Markieren von Ressourcen in Service Quotas - Service Quotas
Unterstützte RessourcenTag (Markierung)-EinschränkungenErforderliche BerechtigungenVerwalten von Tags (Konsole)Verwalten von Tags (AWS CLI)Verwalten von Tags (AWSAPI)Zugriffssteuerung mit Tags

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren von Ressourcen in Service Quotas

Ein Tag ist eine benutzerdefinierte Attributskennzeichnung, die Sie zu einer AWS-Ressource hinzufügen, damit sich Ressourcen einfacher identifizieren, organisieren und finden lassen. Jedes Tag besteht aus zwei Teilen:

  • EINTag-Schlüssel, wie beispielsweiseCostCenter,Environment, oderProjectaus. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.

  • EIN-Tag-Wert, wie beispielsweise111122223333oderProductionaus. Sie können den Wert eines Tags (Markierung) zwar auf eine leere Zeichenfolge, jedoch nicht Null festlegen. Ein nicht angegebener Tag-Wert entspricht einer leeren Zeichenfolge. Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß-/Kleinschreibung unterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren.

Tags sind für folgende Aktivitäten nützlich:

  • Identifizieren und Organisieren Ihrer AWS-Ressourcen. Viele Amazon Web Services unterstützen das Markieren mit Tags (kurz: Tagging). So können Ressourcen aus verschiedenen Services denselben Tag zuweisen, um anzugeben, dass die Ressourcen verbunden sind.

  • Überwachen von AWS-Kosten. You activate these tags on the AWS Billing and Cost Management dashboard. AWS uses the tags to categorize your costs and deliver a monthly cost allocation report to you. Weitere Informationen finden Sie unter Use cost allocation tags (Verwendung von Kostenzuordnungs-Tags) im AWS Billing-Benutzerhandbuch.

  • Kontrollieren Sie den Zugriff auf Ihre AWS-Ressourcen. Weitere Informationen finden Sie unter Controlling access using tags (Zugriffssteuerung mit Tags) im IAM-Benutzerhandbuch.

Ressourcen, die das Markieren von Service Quotas unterstützen

Die Service-Kontingente-Ressourcen für die Tagging-UnterstützungAngewandte Kontingente, zuvor beantragte Quotenerhöhungen genehmigt vonAWS Supportaus.

Wichtig

Sie können Kontingente nur kennzeichnen, wenn sie einen angewendeten Kontingentwert haben. Kontingente mit Standardkontingentwerten können nicht markiert werden.

Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Tags sind nicht für private oder sensible Daten gedacht.

Tag (Markierung)-Einschränkungen

Für Tags in Servicekontingente-Ressourcen gelten die folgenden Einschränkungen:

  • Die maximale Anzahl der Tags, die Sie einer Ressource zuweisen können – 50.

  • Maximale Schlüssellänge – 128 Unicode-Zeichen.

  • Maximale Wertlänge – 256 Unicode-Zeichen.

  • Valid characters for key and value – a-z, A-Z, 0-9, space, and the following characters: _ . : / = + - and @

  • Bei Schlüsseln und Werten wird die Groß-/Kleinschreibung berücksichtigt.

  • Verwenden Sie nichtaws:als Präfix für den Schlüssel, da es für reserviert istAWSVerwendung von Verwendung von

Erforderliche Berechtigungen für das Markieren von Servicekontingenten-Ressourcen

Sie müssen Berechtigungen konfigurieren, damit Ihre Benutzer oder Rollen Tags in Servicekontingenten verwalten können. Die Berechtigungen, die für die Verwaltung von Tags erforderlich sind, entsprechen in der Regel den API-Operationen für die Aufgabe.

Um sicherzustellen, dass Benutzer und Rollen die Service Quotas Konsole für Tagging-Vorgänge verwenden können, hängen Sie dieServiceQuotasReadOnlyAccess AWSVerwaltete Richtlinie für die Entitäten. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

  • Um Tags zu angewendeten Kontingenten hinzufügen zu können, müssen Sie über die folgenden Berechtigungen verfügen:

    servicequotas:ListTagsForResource

    servicequotas:TagResource

  • Zum Anzeigen von Tags für ein angewendetes Kontingent benötigen Sie die folgenden Berechtigungen:

    servicequotas:ListTagsForResource

  • Um vorhandene Tags aus einem angewendeten Kontingent zu entfernen, müssen Sie über die folgenden Berechtigungen verfügen:

    servicequotas:UntagResource

  • Um vorhandene Tag-Werte für angewendete Kontingente zu bearbeiten, müssen Sie über die folgenden Berechtigungen verfügen:

    servicequotas:ListTagsForResource

    servicequotas:TagResource

    servicequotas:UntagResource

Verwalten von Service Quotas-Tags (Konsole)

Sie können Service-Kontingent-Tags verwalten, indem Sie dieAWS Management Consoleaus.

  1. Melden Sie sich bei derAWS Management ConsoleÖffnen Sie die Service Quotas Quotas-Konsole unterhttps://console.aws.amazon.com/servicequotas/homeaus.

  2. Wählen Sie auf der NavigationsseiteAWSDienstleistungenaus.

  3. Wählen Sie einAWS-ServiceGeben Sie aus der Liste aus oder geben Sie den Namen des Service in das Suchfeld ein.

  4. Wählen Sie einen Service mit einem Wert in derAngewandter Kontingentwertcolumn.

  5. Wählen Sie im Abschnitt Tags (Markierungen) die Option Manage tags (Tags (Markierungen) verwalten). Diese Option ist für Kontingente ohne angewendeten Kontingentwert nicht verfügbar.

  6. Sie können Tags hinzufügen oder entfernen oder Tag-Werte für vorhandene Tags bearbeiten. Geben Sie einen Namen für das Tag ein inSchlüsselaus. Sie können einen optionalen Wert für das Tag unter Value (Wert) hinzufügen.

  7. Nachdem Sie alle Ihre Änderungen an Tags vorgenommen haben, wählen SieSpeichern Sie die Änderungenaus.

Wenn der Vorgang erfolgreich ist, kehren Sie zur Kontingentdetailseite zurück, auf der Sie Ihre Änderungen überprüfen können. Wenn der Vorgang fehlschlägt, befolgen Sie bitte die Anweisungen in der Fehlermeldung, um ihn zu beheben.

Verwalten von Service-Kontingent-Tags (AWS CLI)

Sie können Service-Kontingent-Tags verwalten, indem Sie dieAWS Command Line Interface(AWS CLI) enthalten.

  • So fügen Sie Tags zu angewendeten Kontingenten hinzu

    aws service-quotas tag-resource

  • So zeigen Sie Tags für eine angewendete Kontingent an

    aws service-quotas list-tags-for-resource

  • So löschen Sie vorhandene Tag-Werte für angewendete Kontingente

    aws service-quotas untag-resource

Verwalten von Service-Kontingent-Tags (AWSAPI)

Sie können Service-Kontingent-Tags mithilfe der Service-Quotas-API verwalten.

  • So fügen Sie Tags zu angewendeten Kontingenten hinzu

    TagResource

  • So zeigen Sie Tags für eine angewendete Kontingent an

    ListTagsForResource

  • So löschen Sie vorhandene Tag-Werte für angewendete Kontingente

    UntagResource

Zugriffssteuerung mit Service Quotas-Tags

Um den Zugriff auf Servicekontingentressourcen basierend auf Tags zu steuern, stellen Sie Tag-Informationen in derCondition -Elementeiner Richtlinie unter Verwendung vonaws:ResourceTag/key-name,aws:RequestTag/key-name, oderaws:TagKeysBedingungsschlüssel. Weitere Informationen über diese Bedingungsschlüssel finden Sie unterSteuern des Zugriffs aufAWS-Ressourcen mit Ressourcen-TagsimIAM User Guideaus.

Wenn Sie z. B. die folgende Richtlinie anAWS Identity and Access Management(IAM) Benutzer oder Rolle, diese Entität kann eine Erhöhung aufAmazon Athenaangewendete Kontingente, die mit dem Tag-Schlüssel gekennzeichnet sindOwnerund Tag-Wertadminaus.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["servicequotas:RequestServiceQuotaIncrease"],
            "Resource": "arn:aws:servicequotas:*:*:athena/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "admin"}
            }
        }
    ]
}

Sie können Tags auch an IAM-Entitäten (Benutzer oder Rollen) anfügen, um die attributbasierte Zugriffskontrolle (ABAC) zu verwenden. ABAC ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. Das Markieren von Entitäten und Ressourcen ist der erste Schritt von ABAC. Anschließend entwerfen Sie ABAC-Richtlinien, um Operationen zuzulassen, wenn das Tag des Prinzipals mit dem Tag der Ressource übereinstimmt, auf die sie zugreifen möchten. ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.

Weitere Informationen zu ABAC finden Sie unter Was ist ABAC? im IAM-Benutzerhandbuch. Informationen zum Anzeigen eines Tutorials mit Schritten zum Einrichten von ABAC finden Sie unterIAM-Tutorial: Definieren Sie ZugriffsberechtigungenAWS-Ressourcen basierend auf TagsimIAM User Guideaus.