Visualización de políticas de etiquetas en vigor

Antes de comenzar a comprobar el estado de conformidad de los recursos etiquetados en una cuenta, resulta útil determinar primero la política de etiquetas en vigor para una cuenta.

¿Qué es la política de etiquetas en vigor?

La política de etiquetas en vigor especifica las reglas de etiquetado que se aplican a una cuenta. Es la agregación de cualquier política de etiquetas que herede la cuenta, además de cualquier política de etiquetas asociada directamente a la cuenta. Cuando se asocia una política de etiquetas a la raíz de la organización, esta se aplica a todas las cuentas de la organización. Cuando asocia una política de etiquetas a una unidad organizativa, esta se aplica a todas las cuentas y unidades organizativas que pertenecen a la unidad organizativa.

Por ejemplo, la política de etiquetas asociada a la raíz de la organización puede definir una etiqueta CostCenter con cuatro valores compatibles. Una política de etiquetas diferente asociada a la cuenta puede restringir la clave CostCenter a solo dos de los cuatro valores compatibles. La combinación de estas políticas de etiquetas comprende la política de etiquetas en vigor. El resultado es que solo dos de los cuatro valores de etiqueta compatibles definidos en la política de etiquetas de la raíz de la organización son compatibles con la cuenta.

Para obtener más información y ejemplos más avanzados de cómo se generan políticas de etiquetas en vigor, consulte Descripción de la herencia de políticas de administración.

Cómo ver la política de etiquetas en vigor

Puede ver la política de etiquetas en vigor de una cuenta desde la AWS Management Console, la API de AWS o AWS Command Line Interface.

Permisos mínimos

Para ver la política de etiquetas en vigor de una cuenta, debe tener permiso para ejecutar las siguientes acciones:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

AWS Management Console

Para ver la política de etiquetas en vigor de una cuenta

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Cuentas de AWS, elija el nombre de la cuenta para la que desea ver la política de etiquetas en vigor. Es posible que tenga que expandir las unidades organizativas (elija la opción ) para encontrar la cuenta que desea.

3. En la pestaña Políticas, en la sección Políticas de etiquetas, elija Ver la política de etiquetas en vigor de este Cuenta de AWS.

   La consola muestra la política efectiva aplicada a la cuenta especificada.

   nota

   No puede copiar y pegar una política en vigor y usarla como JSON para otra política de etiquetas sin cambios significativos. Los documentos de la política de etiquetas deben incluir los operadores de herencia que especifican cómo se fusiona cada configuración en la política en vigor final.

AWS CLI & AWS SDKs

Para ver la política de etiquetas en vigor de una cuenta

Puede utilizar una de las siguientes opciones para ver la política de etiquetas en vigor:

• AWS CLI: describe-effective-policy

  Para determinar qué reglas de etiquetado se heredan o asocian a una cuenta, ejecute la siguiente acción desde la cuenta y guarde el resultado en un archivo:

  $ aws organizations describe-effective-policy \
      --policy-type TAG_POLICY
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
          "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
          "TargetId": "123456789012",
          "PolicyType": "TAG_POLICY"
      }
  }

  Si una política de etiquetas se asocia a la cuenta y al nodo raíz o a cualquier OU, la combinación de todas las políticas heredadas define la política de etiquetas en vigor de la cuenta. En estos casos, ejecutar describe-effective-policy desde la cuenta devuelve el contenido combinado de todas las políticas de etiquetas en la jerarquía de la cuenta.

• SDK de AWS: DescribeEffectivePolicy