本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Organizations 标签政策
[https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) 是您在 Amazon Organizations中创建的一种策略。您可以使用标签策略帮助在组织账户中跨资源标准化标签。要使用标签策略,我们建议您按照*Amazon Organizations 用户指南*中的[标签策略入门](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)所述的工作流程来进行操作。如该页面所述,建议的工作流程包括查找和更正不合规标签。要完成这些任务,您需要使用标签编辑器控制台。
## 先决条件和权限
在标签编辑器中评估标签策略的合规性之前,必须满足相应要求并设置必要的权限。
**Topics**
+ [评估标签策略合规性的先决条件](#tag-policies-prereqs-overview)
+ [评估账户合规性的权限](#tag-policies-permissions-account)
+ [评估组织范围合规性的权限](#tag-policies-permissions-org)
+ [使用 Amazon S3 存储桶策略以存储报告](#bucket-policy)
### 评估标签策略合规性的先决条件
评估标签策略合规性要求以下内容:
+ 您必须先在中启用该功能 Amazon Organizations,然后创建和附加标签策略。有关更多信息,请参阅 *Amazon Organizations 《用户指南》*中的以下页面:
+ [管理标签策略的先决条件和权限](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [启用标签策略](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [标签策略入门](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ 要[**查找账户资源上的不合规标签**](tag-policies-orgs-finding-noncompliant-tags.md),您需要该账户的登录凭证以及 [评估账户合规性的权限](#tag-policies-permissions-account) 中所列权限。
+ 要[**评估组织范围的合规性**](tag-policies-orgs-evaluating-org-wide-compliance.md),您需要组织管理账户的登录凭证以及 [评估组织范围合规性的权限](#tag-policies-permissions-org) 中所列权限。您只能向 Amazon Web Services 区域 美国东部(弗吉尼亚北部)索取合规报告。
### 评估账户合规性的权限
在账户资源上查找不合规标签需要以下权限:
+ `organizations:DescribeEffectivePolicy` – 获取账户的有效标签策略的内容。
+ `tag:GetResources` – 获取不符合附加标签策略的资源列表。
+ `tag:TagResources` – 添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在Amazon Elastic Compute Cloud (Amazon EC2)中标记资源,您需要 `ec2:CreateTags` 权限。
+ `tag:UnTagResources` – 删除标签。您还需要特定于服务的权限才能移除标签。例如,要在 Amazon EC2 中取消标记,您需要 `ec2:DeleteTags` 权限。
以下示例 Amazon Identity and Access Management (IAM) 策略提供了评估账户标签合规性的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
有关 IAM 策略与权限的更多一般信息,请参阅 [IAM 用户指南](https://docs.amazonaws.cn/IAM/latest/UserGuide/)。
### 评估组织范围合规性的权限
评估组织范围的标签策略合规性需要以下权限:
+ `organizations:DescribeEffectivePolicy` – 获取附加到组织、组织单位 (OU) 或账户的标签策略内容。
+ `tag:GetComplianceSummary` – 获取组织中所有账户中不合规资源的摘要。
+ `tag:StartReportCreation` – 将最近的合规性评估结果导出到文件中。组织级的合规性每隔 48 小时评估一次。
+ `tag:DescribeReportCreation` – 检查报告创建的状态。
+ `s3:ListAllMyBuckets` – 协助访问组织范围的合规报告。
+ `s3:GetBucketAcl` – 检查接收合规报告的 Amazon S3 存储桶的访问控制列表(ACL)。
+ `s3:GetObject` – 从服务拥有的 Amazon S3 存储桶中检索合规报告。
+ `s3:PutObject` – 将合规报告放入指定的 Amazon S3 存储桶中。
如果发送报告的 Amazon S3 存储桶通过 SSE-KMS 加密,则您还必须拥有该存储桶的`kms:GenerateDataKey`权限。
以下 IAM policy 示例提供了用于评估组织范围的合规性的权限。用你自己的信息替换每一个*placeholder*信息:
+ *`bucket_name`* – Amazon S3 存储桶的名称
+ *`organization_id`* – 您的组织的 ID
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
}
]
}
```
------
有关 IAM 策略与权限的更多一般信息,请参阅 [IAM 用户指南](https://docs.amazonaws.cn/IAM/latest/UserGuide/)。
### 使用 Amazon S3 存储桶策略以存储报告
要创建组织范围的合规报告,您用来调用 `StartReportCreation` API 的身份必须能够访问美国东部(弗吉尼亚州北部)区域的 Amazon Simple Storage Service (Amazon S3) 存储桶,以存储该报告。标签策略使用调用身份的凭证将合规报告传送到指定的存储桶。
如果用于调用 `StartReportCreation` API 的存储桶和身份*属于同一个账户*,则此用例不需要其他 Amazon S3 存储桶策略。
如果与用于调用 `StartReportCreation` API 的身份关联的账户与拥有 Amazon S3 存储桶的账户*不同*,则必须将以下存储桶策略附加到该存储桶。用你自己的信息替换每一个*placeholder*信息:
+ *`bucket_name`* – Amazon S3 存储桶的名称
+ *`organization_id`* – 您的组织的 ID
+ *`identity_ARN`* – 用于调用 `StartReportCreation` API 的 IAM 身份的 ARN
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket_name"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*"
}
]
}
```
------