本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Organizations 标签政策
标签策略是您在中创建的一种策略 Amazon Organizations。 您可以使用标签策略来帮助实现组织账户中资源的标签标准化。要使用标签策略,我们建议您按照中标签策略入门中所述的工作流程进行操作 Amazon Organizations 用户指南。如该页面所述,建议的工作流程包括查找和更正不合规标签。要完成这些任务,您需要使用标签编辑器控制台。
先决条件和权限
在标签编辑器中评估标签策略的合规性之前,必须满足相应要求并设置必要的权限。
评估标签策略合规性的先决条件
评估标签策略合规性要求以下内容:
-
您必须先在中启用该功能 Amazon Organizations,以及创建和附加标签策略。有关更多信息,请参阅中的以下页面 Amazon Organizations 用户指南:
-
要查找账户资源上的不合规标签,您需要该账户的登录凭证以及 评估账户合规性的权限 中所列权限。
-
要评估组织范围的合规性,您需要组织管理账户的登录凭证以及 评估组织范围合规性的权限 中所列权限。您只能向以下机构索取合规报告 Amazon Web Services 区域 美国东部(弗吉尼亚北部)。
评估账户合规性的权限
在账户资源上查找不合规标签需要以下权限:
-
organizations:DescribeEffectivePolicy
– 获取账户的有效标签策略的内容。 -
tag:GetResources
– 获取不符合附加标签策略的资源列表。 -
tag:TagResources
– 添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在亚马逊弹性计算云 (AmazonEC2) 中为资源添加标签,您需要权限ec2:CreateTags
。 -
tag:UnTagResources
– 删除标签。您还需要特定于服务的权限才能移除标签。例如,要取消标记 Amazon 中的资源EC2,您需要权限。ec2:DeleteTags
以下示例 Amazon Identity and Access Management (IAM) 策略提供评估账户标签合规性的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
有关IAM策略和权限的更多信息,请参阅《IAM用户指南》。
评估组织范围合规性的权限
评估组织范围的标签策略合规性需要以下权限:
-
organizations:DescribeEffectivePolicy
– 获取附加到组织、组织单位 (OU) 或账户的标签策略内容。 -
tag:GetComplianceSummary
– 获取组织中所有账户中不合规资源的摘要。 -
tag:StartReportCreation
– 将最近的合规性评估结果导出到文件中。组织级的合规性每隔 48 小时评估一次。 -
tag:DescribeReportCreation
– 检查报告创建的状态。 -
s3:ListAllMyBuckets
— 协助访问组织范围的合规报告。 -
s3:GetBucketAcl
— 检查接收合规报告的 Amazon S3 存储桶的访问控制列表 (ACL)。 -
s3:GetObject
— 从服务拥有的 Amazon S3 存储桶中检索合规报告。 -
s3:PutObject
— 将合规报告放在指定的 Amazon S3 存储桶中。
以下示例IAM策略提供了评估组织范围合规性的权限。替换每个 placeholder
用你自己的信息:
-
— 您的亚马逊 S3 存储桶名称bucket_name
-
— 您的组织的 IDorganization_id
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:StartReportCreation", "tag:DescribeReportCreation", "tag:GetComplianceSummary", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GetBucketAclForReportDelivery", "Effect": "Allow", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
bucket_name
", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "GetObjectForReportDelivery", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "PutObjectForReportDelivery", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name
/AwsTagPolicies/organization_id
/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" }, "StringLike": { "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*" } } } ] }
有关IAM策略和权限的更多信息,请参阅《IAM用户指南》。
使用 Amazon S3 存储桶策略以存储报告
要创建组织范围的合规报告,您用来调用的身份StartReportCreation
API必须能够访问美国东部(弗吉尼亚北部)地区的亚马逊简单存储服务 (Amazon S3) Service 存储桶来存储报告。标签策略使用调用身份的凭证将合规性报告传送到指定的存储桶。
如果用于调用的存储桶和身份StartReportCreation
API属于同一个账户,则此用例不需要其他 Amazon S3 存储桶策略。
如果与用于调用的身份关联的账户与拥有 Amazon S3 存储桶的账户不同,则必须将以下存储桶策略附加到该存储桶。StartReportCreation
API替换每个 placeholder
用你自己的信息:
-
— 您的亚马逊 S3 存储桶名称bucket_name
-
— 您的组织的 IDorganization_id
-
— 用来称呼ARN的IAM身份的身份_ ARN
StartReportCreation
API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTagPolicyACL", "Effect": "Allow", "Principal": { "AWS": "
identity_ARN
" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name
" }, { "Sid": "CrossAccountTagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN
" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name
/AwsTagPolicies/organization_id
/*" } ] }