Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Syntax und Beispiele für Tag-Richtlinien
Auf dieser Seite wird die Syntax für Tag-Richtlinien beschrieben und durch Beispiele illustriert.
Syntax für Tag-Richtlinien
Eine Tag-Richtlinie ist eine Textdatei, die den Regeln der JSON-Struktur
Die folgende Tag-Richtlinie zeigt die Basissyntax:
{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "100", "200" ] }, "enforced_for": { "@@assign": [ "secretsmanager:*" ] } } } }
Zur Syntax der Tag-Richtlinie gehören die folgenden Elemente:
-
Der Schlüsselname des Feldes
tags
. Tag-Richtlinien beginnen immer mit diesem feststehenden Schlüsselnamen. Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie. -
Ein Richtlinienschlüssel zur eindeutigen Kennzeichnung der Richtlinienanweisung. Mit Ausnahme der Fallbehandlung muss er mit dem Wert für den Tag-Schlüssel übereinstimmen. Im Gegensatz zu dem (als nächstes beschriebenen) Tag-Wert wird bei dem Richtlinienschlüssel nicht zwischen Groß- und Kleinschreibung unterschieden.
In diesem Beispiel ist
costcenter
der Richtlinienschlüssel. -
Mindestens ein Tag-Schlüssel als Angabe des zulässigen Tag-Schlüssels mit der Groß-/Kleinschreibung, der die Ressourcen entsprechen sollen. Wenn keine Fallbehandlung definiert ist, wird für Tag-Schlüssel standardmäßig die Kleinschreibung verwendet. Der Wert für den Tag-Schlüssel muss mit dem Wert für den Richtlinienschlüssel übereinstimmen. Die Schreibung des Werts kann allerdings unterschiedlich sein, da hier nicht zwischen Groß- und Kleinschreibung unterschieden wird.
In diesem Beispiel ist
CostCenter
der Tag-Schlüssel. Dies ist die Fallbehandlung, die für die Einhaltung der Tag-Richtlinie erforderlich ist. Ressourcen mit alternativer Fallbehandlung für diesen Tag-Schlüssel sind nicht mit der Tag-Richtlinie konform.Sie können in einer Tag-Richtlinie mehrere Tag-Schlüssel definieren.
-
(Optional) Eine Liste mit einem oder mehreren zulässigen Tag-Werten für den Tag-Schlüssel. Wenn in der Tag-Richtlinie kein Tag-Wert für einen Tag-Schlüssel angegeben wird, gilt jeder Wert (auch kein Wert) als regelkonform.
In diesem Beispiel sind
100
und200
zulässige Werte für den Tag-SchlüsselCostCenter
. -
(Optional) Eine
enforced_for
-Option, die angibt, ob nicht regelkonforme Tagging-Vorgänge für bestimmte Services und Ressourcen unterbunden werden sollen. In der Konsole ist dies die Option Prevent noncompliant operations for this tag (Nicht regelkonforme Vorgänge für dieses Tag verhindern) im visuellen Editor für die Erstellung von Tag-Richtlinien. Die Standardeinstellung für diese Option ist Null.Die Beispiel-Tag-Richtlinie gibt an, dass das
CostCenter
Tag, das an alle AWS Secrets Manager Ressourcen weitergegeben wird, dieser Richtlinie entsprechen muss.Warnung
Sie sollten diese Option nur dann ändern, wenn Sie mit der Verwendung von Tag-Richtlinien vertraut sind. Andernfalls riskieren Sie, dass Benutzer die benötigten Ressourcen in den Konten Ihrer Organisation nicht erstellen können.
-
Operatoren, die angeben, wie diese Tag-Richtlinie mit anderen Tag-Richtlinien in der Organisationsstruktur zu einer effektiven Tag-Richtlinie für das Konto zusammengeführt wird. In diesem Beispiel dient
@@assign
dazu,tag_key
,tag_value
undenforced_for
Zeichenfolgen zuzuweisen. Weitere Informationen zu Operatoren finden Sie unter Vererbungsoperatoren. -
– Sie können den Platzhalter
*
in Tag-Werten undenforced_for
-Feldern verwenden.-
Je Tag-Wert ist nur ein Platzhalter zulässig.
*@example.com
ist beispielsweise zulässig, aber*@*.com
ist es nicht. -
Für
enforced_for
können Sie bei einigen Services<service>:*
verwenden, um die Durchsetzung für alle Ressourcen für diesen Service zu ermöglichen. Eine Liste der Services und Ressourcentypen, dieenforced_for
unterstützen, finden Sie unter Services und Ressourcentypen, die die Durchsetzung unterstützen.Sie können keinen Platzhalter verwenden, um alle Services oder eine Ressource für alle Services anzugeben.
-
Tag-Richtlinienbeispiele
Die folgenden Tag-Richtlinienbeispiele dienen nur zu Informationszwecken.
Anmerkung
Bevor Sie diese Beispiel-Tag-Richtlinien in Ihrer Organisation verwenden, beachten Sie Folgendes:
-
Befolgen Sie unbedingt den empfohlenen Workflow, um sich mit Tag-Richtlinien vertraut zu machen.
-
Überprüfen Sie diese Tag-Richtlinien sorgfältig, und passen Sie sie an Ihre individuellen Anforderungen an.
-
Alle Zeichen, die Sie in Ihrer Tag-Richtlinie verwenden, unterliegen einer maximalen Größe. In den Beispielen in diesem Handbuch sind die dargestellten Tag-Richtlinien mit zusätzlichen Leerraumzeichen formatiert, um ihre Lesbarkeit zu verbessern. Sie können die Leerraumzeichen löschen, um Speicherplatz zu sparen, wenn sich die Größe Ihrer Richtlinie der maximalen Größe nähert. Beispiele für Leerraumzeichen sind Leerzeichen und Zeilenumbrüche außerhalb von Anführungszeichen.
-
Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigt.
Beispiel 1: Festlegen eines organisationsweiten Tag-Schlüssels
Das folgende Beispiel zeigt eine Tag-Richtlinie, die nur zwei Tag-Schlüssel und die Groß-/Kleinschreibung definiert, die Sie als Standard für die Konten in Ihrer Organisation verwenden möchten.
Richtlinie A – Tag-Richtlinie des Organisationsstamms
{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter", "@@operators_allowed_for_child_policies": ["@@none"] } }, "Project": { "tag_key": { "@@assign": "Project", "@@operators_allowed_for_child_policies": ["@@none"] } } } }
Diese Tag-Richtlinie definiert zwei Tag-Schlüssel: CostCenter
und Project
. Das Anhängen dieser Tag-Richtlinie an den Organisationsstamm hat folgende Auswirkungen:
-
Alle Konten in Ihrer Organisation übernehmen diese Tag-Richtlinie.
-
Alle Konten in Ihrer Organisation müssen zur Konformität die definierte Fallbehandlung verwenden. Ressourcen mit
CostCenter
- undProject
-Tags sind konform. Ressourcen mit alternativer Fallbehandlung für den Tag-Schlüssel (z. B.costcenter
,Costcenter
oderCOSTCENTER
) sind nicht konform. -
Durch die
@@operators_allowed_for_child_policies": ["@@none"]
-Zeilen werden die Tag-Schlüssel „gesperrt“. In Tag-Richtlinien, die in einer der unteren Ebenen in der Organisationsstruktur angesiedelt sind (untergeordnete Richtlinien), sind keine Operatoren zulässig, durch die Werte festgelegt und durch die der Tag-Schlüssel und die Fallbehandlung geändert werden. -
Wie bei allen Tag-Richtlinien werden nicht mit Tags versehene Ressourcen oder Tags, die nicht in der Tag-Richtlinie definiert sind, nicht auf Übereinstimmung mit der Tag-Richtlinie ausgewertet.
AWS empfiehlt, dieses Beispiel als Leitfaden für die Erstellung einer ähnlichen Tag-Richtlinie für Tag-Schlüssel zu verwenden, die Sie verwenden möchten. Fügen Sie sie zum Organisations-Root hinzu. Erstellen Sie anschließend eine Tag-Richtlinie ähnlich dem nächsten Beispiel, die nur die zulässigen Werte für die definierten Tag-Schlüssel definiert.
Nächster Schritt: Werte definieren
Angenommen, Sie haben die vorherige Tag-Richtlinie an den Organisations-Root angehängt. Als Nächstes können Sie wie folgt eine Tag-Richtlinie erstellen und sie an ein Konto anfügen. In dieser werden zulässige Werte für die Tag-Schlüssel CostCenter
und Project
definiert.
Richtlinie B – Tag-Richtlinie für Konten
{ "tags": { "CostCenter": { "tag_value": { "@@assign": [ "Production", "Test" ] } }, "Project": { "tag_value": { "@@assign": [ "A", "B" ] } } } }
Wenn Sie die Richtlinie A an den Organisations-Root und die Richtlinie B an ein Konto anfügen, werden beide Richtlinien miteinander kombiniert, sodass sich die folgende effektive Tag-Richtlinie für das Konto ergibt:
Richtlinie A + Richtlinie B = effektive Tag-Richtlinie für Konto
{ "tags": { "Project": { "tag_value": [ "A", "B" ], "tag_key": "Project" }, "CostCenter": { "tag_value": [ "Production", "Test" ], "tag_key": "CostCenter" } } }
Weitere Informationen zur Vererbung von Richtlinien sowie Beispiele für die Funktionsweise der Vererbungsoperatoren und für effektive Tag-Richtlinien finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.
Beispiel 2: Verwendung eines Tag-Schlüssels verhindern
Um zu verhindern, dass ein Tag-Schlüssel verwendet wird, können Sie einer Organisations-Entität eine Tag-Richtlinie wie die folgende zuordnen.
In dieser Beispielrichtlinie wird angegeben, dass für den Color
-Tag-Schlüssel keine Werte akzeptabel sind. Sie gibt auch an, dass in untergeordneten Tag-Richtlinien keine Operatoren zulässig sind. Daher werden alle Color
-Tags für Ressourcen in betroffenen Konten als nicht konform angesehen. Jedoch wird durch die Option enforced_for
wirksam verhindert, dass betroffene Konten nur Amazon-DynamoDB-Tabellen mit dem Color
-Tag versehen.
{ "tags": { "Color": { "tag_key": { "@@operators_allowed_for_child_policies": [ "@@none" ], "@@assign": "Color" }, "tag_value": { "@@operators_allowed_for_child_policies": [ "@@none" ], "@@assign": [] }, "enforced_for": { "@@assign": [ "dynamodb:table" ] } } } }