Requisitos previos y permisos - AWS Resource Groupsy etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos y permisos

Antes de poder evaluar la conformidad con las políticas de etiquetas enAWS Resource Groups, debe cumplir los requisitos y establecer los permisos necesarios.

Requisitos previos para evaluar la conformidad con las políticas de etiquetas

La evaluación de la conformidad con las políticas de etiquetas requiere lo siguiente:

Permisos para evaluar el cumplimiento de una cuenta

Para encontrar etiquetas no conformes en los recursos de una cuenta se requieren los siguientes permisos:

  • organizations:DescribeEffectivePolicy— Para obtener el contenido de la política de etiquetas en vigor de la cuenta.

  • tag:GetResourcesPara obtener una lista de los recursos que no cumplen la política de etiquetas adjunta.

  • tag:TagResources— Para agregar o actualizar etiquetas. También necesitas permisos específicos de servicio para crear etiquetas. Por ejemplo, para etiquetar recursos en Amazon EC2, necesita permisos paraec2:CreateTags.

  • tag:UnTagResources— Para eliminar una etiqueta. También necesitas permisos específicos de servicio para eliminar etiquetas. Por ejemplo, para desetiquetar los recursos de Amazon EC2, necesita permisos paraec2:DeleteTags.

El siguiente ejemplo de política de IAM proporciona permisos para evaluar la conformidad de etiquetas de una cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.

Permisos para evaluar la conformidad en toda la organización

Para evaluar el cumplimiento de las políticas de etiquetas en toda la organización se requieren los siguientes permisos:

  • organizations:DescribeEffectivePolicy— Para obtener el contenido de la política de etiquetas asociada a la organización, la unidad organizativa o la cuenta.

  • tag:GetComplianceSummaryPara obtener un resumen de los recursos no conformes en todas las cuentas de la organización.

  • tag:StartReportCreation— Para exportar los resultados de la evaluación de conformidad más reciente a un archivo. El cumplimiento de toda la organización se evalúa cada 48 horas.

  • tag:DescribeReportCreation— Para comprobar el estado de la creación de informes.

El siguiente ejemplo de política de IAM proporciona permisos para evaluar la conformidad en toda la organización.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }

Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.

Política de bucket de Amazon S3 para almacenar informes

Para crear un informe de conformidad de toda la organización, debe conceder acceso al principal del servicio de políticas de etiquetas a un bucket de Amazon S3 en la región EE. UU. Este (Norte de Virginia) para el almacenamiento de informes. Adjunte la siguiente política de bucket al bucket, reemplazando los marcadores de posición por el nombre del bucket de S3 real, el número de ID de la organización y el número de ID de cuenta de la cuenta de administración de la organización para la organización en la que está aplicando la política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::<your-bucket-name>", "Condition": { "StringEquals": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*", "Condition": { "StringEquals": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } } ] }