Anzeigen effektiver Tag-Richtlinien

Bevor Sie mit der Überprüfung des Compliance-Status für getaggte Ressourcen in einem Konto beginnen, ist es hilfreich, zuerst die effektive Tag-Richtlinie eines Kontos zu ermitteln.

Was ist die effektive Tag-Richtlinie?

Die effektive Tag-Richtlinie gibt die Tagging-Regeln an, die für ein Konto gelten. Es handelt sich um die Aggregation aller Tag-Richtlinien, die das Konto erbt, sowie jede Tag-Richtlinie, die direkt mit dem Konto verknüpft ist. Wenn Sie dem Organisationsstamm eine Tag-Richtlinie hinzufügen, gilt dies für alle Konten in Ihrer Organisation. Wenn Sie eine Tag-Richtlinie einer OU hinzufügen, gilt dies für alle Konten und OUs, die zur OU gehören.

Beispielsweise kann die dem Organisationsstamm hinzugefügte Tag-Richtlinie ein CostCenter-Tag mit vier kompatiblen Werten definieren. Eine separate Tag-Richtlinie, die dem Konto zugeordnet ist, kann den CostCenter-Schlüssel auf nur zwei der vier kompatiblen Werte beschränken. Die Kombination dieser Tag-Richtlinien umfasst die effektive Tag-Richtlinie. Im Ergebnis sind nur zwei der vier konformen Tag-Werte des Kontos, die in der Tag-Richtlinie des Organisationsstamms definiert sind, konform.

Weitere Informationen und weitergehende Beispiele dafür, wie effektive Tag-Richtlinien generiert werden, finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

Anzeigen der effektiven Tag-Richtlinie

Sie können die effektive Tag-Richtlinie für ein Konto über die AWS Management Console, AWS API oder AWS Command Line Interface anzeigen.

Mindestberechtigungen

Um die effektive Tag-Richtlinie für ein Konto anzuzeigen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktionen verfügen:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

AWS Management Console

Anzeigen der effektiven Tag-Richtlinie für ein Konto

1. Melden Sie sich an der AWS Organizations-Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie auf der Seite AWS-Konten den Namen des Kontos aus, für das Sie die effektive Tag-Richtlinie anzeigen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um das gewünschte Konto zu finden.

3. Wählen Sie auf der Registerkarte Richtlinien im Abschnitt Tag-Richtlinien die Option Effektive Tag-Richtlinie für dieses AWS-Konto anzeigen aus.

   Die Konsole zeigt die effektive Richtlinie an, die auf das angegebene Konto angewendet wird.

   Anmerkung

   Es ist nicht möglich, eine effektive Richtlinie zu kopieren und einzufügen und ohne wesentliche Änderungen als JSON für eine andere Tagrichtlinie zu verwenden. Tagrichtliniendokumente müssen die Vererbungsoperatoren enthalten, die angeben, wie die einzelnen Einstellungen zu der endgültigen effektiven Richtlinie zusammengeführt werden.

AWS CLI & AWS SDKs

Anzeigen der effektiven Tag-Richtlinie für ein Konto

Sie können eine der folgenden Optionen zum Anzeigen der effektiven Tag-Richtlinie verwenden:

• AWS CLI: describe-effective-policy

  Um zu ermitteln, welche Tagging-Regeln einem Konto vererbt oder zugeordnet sind, führen Sie folgende Schritte aus dem Konto heraus aus und speichern die Ergebnisse in einer Datei:

  $ aws organizations describe-effective-policy \
      --policy-type TAG_POLICY
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
          "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
          "TargetId": "123456789012",
          "PolicyType": "TAG_POLICY"
      }
  }

  Wenn eine Tag-Richtlinie sowohl an das Konto als auch an den Stamm oder eine beliebige Organisationseinheit angehängt ist, definiert die Kombination aller übernommenen Richtlinien die effektive Tag-Richtlinie des Kontos. In diesen Fällen gibt das Ausführen von describe-effective-policy über das Konto den zusammengeführten Inhalt aller Tag-Richtlinien in der Kontohierarchie zurück.

• AWS-SDKs: DescribeEffectivePolicy