Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos y permisos
Antes de poder evaluar el cumplimiento de las políticas de etiquetas en el editor de etiquetas, debe cumplir los requisitos y establecer los permisos necesarios.
Requisitos previos para evaluar el cumplimiento de las políticas de etiquetas
La evaluación del cumplimiento de las políticas de etiquetas requiere lo siguiente:
-
Primero debe habilitar la característica en las políticas de etiquetas AWS Organizations, crearlas y adjuntarlas. Para obtener más información, consulte las páginas siguientes en la Guía del usuario deAWS Organizations:
-
Para encontrar etiquetas no conformes en los recursos de una cuenta, necesita credenciales de inicio de sesión para esa cuenta y los permisos enumerados en Permisos para evaluar el cumplimiento de una cuenta.
-
Para evaluar el cumplimiento en toda la organización, necesita credenciales de inicio de sesión para la cuenta de gestión de la organización y los permisos enumerados en Permisos para evaluar el cumplimiento en toda la organización . Puede solicitar el informe de conformidad únicamente desde el Región de AWS Este de EE. UU. (Norte de Virginia).
Permisos para evaluar el cumplimiento de una cuenta
Para encontrar etiquetas no conformes en los recursos de una cuenta se requieren los permisos siguientes:
-
organizations:DescribeEffectivePolicy— Para obtener el contenido de la política de etiquetas vigente para la cuenta. -
tag:GetResources— Para obtener una lista de los recursos que no cumplen con la política de etiquetas adjunta. -
tag:TagResources– Para agregar o actualizar etiquetas. También necesita permisos específicos del servicio para crear etiquetas. Por ejemplo, para etiquetar recursos en Amazon Elastic Compute Cloud (Amazon EC2), necesita permisos paraec2:CreateTags. -
tag:UnTagResources– Para eliminar una etiqueta. También necesita permisos específicos del servicio para eliminar etiquetas. Por ejemplo, para desetiquetar recursos de Amazon EC2, necesita permisos paraec2:DeleteTags.
El siguiente ejemplo AWS Identity and Access Management, de la política (IAM), proporciona permisos para evaluar el cumplimiento de las etiquetas de una cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.
Permisos para evaluar el cumplimiento en toda la organización
Para evaluar el cumplimiento de las políticas de etiquetas en toda la organización, se requieren los permisos siguientes:
-
organizations:DescribeEffectivePolicy– Para obtener el contenido de la política de etiquetas adjunta a la organización, unidad organizativa (OU) o cuenta. -
tag:GetComplianceSummary– Para obtener un resumen de los recursos no conformes en todas las cuentas de la organización. -
tag:StartReportCreation– Para exportar los resultados de la evaluación de conformidad más reciente a un archivo. El cumplimiento en toda la organización se evalúa cada 48 horas. -
tag:DescribeReportCreation– Para comprobar el estado de la creación de informes.
El siguiente ejemplo de política de IAM proporciona permisos para evaluar el cumplimiento en toda la organización.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }
Para obtener más información sobre las políticas y permisos de IAM, consulte la Guía del usuario de IAM.
Política de bucket de Amazon S3 para el almacenamiento de informes
Para crear un informe de conformidad para toda la organización, debe conceder acceso para la entidad principal de servicio de políticas de etiquetas a un bucket de Amazon Simple Storage Service (Amazon S3) en la región Este de EE. UU. (Norte de Virginia) para el almacenamiento de informes. Adjunte la siguiente política de bucket al bucket, sustituyendo cada marcador de posición por su propia información:
-
Su nombre de bucket de S3.
-
Número de identificación de la organización
-
Número de ID de cuenta de la cuenta de administración de la organización en la que se aplica la política
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::<your-bucket-name>", "Condition": { "StringLike": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*", "Condition": { "StringLike": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } } ] }
