Syntax und Beispiele für Tag-Richtlinien - AWS Organizations
Syntax für Tag-RichtlinienTag-RichtlinienbeispieleBeispiel 1: Festlegen eines organisationsweiten Tag-SchlüsselsBeispiel 2: Verwendung eines Tag-Schlüssels verhindern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für Tag-Richtlinien

Auf dieser Seite wird die Syntax für Tag-Richtlinien beschrieben und durch Beispiele illustriert.

Syntax für Tag-Richtlinien

Eine Tag-Richtlinie ist eine Textdatei, die den Regeln der JSON-Struktur folgt. Die Syntax für Tag-Richtlinien folgt der Syntax für Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des Tagrichtlinientyps.

Die folgende Tag-Richtlinie zeigt die Basissyntax:

{
    "tags": {
        "costcenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            },
            "tag_value": {
                "@@assign": [
                    "100",
                    "200"
                ]
            },
            "enforced_for": {
                "@@assign": [
                    "secretsmanager:*"
                ]
            }
        }
    }
}

Zur Syntax der Tag-Richtlinie gehören die folgenden Elemente:

  • Der Schlüsselname des Feldes tags. Tag-Richtlinien beginnen immer mit diesem feststehenden Schlüsselnamen. Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie.

  • Ein Richtlinienschlüssel zur eindeutigen Kennzeichnung der Richtlinienanweisung. Mit Ausnahme der Fallbehandlung muss er mit dem Wert für den Tag-Schlüssel übereinstimmen. Im Gegensatz zu dem (als nächstes beschriebenen) Tag-Wert wird bei dem Richtlinienschlüssel nicht zwischen Groß- und Kleinschreibung unterschieden.

    In diesem Beispiel ist costcenter der Richtlinienschlüssel.

  • Mindestens ein Tag-Schlüssel als Angabe des zulässigen Tag-Schlüssels mit der Groß-/Kleinschreibung, der die Ressourcen entsprechen sollen. Wenn keine Fallbehandlung definiert ist, wird für Tag-Schlüssel standardmäßig die Kleinschreibung verwendet. Der Wert für den Tag-Schlüssel muss mit dem Wert für den Richtlinienschlüssel übereinstimmen. Die Schreibung des Werts kann allerdings unterschiedlich sein, da hier nicht zwischen Groß- und Kleinschreibung unterschieden wird.

    In diesem Beispiel ist CostCenter der Tag-Schlüssel. Dies ist die Fallbehandlung, die für die Einhaltung der Tag-Richtlinie erforderlich ist. Ressourcen mit alternativer Fallbehandlung für diesen Tag-Schlüssel sind nicht mit der Tag-Richtlinie konform.

    Sie können in einer Tag-Richtlinie mehrere Tag-Schlüssel definieren.

  • (Optional) Eine Liste mit einem oder mehreren zulässigen Tag-Werten für den Tag-Schlüssel. Wenn in der Tag-Richtlinie kein Tag-Wert für einen Tag-Schlüssel angegeben wird, gilt jeder Wert (auch kein Wert) als regelkonform.

    In diesem Beispiel sind 100 und 200 zulässige Werte für den Tag-Schlüssel CostCenter.

  • (Optional) Eine enforced_for-Option, die angibt, ob nicht regelkonforme Tagging-Vorgänge für bestimmte Services und Ressourcen unterbunden werden sollen. In der Konsole ist dies die Option Prevent noncompliant operations for this tag (Nicht regelkonforme Vorgänge für dieses Tag verhindern) im visuellen Editor für die Erstellung von Tag-Richtlinien. Die Standardeinstellung für diese Option ist Null.

    In der Tag-Beispielrichtlinie wird angegeben, dass dieses Tag für alle AWS Secrets Manager-Ressourcen erforderlich ist.

    Warnung

    Sie sollten diese Option nur dann ändern, wenn Sie mit der Verwendung von Tag-Richtlinien vertraut sind. Andernfalls riskieren Sie, dass Benutzer die benötigten Ressourcen in den Konten Ihrer Organisation nicht erstellen können.

  • Operatoren, die angeben, wie diese Tag-Richtlinie mit anderen Tag-Richtlinien in der Organisationsstruktur zu einer effektiven Tag-Richtlinie für das Konto zusammengeführt wird. In diesem Beispiel dient @@assign dazu, tag_key, tag_value und enforced_for Zeichenfolgen zuzuweisen. Weitere Informationen zu Operatoren finden Sie unter Vererbungsoperatoren.

  • – Sie können den Platzhalter * in Tag-Werten und enforced_for-Feldern verwenden.

    • Je Tag-Wert ist nur ein Platzhalter zulässig. *@example.com ist beispielsweise zulässig, aber *@*.com ist es nicht.

    • Für enforced_for können Sie bei einigen Services <service>:* verwenden, um die Durchsetzung für alle Ressourcen für diesen Service zu ermöglichen. Eine Liste der Services und Ressourcentypen, die enforced_for unterstützen, finden Sie unter Services und Ressourcentypen, die die Durchsetzung unterstützen.

      Sie können keinen Platzhalter verwenden, um alle Services oder eine Ressource für alle Services anzugeben.

Tag-Richtlinienbeispiele

Die folgenden Tag-Richtlinienbeispiele dienen nur zu Informationszwecken.

Anmerkung

Bevor Sie diese Beispiel-Tag-Richtlinien in Ihrer Organisation verwenden, beachten Sie Folgendes:

  • Befolgen Sie unbedingt den empfohlenen Workflow, um sich mit Tag-Richtlinien vertraut zu machen.

  • Überprüfen Sie diese Tag-Richtlinien sorgfältig, und passen Sie sie an Ihre individuellen Anforderungen an.

  • Alle Zeichen, die Sie in Ihrer Tag-Richtlinie verwenden, unterliegen einer maximalen Größe. In den Beispielen in diesem Handbuch sind die dargestellten Tag-Richtlinien mit zusätzlichen Leerraumzeichen formatiert, um ihre Lesbarkeit zu verbessern. Sie können die Leerraumzeichen löschen, um Speicherplatz zu sparen, wenn sich die Größe Ihrer Richtlinie der maximalen Größe nähert. Beispiele für Leerraumzeichen sind Leerzeichen und Zeilenumbrüche außerhalb von Anführungszeichen.

  • Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigt.

Beispiel 1: Festlegen eines organisationsweiten Tag-Schlüssels

Das folgende Beispiel zeigt eine Tag-Richtlinie, die nur zwei Tag-Schlüssel und die Groß-/Kleinschreibung definiert, die Sie als Standard für die Konten in Ihrer Organisation verwenden möchten.

Richtlinie A – Tag-Richtlinie des Organisationsstamms

{
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter",
                "@@operators_allowed_for_child_policies": ["@@none"]
            }
        },
        "Project": {
            "tag_key": {
                "@@assign": "Project",
                "@@operators_allowed_for_child_policies": ["@@none"]
            }
        }
    }
}

Diese Tag-Richtlinie definiert zwei Tag-Schlüssel: CostCenter und Project. Das Anhängen dieser Tag-Richtlinie an den Organisationsstamm hat folgende Auswirkungen:

  • Alle Konten in Ihrer Organisation übernehmen diese Tag-Richtlinie.

  • Alle Konten in Ihrer Organisation müssen zur Konformität die definierte Fallbehandlung verwenden. Ressourcen mit CostCenter- und Project-Tags sind konform. Ressourcen mit alternativer Fallbehandlung für den Tag-Schlüssel (z. B. costcenter, Costcenter oder COSTCENTER) sind nicht konform.

  • Durch die @@operators_allowed_for_child_policies": ["@@none"]-Zeilen werden die Tag-Schlüssel „gesperrt“. In Tag-Richtlinien, die in einer der unteren Ebenen in der Organisationsstruktur angesiedelt sind (untergeordnete Richtlinien), sind keine Operatoren zulässig, durch die Werte festgelegt und durch die der Tag-Schlüssel und die Fallbehandlung geändert werden.

  • Wie bei allen Tag-Richtlinien werden nicht mit Tags versehene Ressourcen oder Tags, die nicht in der Tag-Richtlinie definiert sind, nicht auf Übereinstimmung mit der Tag-Richtlinie ausgewertet.

AWS empfiehlt, dieses Beispiel als Leitfaden für die Erstellung einer ähnlichen Tag-Richtlinie für die gewünschten Tag-Schlüssel zu verwenden. Fügen Sie sie zum Organisations-Root hinzu. Erstellen Sie anschließend eine Tag-Richtlinie ähnlich dem nächsten Beispiel, die nur die zulässigen Werte für die definierten Tag-Schlüssel definiert.

Nächster Schritt: Werte definieren

Angenommen, Sie haben die vorherige Tag-Richtlinie an den Organisations-Root angehängt. Als Nächstes können Sie wie folgt eine Tag-Richtlinie erstellen und sie an ein Konto anfügen. In dieser werden zulässige Werte für die Tag-Schlüssel CostCenter und Project definiert.

Richtlinie B – Tag-Richtlinie für Konten

{
    "tags": {
        "CostCenter": {
            "tag_value": {
                "@@assign": [
                    "Production",
                    "Test"
                ]
            }
        },
        "Project": {
            "tag_value": {
                "@@assign": [
                    "A",
                    "B"
                ]
            }
        }
    }
}

Wenn Sie die Richtlinie A an den Organisations-Root und die Richtlinie B an ein Konto anfügen, werden beide Richtlinien miteinander kombiniert, sodass sich die folgende effektive Tag-Richtlinie für das Konto ergibt:

Richtlinie A + Richtlinie B = effektive Tag-Richtlinie für Konto

{
    "tags": {
        "Project": {
            "tag_value": [
                "A",
                "B"
            ],
            "tag_key": "Project"
        },
        "CostCenter": {
            "tag_value": [
                "Production",
                "Test"
            ],
            "tag_key": "CostCenter"
        }
    }
}

Weitere Informationen zur Vererbung von Richtlinien sowie Beispiele für die Funktionsweise der Vererbungsoperatoren und für effektive Tag-Richtlinien finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

Beispiel 2: Verwendung eines Tag-Schlüssels verhindern

Um zu verhindern, dass ein Tag-Schlüssel verwendet wird, können Sie einer Organisations-Entität eine Tag-Richtlinie wie die folgende zuordnen.

In dieser Beispielrichtlinie wird angegeben, dass für den Color-Tag-Schlüssel keine Werte akzeptabel sind. Sie gibt auch an, dass in untergeordneten Tag-Richtlinien keine Operatoren zulässig sind. Daher werden alle Color-Tags für Ressourcen in betroffenen Konten als nicht konform angesehen. Jedoch wird durch die Option enforced_for wirksam verhindert, dass betroffene Konten nur Amazon-DynamoDB-Tabellen mit dem Color-Tag versehen.

{
    "tags": {
        "Color": {
            "tag_key": {
                "@@operators_allowed_for_child_policies": [
                    "@@none"
                ],
                "@@assign": "Color"
            },
            "tag_value": {
                "@@operators_allowed_for_child_policies": [
                    "@@none"
                ],
                "@@assign": []
            },
            "enforced_for": {
                "@@assign": [
                    "dynamodb:table"
                ]
            }
        }
    }
}