Requisitos previos y permisos

Antes de poder evaluar la conformidad con las políticas de etiquetas enAWS Resource Groups, debe cumplir los requisitos y establecer los permisos necesarios.

Requisitos previos para evaluar la conformidad con las políticas de etiquetas

La evaluación de la conformidad con las políticas de etiquetas requiere lo siguiente:

• En primer lugar, debe habilitar la función enAWS Organizationsy crea y adjunta políticas de etiquetas. Para obtener más información, consulte las páginas siguientes en laAWS OrganizationsGuía del usuario de:

  • Requisitos previos y permisos para administrar políticas de etiquetas

  • Habilitación de políticas de etiquetas

  • Introducción a las políticas de etiquetas

• Parabuscar etiquetas no conformes en los recursos de una cuenta, necesitas credenciales de inicio de sesión para esa cuenta y los permisos enumerados enPermisos para evaluar el cumplimiento de una cuenta.

• ParaEvalúe la conformidad en toda la organización, necesita credenciales de inicio de sesión para la cuenta de administración de la organización y los permisos enumerados enPermisos para evaluar la conformidad en toda la organización .

Permisos para evaluar el cumplimiento de una cuenta

Para encontrar etiquetas no conformes en los recursos de una cuenta se requieren los siguientes permisos:

• organizations:DescribeEffectivePolicy— Para obtener el contenido de la política de etiquetas en vigor de la cuenta.

• tag:GetResourcesPara obtener una lista de los recursos que no cumplen la política de etiquetas adjunta.

• tag:TagResources— Para agregar o actualizar etiquetas. También necesitas permisos específicos de servicio para crear etiquetas. Por ejemplo, para etiquetar recursos en Amazon EC2, necesita permisos paraec2:CreateTags.

• tag:UnTagResources— Para eliminar una etiqueta. También necesitas permisos específicos de servicio para eliminar etiquetas. Por ejemplo, para desetiquetar los recursos de Amazon EC2, necesita permisos paraec2:DeleteTags.

El siguiente ejemplo de política de IAM proporciona permisos para evaluar la conformidad de etiquetas de una cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.

Permisos para evaluar la conformidad en toda la organización

Para evaluar el cumplimiento de las políticas de etiquetas en toda la organización se requieren los siguientes permisos:

• organizations:DescribeEffectivePolicy— Para obtener el contenido de la política de etiquetas asociada a la organización, la unidad organizativa o la cuenta.

• tag:GetComplianceSummaryPara obtener un resumen de los recursos no conformes en todas las cuentas de la organización.

• tag:StartReportCreation— Para exportar los resultados de la evaluación de conformidad más reciente a un archivo. El cumplimiento de toda la organización se evalúa cada 48 horas.

• tag:DescribeReportCreation— Para comprobar el estado de la creación de informes.

El siguiente ejemplo de política de IAM proporciona permisos para evaluar la conformidad en toda la organización.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateOrgCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetComplianceSummary",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.

Política de bucket de Amazon S3 para almacenar informes

Para crear un informe de conformidad de toda la organización, debe conceder acceso al principal del servicio de políticas de etiquetas a un bucket de Amazon S3 en la región EE. UU. Este (Norte de Virginia) para el almacenamiento de informes. Adjunte la siguiente política de bucket al bucket, reemplazando los marcadores de posición por el nombre del bucket de S3 real, el número de ID de la organización y el número de ID de cuenta de la cuenta de administración de la organización para la organización en la que está aplicando la política.

{
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "TagPolicyACL", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::<your-bucket-name>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            } 
         }, 
         { 
            "Sid": "TagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": [ 
                "s3:PutObject", 
                "s3:PutObjectAcl"
            ], 
            "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            }
         } 
    ] 
}