Tagging für die Kostenzuweisung oder die attributebasierte Zugriffskontrolle (ABAC) - Amazon Simple Storage Service
Wie funktionieren TagsGängige Methoden zur Verwendung von TagsPlanung Ihrer Tagging-StrategieVerwaltung von Tags für Amazon S3 S3-Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tagging für die Kostenzuweisung oder die attributebasierte Zugriffskontrolle (ABAC)

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten enthält. Sie hängen die Tags an Ihre Amazon S3 S3-Ressourcen an, z. B. Buckets. Sie können Ressourcen kennzeichnen, wenn Sie sie erstellen, oder Tags für bestehende Ressourcen verwalten. Für die Verwendung von Tags fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Wie funktionieren Tags

Amazon S3 unterstützt zwei Arten von Tags:

  • AWS-generierte Tags: Wendet diese Tags AWS automatisch an, und Sie können sie nicht ändern oder entfernen. Weitere Informationen zu AWS-generierten Tags finden Sie unter Verwenden von AWS-generierten Tags.

  • Benutzerdefinierte Tags: Sie wenden diese Tags auf Ihre S3-Ressourcen an und verwalten sie.

Benutzerdefinierte Tags

Ein benutzerdefiniertes Tag ist ein Tag-Schlüssel-Wert-Paar, das Sie verwenden, um Ihre Ressourcen zu kennzeichnen. Benutzerdefinierte Tags bestehen aus einem erforderlichen Schlüssel und einem optionalen Wert. Dies sind die Hauptbestandteile eines benutzerdefinierten Tags:

Der Tag-Schlüssel

Der Tag-Schlüssel ist der erforderliche Name des Tags. projectIst beispielsweise der Tag-Schlüssel im folgenden Tag-Schlüssel-Wert-Paar:

Schlüssel Value (Wert)
project Trinity

Der Tag-Schlüssel ist eine Zeichenfolge, bei der Groß- und Kleinschreibung beachtet wird und zwischen 1 und 128 Unicode-Zeichen enthalten muss. Schlüssel können nur Unicode-Buchstaben oder -Zahlen, Leerzeichen und die folgenden Symbole enthalten:

  • _- Unterstrich

  • .- Zeitraum

  • :- Dickdarm

  • /- Schrägstrich

  • =- Gleichheitszeichen

  • +- Pluszeichen

  • @- beim Schild

  • -- Strich

Der Tag-Wert

Der Tag-Wert ist eine optionale Zeichenfolge. Zum Beispiel Trinity ist der Tag-Wert in diesem Tag-Schlüssel-Wert-Paar:

Schlüssel Value (Wert)
project Trinity

Der Tag-Wert ist eine Zeichenfolge, bei der Groß- und Kleinschreibung beachtet wird und zwischen 0 und 256 Unicode-Zeichen enthalten kann. Werte können nur Unicode-Buchstaben oder -Zahlen, Leerzeichen und die folgenden Symbole enthalten:

  • _- Unterstrich

  • .- Zeitraum

  • :- Dickdarm

  • /- Schrägstrich

  • =- Gleichheitszeichen

  • +- Pluszeichen

  • @- beim Schild

  • -- Strich

Einzelheiten zu den in benutzerdefinierten Tags zulässigen Zeichen und zu anderen Einschränkungen finden Sie unter Einschränkungen für benutzerdefinierte Tags im AWS Fakturierung und Kostenmanagement Benutzerhandbuch.

Das Tag-Set

Jede S3-Ressource hat einen Tagsatz, der alle Tag-Schlüssel- und Wertepaare enthält, die diesem Bucket zugewiesen sind. Ein Tag-Set kann leer sein oder bis zu 50 benutzerdefinierte Tags enthalten, außer im Fall von Tagging-Objekten. Objekte können nur bis zu 10 Tags haben.

Zwar muss jeder Schlüssel in einem Tag-Set eindeutig sein, Sie können denselben Wert jedoch mehrfach verwenden. Sie können beispielsweise denselben Wert für die folgenden zwei Tag-Schlüssel verwenden: Trinity

Schlüssel Value (Wert)
project Trinity
cost-center Trinity

Wenn Sie ein Tag hinzufügen, das denselben Schlüssel wie ein vorhandenes Tag hat, überschreibt der neue Wert den alten Wert.

AWS wendet Ihren Tags keine semantische Bedeutung an. Wir interpretieren Markierungen streng als Zeichenfolgen.

Um Tags hinzuzufügen, aufzulisten, zu ändern oder zu löschen, können Sie die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (AWS CLI) oder die Amazon S3 S3-API verwenden.

Gängige Methoden zur Verwendung von Tags

Verwenden Sie Tags auf Ihren S3-Ressourcen für:

  1. Kostenzuweisung — Verfolgen Sie die Speicherkosten anhand des Bucket-Tags AWS Fakturierung und Kostenmanagement.

  2. Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Ressourcen auf der Grundlage ihrer Tags.

Anmerkung

Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.

Verwenden von Tags für die Kostenzuweisung

Verfolgen Sie Ihre Amazon S3 S3-Speicherkosten, indem Sie Tags auf S3-Ressourcen anwenden und diese Tags für die Kostenzuweisung aktivieren.

Um mit der Kostenverfolgung zu beginnen:

  1. Fügen Sie Ihren S3-Ressourcen Tags hinzu oder verwenden Sie vorhandene Tags. Sie können Buckets beispielsweise mit einem Tag kennzeichnen, das ein Projekt oder eine Gruppe von Projekten identifiziert.

  2. Aktivieren Sie die Tags für die Kostenzuweisung in der AWS Fakturierung und Kostenmanagement Konsole. Weitere Informationen finden Sie im AWS Fakturierung und Kostenmanagement Benutzerhandbuch unter Aktivieren von benutzerdefinierten Kostenzuweisungs-Tags. Sie können benutzerdefinierte oder AWS generierte Tags aktivieren. Weitere Informationen finden Sie unter Kosten mithilfe von AWS Kostenzuordnungs-Tags organisieren und nachverfolgen.

AWS verwendet die aktivierten Tags, um Ihre Ressourcenkosten in verschiedenen Abrechnungs- und Kostenmanagement-Tools zu organisieren, z. B.:

  • Bericht zur Kostenverteilung

    Bietet einen allgemeinen Überblick über die Kosten, die nach Ihren aktivierten Stichwörtern geordnet sind. Weitere Informationen finden Sie unter Verwenden des monatlichen Kostenzuordnungsberichts im AWS Billing User Guide.

  • Kosten- und Nutzungsbericht (CUR)

    Bietet die detailliertesten AWS Kosten- und Nutzungsdaten, einschließlich Tag-basierter Kostenaufschlüsselungen. Weitere Informationen finden Sie unter Was sind AWS Kosten- und Nutzungsberichte? im AWS Datenexport-Benutzerhandbuch.

Amazon S3 S3-Ressourcen, die die Kostenverfolgung mit Tags unterstützen

Die folgenden Amazon S3 S3-Ressourcen unterstützen die Erfassung von Speicherkosten mithilfe von Tags.

Verwenden von Tags für die attributebasierte Zugriffskontrolle (ABAC)

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen, d. h. Tags, definiert werden. Sie können Tags an AWS Identity and Access Management (IAM-) Entitäten (Benutzer oder Rollen) und an AWS Ressourcen wie Amazon S3 S3-Zugriffspunkte und Verzeichnis-Buckets anhängen. Anschließend kontrollieren Sie die Berechtigungen für diese Ressourcen mithilfe von tagbasierten Bedingungen in Zugriffskontrollrichtlinien, um Vorgänge zuzulassen oder zu verweigern, wenn diese Bedingungen erfüllt sind.

Mit ABAC verwenden Sie tagbasierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und S3-Ressourcenrichtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Ressourcen anhand der Bucket-Tags mithilfe von Bedingungsschlüsseln steuern.

Unterstützte Bedingungsschlüssel

Sie können die folgenden AWS Bedingungsschlüssel für alle Amazon S3 S3-Ressourcen verwenden, die ABAC unterstützen.

  • aws:ResourceTag/key-name

  • aws:RequestTag/key-name

  • aws:TagKeys

Einige Ressourcen unterstützen zusätzliche Amazon S3 S3-Bedingungsschlüssel. Eine vollständige Liste der Bedingungsschlüssel, die für ABAC verwendet werden können, sowie Beispielrichtlinien finden Sie in den folgenden Themen zur Kennzeichnung der Ressource.

Amazon S3 S3-Ressourcen, die ABAC unterstützen

Die folgenden Amazon S3 S3-Ressourcen unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags.

Planung Ihrer Tagging-Strategie

Wir empfehlen die Verwendung von Tag (Markierung)-Schlüsseln, die die Anforderungen der jeweiligen Ressourcentypen erfüllen. Die Verwendung einheitlicher Tag-Schlüssel vereinfacht das Verwalten der -Ressourcen. Sie können die Ressourcen auf Grundlage der hinzugefügten Tags (Markierungen) filtern und danach suchen. Weitere Informationen zur Implementierung einer effektiven Strategie zur Kennzeichnung von Ressourcen finden Sie im Whitepaper Best Practices für Tagging. AWS

Bewährte Methoden für das Taggen von Amazon S3 S3-Ressourcen

Wir empfehlen Ihnen, sich bei der Verwendung von Tags an die folgenden bewährten Methoden zu halten:

  • Dokumentieren Sie Konventionen für die Verwendung von Tags, die von allen Teams in Ihrer Organisation befolgt werden. Stellen Sie insbesondere sicher, dass die Namen sowohl aussagekräftig als auch konsistent sind. Standardisieren Sie beispielsweise das Format, environment:prod anstatt einige Ressourcen mit zu kennzeichnen. env:production

    Wichtig

    Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags.

  • Automatisieren Sie das Tagging, um Konsistenz zu gewährleisten. Sie können beispielsweise Tags in eine AWS CloudFormation Vorlage aufnehmen. Wenn Sie Ressourcen mit der Vorlage erstellen, werden die Ressourcen automatisch markiert.

  • Verwenden Sie Tags nur bei Bedarf. Vermeiden Sie eine unnötige Zunahme und Komplexität von Tags.

  • Überprüfen Sie die Tags regelmäßig auf Relevanz und Richtigkeit. Entfernen oder ändern Sie veraltete Tags nach Bedarf.

  • Erwägen Sie, Tags mit dem AWS Tag-Editor in der AWS Management Console zu erstellen. Sie können den Tag-Editor verwenden, um mehreren unterstützten AWS Ressourcen, einschließlich Amazon S3 S3-Ressourcen, gleichzeitig Tags hinzuzufügen. Weitere Informationen finden Sie unter Tag Editor im Benutzerhandbuch von AWS Resource Groups.

Verwaltung von Tags für Amazon S3 S3-Ressourcen

Weitere Informationen zur Verwaltung von Tags für Amazon S3 S3-Ressourcen finden Sie im Folgenden: