Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegendes zur Durchsetzung
In einer Tag-Richtlinie kann angegeben werden, dass für bestimmte Ressourcentypen nicht-regelkonforme Tagging-Vorgänge erzwungen werden. Mit anderen Worten: Es wird verhindert, dass für bestimmte Ressourcentypen nicht regelkonforme Tagging-Anforderungen durchgeführt werden.
Wichtig
Die Erzwingung hat keine Auswirkungen auf Ressourcen, die ohne Tags erstellt werden.
Führen Sie beim Erstellen einer Tag-Richtlinie eine der folgenden Aktionen aus, um die Compliance mit Tag-Richtlinien zu erzwingen:
-
Wählen Sie auf der Registerkarte Visual editor (Visueller Editor) die Option Prevent noncompliant operations for this tag (Nicht-konforme Operationen für dieses Tag verhindern) aus.
-
Verwenden Sie in der Registerkarte JSON das Feld
enforced_for. Hinweise zur Syntax der Tag-Richtlinie finden Sie unter Syntax und Beispiele für Tag-Richtlinien.
Befolgen Sie die folgenden bewährten Methoden, um die Compliance von Tag-Richtlinien durchzusetzen:
-
Vorsicht beim Durchsetzen der Compliance – Es ist wichtig, dass Sie die Auswirkungen der Verwendung von Tag-Richtlinien verstehen und die empfohlenen, in Erste Schritte mit Tag-Richtlinien beschriebenen Workflows befolgen. Probieren Sie die Durchsetzung auf einem Testkonto aus, bevor Sie sie auf weitere Konten ausweiten. Andernfalls verhindern Sie, dass Benutzer in den Konten Ihrer Organisation die benötigten Ressourcen kennzeichnen.
-
Achten Sie darauf, welche Ressourcentypen Sie durchsetzen können – Sie können die Compliance von Tag-Richtlinien nur für unterstützte Ressourcentypen durchsetzen. Ressourcentypen, die das Durchsetzen der Compliance unterstützen, werden aufgelistet, wenn Sie den visuellen Editor zum Erstellen einer Tag-Richtlinie verwenden.
-
Interaktionen mit einigen Diensten verstehen — Einige AWS Dienste verfügen über containerartige Gruppierungen von Ressourcen, die automatisch Ressourcen für Sie erstellen, und Tags können von einer Ressource in einem Dienst zu einem anderen übertragen werden. Tags in Amazon-EC2-Auto-Scaling-Gruppen und Amazon-EMR-Clustern können beispielsweise automatisch an die enthaltenen Amazon-EC2-Instances weitergegeben werden. Sie verfügen möglicherweise über Tag-Richtlinien für Amazon EC2, die strenger sind als diejenigen für Auto-Scaling-Gruppen oder EMR-Cluster. Wenn Sie die Durchsetzung aktivieren, verhindert die Tag-Richtlinie, dass Ressourcen getaggt werden, und blockiert möglicherweise die dynamische Skalierung und Bereitstellung.
In den folgenden Abschnitten wird gezeigt, wie Sie nicht konforme Ressourcen finden und diese entsprechend korrigieren können.
Suchen nicht konformer Ressourcen für ein Konto
Für jedes Konto können Sie Informationen über nicht konforme Ressourcen abrufen. Sie sollten diesen Befehl in jeder Region ausführen, in der das Konto über Ressourcen verfügt.
Um nach nicht konformen Ressourcen für ein Konto mit einer Tag-Richtlinie zu suchen, führen Sie den folgenden Befehl aus, um die Ergebnisse in einer Datei zu speichern:
$aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources >outputfile.txt
Korrigieren nicht konformer Tags in Ressourcen
Nach dem Auffinden nicht konformer Tags, nehmen Sie Korrekturen mithilfe einer der folgenden Methoden vor. Sie müssen in dem Konto angemeldet sein, das die Ressource mit nicht konformen Tags enthält:
-
Verwenden Sie die Konsolen- oder Tagging-API-Operationen des AWS Dienstes, der die nicht konformen Ressourcen erstellt hat.
-
Verwenden Sie die UntagResourcesOperationen AWS Resource Groups TagResourcesund, um Tags hinzuzufügen, die der geltenden Richtlinie entsprechen, oder um nicht konforme Tags zu entfernen.
Auffindung und Behebung zusätzlicher Probleme bei Compliance-Problemen.
Das Auffinden und Korrigieren von Compliance-Problemen ist ein iterativer Prozess. Wiederholen Sie die Schritte in den beiden vorherigen Abschnitten, bis die Ressourcen, die Sie interessieren, mit Ihrer Tag-Richtlinie konform sind.
Erstellung eines organisationsweiten Compliance-Berichts
Sie können jederzeit einen Bericht erstellen, der alle markierten Ressourcen in Ihrer AWS-Konten gesamten Organisation auflistet. Der Bericht zeigt an, ob die Ressourcen mit der effektiven Tag-Richtlinie konform sind. Beachten Sie, dass es bis zu 48 Stunden dauern kann, bis Änderungen, die Sie an einer Tag-Richtlinie oder Ressourcen vornehmen, im organisationsweiten Compliance-Bericht berücksichtigt werden. Angenommen, Sie haben eine Tag-Richtlinie, die ein neues standardisiertes Tag für einen Ressourcentyp definiert. Ressourcen dieses Typs, die nicht über dieses Tag verfügen, werden im Bericht für bis zu 48 Stunden als konform angezeigt.
Sie können den Bericht aus dem Verwaltungskonto Ihrer Organisation in der us-east-1-Region generieren, sofern er Zugriff auf einen Amazon-S3-Bucket hat. Der Bucket muss über eine angehängte Bucket-Richtlinie verfügen, wie in Amazon-S3-Bucket-Richtlinie zum Speichern von Berichten dargestellt. Zum Generieren des Berichts führen Sie folgenden Befehl aus:
$aws resourcegroupstaggingapi start-report-creation --region us-east-1
Sie können jeweils einen Bericht erstellen.
Es kann etwas dauern, bis dieser Bericht fertiggestellt ist. Sie können den Status überprüfen, indem Sie den folgenden Befehl ausführen:
$aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED" }
Nachdem der obige Befehl erneut SUCCEEDED zurückgibt, können Sie den Bericht aus dem Amazon-S3-Bucket öffnen.
