用例不需要其他 Amazon S3 存储桶策略。

如果与用于调用的身份关联的账户与拥有 Amazon S3 存储桶的账户不同,则必须将以下存储桶策略附加到该存储桶。StartReportCreation API替换每个 placeholder 用你自己的信息:

  • bucket_name — 您的亚马逊 S3 存储桶名称

  • organization_id — 您的组织的 ID

  • 身份_ ARN — 用来称呼ARN的IAM身份的 StartReportCreation API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTagPolicyACL", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" }, { "Sid": "CrossAccountTagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*" } ] }