Búsqueda de recursos no conformes para una cuenta Corrección de etiquetas no conformes en recursos Búsqueda y corrección de problemas de no conformidad adicionales Generación de un informe de conformidad de toda la organización

Descripción de la aplicación de políticas

Una política de etiquetas puede especificar que se apliquen operaciones de etiquetado no conformes en los tipos de recursos especificados. En otras palabras, no se pueden completar las solicitudes de etiquetado no conformes en los tipos de recursos especificados.

importante

La aplicación no afecta a los recursos que se crean sin etiquetas.

Para aplicar la conformidad de las políticas de etiquetas, realice una de las siguientes acciones al crear una política de etiquetas:

En la pestaña Visual editor (Editor visual), seleccione Prevent noncompliant operations for this tag (Evitar las operaciones no conformes en esta etiqueta).
En la pestaña JSON, utilice el campo enforced_for. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Ejemplos y sintaxis de políticas de etiquetas.

Siga estas prácticas recomendadas para ejecutar la conformidad con las políticas de etiquetas:

Actúe con precaución al ejecutar la conformidad. Asegúrese de que conoce los efectos del uso de políticas de etiquetas y siga los flujos de trabajo recomendados que se describen en Introducción a las políticas de etiquetas. Pruebe el funcionamiento de la ejecución en una cuenta de prueba antes de ampliarla a más cuentas. De lo contrario, podría impedir que los usuarios de las cuentas de su organización etiqueten los recursos que necesiten.
Tenga en cuenta los tipos de recursos que puede aplicar en: solo puede imponer la conformidad de las política de etiquetas en tipos de recursos admitidos. Se indican los tipos de recursos que admiten la ejecución de la conformidad cuando se utiliza el editor visual para crear una política de etiquetas.
Comprenda las interacciones con algunos servicios: algunos AWS servicios tienen agrupaciones de recursos tipo contenedor que crean recursos automáticamente para usted, y las etiquetas se pueden propagar de un recurso de un servicio a otro. Por ejemplo, las etiquetas de grupos de Amazon EC2 Auto Scaling y los clústeres de Amazon EMR se pueden propagar automáticamente a las instancias de Amazon EC2 contenidas. Puede contar con políticas de etiquetas para Amazon EC2 que sean más estrictas que para los grupos de Auto Scaling o los clústeres de EMR. Si habilita la ejecución, la política de etiquetas impide que se etiqueten los recursos y puede bloquear el escalado dinámico y el aprovisionamiento.

En las secciones siguientes se muestra cómo encontrar recursos no conformes y corregirlos para que sean compatibles.

Búsqueda de recursos no conformes para una cuenta

En cada cuenta, puede obtener información acerca de los recursos no conformes. Debe ejecutar este comando desde todas las regiones en las que la cuenta tenga recursos.

Para encontrar recursos no conformes para una cuenta con una política de etiquetas, ejecuta el siguiente comando para guardar los resultados en un archivo:


$ aws resourcegroupstaggingapi get-resources  --region us-east-1 \
    --include-compliance-details \
    --exclude-compliant-resources > outputfile.txt

Corrección de etiquetas no conformes en recursos

Después de encontrar etiquetas no conformes, realice las correcciones pertinentes mediante cualquiera de los siguientes métodos. Debe haber iniciado sesión en la cuenta que tiene el recurso con etiquetas no conformes:

Usa la consola o la API de etiquetado de las operaciones del AWS servicio que creó los recursos no conformes.
Utilice las UntagResourcesoperaciones AWS Resource Groups TagResourcesy para añadir etiquetas que cumplan con la política vigente o para eliminar las etiquetas que no lo hagan.

Búsqueda y corrección de problemas de no conformidad adicionales

La búsqueda y corrección de los problemas de conformidad es un proceso iterativo. Repita los pasos de las dos secciones anteriores hasta que los recursos que le importa que estén en conformidad con la política de etiquetas.

Generación de un informe de conformidad de toda la organización

En cualquier momento, puede generar un informe que enumere todos los recursos etiquetados de Cuentas de AWS su organización. El informe muestra si cada recurso cumple con la política de etiquetas en vigor. Tenga en cuenta que los cambios que realice a los recursos o una política de etiquetas pueden tardar hasta 48 horas en verse reflejados en el informe de conformidad de toda la organización. Por ejemplo, supongamos que tiene una política de etiquetas que define una etiqueta estandarizada nueva para un tipo de recurso. Los recursos de ese tipo que no tienen esta etiqueta aparecen como conformes en el informe durante un máximo de 48 horas.

Puede generar el informe de la cuenta de administración de la organización en la región us-east-1, dado que tiene acceso a un bucket de Amazon S3. El bucket debe tener una política de bucket asociada como se muestra en Política de bucket de Amazon S3 para almacenar informes. Para generar el informe, ejecute el siguiente comando:


$ aws resourcegroupstaggingapi start-report-creation --region us-east-1

Puede generar un informe a la vez.

Es posible que este informe tarde algo de tiempo en completarse. Puede comprobar su estado ejecutando el siguiente comando:


$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
    "Status": "SUCCEEDED"
}

Después de que el comando anterior devuelva SUCCEEDED, puede abrir el informe desde el bucket de Amazon S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de Amazon EventBridge para supervisar etiquetas no conformes

Servicios y tipos de recursos que admiten la aplicación de políticas