Markieren Ihrer AWS-Ressourcen - Markieren von AWS Ressourcen
So fügen Sie Tags hinzuBewährte MethodenTagging-KategorienBeschränkungen und Anforderungen für die Benennung von TagsHäufig verwendete Tagging-StrategienTagging-GovernanceWeitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren Ihrer AWS-Ressourcen

Tags sind Schlüssel-Wert-Paare, die als Metadaten Ihre AWS-Ressourcen organisieren. Bei den meisten AWS Ressourcen haben Sie die Möglichkeit, beim Erstellen der Ressource Tags hinzuzufügen. Beispiele für -Ressourcen sind eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance, ein Amazon Simple Storage Service (Amazon S3)-Bucket oder ein Secret in AWS Secrets Manager.

Wichtig

Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Wir verwenden Tags, um Ihnen Fakturierungs- und Verwaltungsservices zur Verfügung zu stellen. Tags sind nicht für private oder vertrauliche Daten gedacht.

Mit Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filtern. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren.

Jedes Tag besteht aus zwei Teilen:

  • einem Tag-Schlüssel (z. B. CostCenter, Environment oder Project). Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.

  • Einem Tag-Wert (z. B. 111122223333 oder Production). Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren.

So fügen Sie Ihren Ressourcen Tags hinzu AWS

Es gibt drei Möglichkeiten, Ihren Ressourcen Tags hinzuzufügenAWS:

  • AWS-Service API-Operation – Die Tagging-API-Operationen, die direkt unterstützt AWS-Servicewerden. Informationen dazu, welche Tagging-Funktionen die einzelnen AWS-Service bieten, finden Sie in der Dokumentation des Services im AWS Dokumentationsindex .

  • Tag-Editor-Konsole – Einige Services unterstützen auch das Tagging mit der AWS Tag-Editor-Konsole.

  • Resource Groups Tagging API – Die meisten -Services unterstützen auch Tagging mit der AWS Resource Groups Tagging API.

Sie können Ressourcen für alle Services mit anfallenden Kosten in AWS markieren. Für die folgenden Services empfiehlt AWS eine neuere Alternative AWS-Services, die Markierungen unterstützt, um den Anwendungsfällen der Kunden besser gerecht zu werden.

Amazon Cloud Directory

Amazon CloudSearch

Amazon Cognito Sync

AWS Data Pipeline

Amazon Elastic Transcoder

 Amazon Machine Learning

AWS OpsWorks Stacks

Amazon S3 Glacier Direct

Amazon SimpleDB
Amazon WorkSpaces Application Manager

AWS DeepLens

Bewährte Methoden

Befolgen Sie beim Erstellen einer Tagging-Strategie für AWS-Ressourcen die folgenden bewährten Methoden:

  • Fügen Sie keine personenbezogenen Daten (Personally Identifiable Information, PII) oder andere vertrauliche Informationen in Tags hinzu. Tags sind für viele AWS-Dienste zugänglich, einschließlich der Abrechnung. Tags sind nicht für private oder vertrauliche Daten gedacht.

  • Verwenden Sie für Tags ein standardisiertes Format, bei dem die Groß-/Kleinschreibung beachtet wird, und wenden Sie es konsistent für alle Ressourcentypen an.

  • Verwenden Sie Tag-Richtlinien, die mehrere Zwecke unterstützen, wie die Verwaltung der Ressourcenzugriffskontrolle, Kostenverfolgung, Automatisierung und Organisation.

  • Verwenden Sie automatisierte Tools zur Verwaltung von Ressourcen-Tags. Der Tag-Editor und die Tagging-API von Resource Groups ermöglichen die programmgesteuerte Steuerung von Tags und erleichtern so die automatische Verwaltung, Suche und Filterung von Tags und Ressourcen.

  • Verwenden Sie eher zu viele als zu wenige Tags.

  • Denken Sie daran, dass es einfach ist, Tags zu ändern, um sich ändernden Geschäftsanforderungen gerecht zu werden, aber bedenken Sie die Folgen zukünftiger Änderungen. Wenn Sie beispielsweise Zugriffssteuerungs-Tags ändern, müssen Sie auch die Richtlinien aktualisieren, die auf diese Tags verweisen, und den Zugriff auf Ihre Ressourcen steuern.

  • Sie können Tagging-Standards, die Ihr Unternehmen einführen möchte, automatisch durchsetzen, indem Sie mit AWS Organizations Tag-Richtlinien erstellen und bereitstellen. Mithilfe von Tag-Richtlinien können Sie Tagging-Regeln angeben und gültige Schlüsselnamen sowie die für jeden Schlüssel gültigen Werte festlegen. Außerdem ist eine reine Überwachung möglich, bei der Sie bestehende Tags beurteilen und bereinigen können. Wenn die Tags den ausgewählten Standards entsprechen, können Sie die Durchsetzung der Tag-Richtlinien aktivieren, um zu verhindern, das Tags erstellt werden, die nicht regelkonform sind. Weitere Informationen finden Sie unter Tag-Richtlinien im AWS Organizations-Benutzerhandbuch.

Tagging-Kategorien

Unternehmen, die Tags sehr effektiv verwenden, erstellen in der Regel geschäftsrelevante Tag-Gruppierungen, um ihre Ressourcen anhand technischer, geschäftlicher und sicherheitsrelevanter Dimensionen zu organisieren. Unternehmen, die automatisierte Prozesse für die Verwaltung ihrer Infrastruktur nutzen, verwenden auch zusätzliche, automatisierungsspezifische Tags.

Technische Tags Tags für die Automatisierung Business-Tags Sicherheits-Tags

  • Name – Identifizieren einzelner Ressourcen

  • Anwendungs-ID – Identifizieren von Ressourcen, die mit einer bestimmten Anwendung verknüpft sind

  • Anwendungsrolle – Beschreibung der Funktion einer bestimmten Ressource (z. B. Webserver, Message Broker, Datenbank)

  • Cluster – Identifizieren von Ressourcenfarmen, die eine gemeinsame Konfiguration verwenden und eine bestimmte Funktion für eine Anwendung ausführen

  • Umgebung – Unterscheiden zwischen Entwicklungs-, Test- und Produktionsressourcen

  • Version – Unterscheiden zwischen Versionen von Ressourcen oder Anwendungen

  • Datum/Uhrzeit – Identifizieren des Datums oder der Uhrzeit, zu dem/der eine Ressource gestartet, gestoppt, gelöscht oder rotiert werden soll

  • Opt-In/Opt-out – Angabe, ob eine Ressource in eine automatisierte Aktivität wie Starten, Beenden oder Ändern von Instances einbezogen werden soll

  • Sicherheit – Festlegen von Anforderungen wie Verschlüsselung oder Aktivieren von Amazon-VPC-Flussprotokollen; Identifizieren von Routentabellen oder Sicherheitsgruppen, die eine zusätzliche Prüfung erfordern

  • Projekt – Identifizieren von Projekten, die von der Ressource unterstützt werden

  • Eigentümer – Identifizieren der für die Ressource verantwortlichen Person

  • Kostenstelle/Geschäftseinheit – Identifizieren der Kostenstelle oder Geschäftseinheit, die einer Ressource zugeordnet ist, in der Regel für die Kostenzuordnung und -verfolgung

  • Kunde – Identifizieren eines bestimmten Clients, für den eine bestimmte Gruppe von Ressourcen da ist

  • Vertraulichkeit – Eine Kennung für die spezifische Datenvertraulichkeitsebene, die eine Ressource unterstützt

  • Compliance – Ein Bezeichner für Workloads, die bestimmte Compliance-Anforderungen erfüllen müssen

Beschränkungen und Anforderungen für die Benennung von Tags

Für Tags gelten die folgenden grundlegenden Benennungs- und Verwendungsanforderungen:

  • Eine Ressource kann bis zu 50 Tags besitzen, die von Benutzern erstellt wurden.

  • Tags, die vom System erstellt wurden und mit aws: beginnen, sind für AWS reserviert und werden nicht auf dieses Limit angerechnet. Tags, die mit dem einem aws:-Präfix beginnen, können nicht bearbeitet oder gelöscht werden.

  • Jeder Tag (Markierung) muss für jede Ressource eindeutig sein. Jeder Tag (Markierung) kann nur einen Wert haben.

  • Der Tag-Schlüssel muss eine Länge zwischen 1 und 128 Unicode-Zeichen in UTF-8 aufweisen.

  • Der Tag-Wert muss eine Länge zwischen 0 und 256 Unicode-Zeichen in UTF-8 aufweisen.

  • Zulässige Zeichen können je nach AWS-Service variieren. Informationen darüber, welche Zeichen Sie zum Taggen von Ressourcen in einem bestimmten AWS-Service verwenden können, finden Sie in der entsprechenden Dokumentation. Im Allgemeinen sind die zulässigen Zeichen Buchstaben, Ziffern und Leerzeichen, die in UTF-8 darstellbar sind, sowie die folgenden Zeichen: _ . : / = + - @.

  • Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Eine bewährte Methode besteht darin, sich für eine einheitliche Schreibweise der Tag-Benennungen zu entscheiden und diese Strategie für alle Ressourcentypen umzusetzen. Entscheiden Sie sich beispielsweise für Costcenter, costcenter oder CostCenter und verwenden Sie diese Konvention für alle Tags. Vermeiden Sie die Verwendung von ähnlichen Tags mit uneinheitlicher Fallunterscheidung.

Häufig verwendete Tagging-Strategien

Anhand der folgenden Markierungs-Strategien können Sie AWS-Ressourcen leichter finden und verwalten.

Tags zur Ressourcenorganisation

Tags sind eine gute Möglichkeit, AWS-Ressourcen in der AWS Management Console zu organisieren. Sie können Tags so konfigurieren, dass sie mit Ressourcen angezeigt werden, und Sie können nach Tags suchen und filtern. Mit dem AWS Resource Groups-Service können Sie Gruppen von AWS-Ressourcen basierend auf einem oder mehreren Tags oder Teilen von Tags erstellen. Sie können auch Gruppen auf der Grundlage ihres Vorkommens in einem AWS CloudFormation-Batch erstellen. Mit Ressourcengruppen und dem Tag-Editor können Sie Daten für Anwendungen konsolidieren und anzeigen, die aus mehreren Services, Ressourcen und Regionen bestehen.

Tags für die Kostenzuordnung

AWS Cost Explorer und detaillierte Abrechnungsberichte ermöglichen die Aufschlüsselung der AWS-Kosten nach Tags. In der Regel verwenden Sie Business-Tags wie Kostenstelle/Geschäftseinheit, Kunde oder Projekt, um AWS-Kosten herkömmlichen Kostenkategorien zuzuordnen. Ein Kostenzuordnungsbericht kann jedoch jedes beliebige Tag enthalten. So können Sie Ihre Kosten auch technischen oder Sicherheitspositionen, beispielsweise spezifischen Anwendungen, Umgebungen oder Compliance-Programmen zuordnen. Im Folgenden finden Sie ein Beispiel für einen Bericht zur Teilkostenzuweisung.

Beispielbericht für Tag-basierte Kostenzuordnung

Für manche Services können Sie ein AWS-generiertes createdBy-Tag für Kostenzuordnungszwecke verwenden, um Ressourcen zu berücksichtigen, die andernfalls nicht kategorisiert werden könnten. Das createdBy-Tag ist nur für unterstützte AWS-Services und Ressourcen verfügbar. Sein Wert enthält Daten, die bestimmten API- oder Konsolenereignissen zugeordnet sind. Weitere Informationen finden Sie unter Von AWS generierte Kostenzuordnungs-Tags im AWS Billing and Cost Management-Benutzerhandbuch.

Tags für die Automatisierung

Ressourcen- oder servicespezifische Tags werden häufig verwendet, um Ressourcen während der Automatisierungsaktivitäten zu filtern. Automatisierungs-Tags werden verwendet, um automatisierte Aufgaben zu aktivieren oder abzulehnen oder bestimmte Versionen von Ressourcen zu identifizieren, die archiviert, aktualisiert oder gelöscht werden sollen. Beispielsweise können Sie automatisierte start- oder stop-Skripts ausführen, die Entwicklungsumgebungen außerhalb der Geschäftszeiten deaktivieren, um die Kosten zu senken. In diesem Szenario sind Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Tags eine einfache Möglichkeit, Instances zu identifizieren, um diese Aktion abzulehnen. Bei Skripten, die veraltete, oder fortlaufende Amazon-EBS-Snapshots finden out-of-dateund löschen, können Snapshot-Tags eine zusätzliche Dimension von Suchkriterien hinzufügen.

Tags für die Zugriffskontrolle

IAM-Richtlinien unterstützen Tag-basierte Bedingungen, sodass Sie IAM-Berechtigungen basierend auf bestimmten Tags oder Tag-Werten einschränken können. Beispielsweise können IAM-Benutzer- oder -Rollenberechtigungen Bedingungen umfassen, um basierend auf ihren Tags EC2-API-Aufrufe auf bestimmte Umgebungen (wie Entwicklung, Test oder Produktion) zu beschränken. Dieselbe Strategie kann verwendet werden, um API-Aufrufe auf bestimmte Amazon Virtual Private Cloud (Amazon VPC)-Netzwerke zu beschränken. Die Unterstützung von Tag-basierten IAM-Berechtigungen auf Ressourcenebene ist servicespezifisch. Wenn Sie tagbasierte Bedingungen für die Zugriffskontrolle verwenden, müssen Sie festlegen und einschränken, wer die Tags ändern kann. Weitere Informationen zur Verwendung von Tags zur Kontrolle des API-Zugriffs auf AWS-Ressourcen finden Sie unter AWS-Services, die mit IAM funktionieren im IAM-Benutzerhandbuch.

Tagging-Governance

Eine effektive Tagging-Strategie verwendet standardisierte Tags und wendet diese konsistent und programmgesteuert über AWS-Ressourcen hinweg an. Sie können sowohl reaktive als auch proaktive Konzepte zur Steuerung von Tags in Ihrer AWS-Umgebung verwenden.

  • Die Reaktive Governance dient dazu, Ressourcen zu finden, die nicht ordnungsgemäß mit Tools wie der API für das Ressourcengruppen-Tagging, AWS-Config-Regeln und benutzerdefinierten Skripten gekennzeichnet sind. Um Ressourcen manuell zu suchen, können Sie Tag-Editor und detaillierte Abrechnungsberichte verwenden.

  • Proaktive Governance nutzt Tools wie AWS CloudFormation, Service Catalog, Tag-Richtlinien in AWS Organizations oder IAM-Berechtigungen auf Ressourcenebene, um sicherzustellen, dass standardisierte Tags bei der Ressourcenerstellung einheitlich angewendet werden.

    Beispielsweise können Sie die AWS CloudFormation-Eigenschaft Resource Tags verwenden, um Tags auf Ressourcentypen anzuwenden. In Service Catalog können Sie Portfolio- und Produkt-Tags hinzufügen, die beim Start eines Produkts automatisch kombiniert und angewendet werden. Zu den strengeren Formen der proaktiven Governance gehören automatisierte Aufgaben. Sie können beispielsweise die API für das Ressourcengruppen-Tagging verwenden, um die Tags einer AWS-Umgebung zu durchsuchen oder Skripts ausführen, um falsch markierte Ressourcen in Quarantäne zu verschieben oder zu löschen.

Weitere Informationen

Diese Seite enthält allgemeine Informationen zum Tagging von AWS-Ressourcen. Weitere Informationen zum Taggen von Ressourcen in einem bestimmten AWS-Service finden Sie in der entsprechenden Dokumentation. Im Folgenden finden Sie auch gute Informationsquellen zum Tagging: