Etiquetado de los recursos de AWS

Las etiquetas son pares de clave y valor que funcionan como metadatos para organizar los recursos de AWS. Con la mayoría de AWS los recursos, tiene la opción de agregar etiquetas al crear el recurso. Entre los ejemplos de recursos se incluyen una instancia de Amazon Elastic Compute Cloud (Amazon EC2), un bucket de Amazon Simple Storage Service (Amazon S3) o un recurso. AWS Secrets Manager

importante

No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Usamos etiquetas para proporcionarle servicios de facturación y administración. Las etiquetas no se han diseñado para usarse con información privada o confidencial.

Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar recursos. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio.

Cada etiqueta tiene dos partes:

• Una clave de etiqueta (por ejemplo, CostCenter, Environment o Project). Las claves de etiqueta distinguen entre mayúsculas y minúsculas.

• Un valor de etiqueta (por ejemplo, 111122223333 o Production). Al igual que las claves de etiqueta, los valores de etiqueta distinguen entre mayúsculas y minúsculas.

Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio.

Cómo agregar etiquetas a sus AWS recursos de

Hay tres formas de añadir etiquetas a tus AWS recursos:

• Servicio de AWSOperación de API: las operaciones de la API de etiquetado admitieron directamente unServicio de AWS. Para descubrir qué funciones de etiquetado Servicio de AWS ofrece cada uno, consulte la documentación del servicio en el índice de AWS documentación.

• Consola del editor de etiquetas: algunos servicios también admiten el etiquetado con la consola del editor de AWS etiquetas.

• API de etiquetado de Resource Groups: la mayoría de los servicios también admiten el etiquetado mediante. AWS Resource Groups Tagging API

Puede etiquetar los recursos de todos los servicios que generan costos en AWS. Para los siguientes servicios, AWS recomienda Servicios de AWS alternativos más recientes que admitan el etiquetado para adaptarse mejor a los casos de uso de los clientes.

Amazon Cloud Directory	Amazon CloudSearch	Amazon Cognito Sync
AWS Data Pipeline	Amazon Elastic Transcoder	Amazon Machine Learning
AWS OpsWorks Stacks	Amazon S3 Glacier Direct	Amazon SimpleDB
Gestor WorkSpaces de aplicaciones de Amazon	AWS DeepLens

Prácticas recomendadas

Cuando cree una estrategia de etiquetado para los recursos de AWS, siga las prácticas recomendadas:

• No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos servicios de AWS, incluida la facturación. Las etiquetas no se han diseñado para usarse con información privada o confidencial.

• Utilice un formato estandarizado que distinga mayúsculas de minúsculas para las etiquetas y aplíquelo de forma coherente a todos los tipos de recursos.

• Tenga en cuenta las directrices de etiquetas que admiten múltiples propósitos, como administrar el control de acceso a recursos, el seguimiento de costos, la automatización y la organización.

• Use herramientas automatizadas para ayudar a administrar las etiquetas de recursos. El editor de etiquetas y la API de etiquetado de Resource Groups permiten el control programático de las etiquetas, lo que facilita la gestión, la búsqueda y el filtrado automáticos de etiquetas y recursos.

• Es mejor usar demasiadas etiquetas que pocas etiquetas.

• Recuerde que es fácil cambiar las etiquetas para adaptarlas a los requisitos empresariales cambiantes, pero tenga en cuenta las consecuencias de los cambios futuros. Por ejemplo, cambiar las etiquetas de control de acceso significa que también debe actualizar las políticas que hacen referencia a esas etiquetas y controlar el acceso a los recursos.

• Puede hacer cumplir automáticamente los estándares de etiquetado que su organización decida adoptar mediante la creación e implementación de políticas de etiquetas con AWS Organizations. Las políticas de etiquetas permiten especificar reglas de etiquetado que definen los nombres de clave válidos y los valores válidos para cada clave. Puede elegir solo monitorear, lo cual le da la oportunidad de evaluar y limpiar las etiquetas existentes. Una vez que las etiquetas cumplan con los estándares que haya elegido, podrá activar su cumplimiento en las políticas de etiquetas para evitar que se creen etiquetas que no cumplan con los requisitos. Para obtener más información, consulte Políticas de etiquetas en la Guía del usuario de AWS Organizations.

Etiquetado de categorías

Las empresas que son más eficaces en el uso de etiquetas suelen crear agrupaciones de etiquetas relevantes para el negocio para organizar sus recursos en las dimensiones técnicas, de negocio y de seguridad. Las empresas que utilizan procesos automatizados para administrar su infraestructura también incluyen etiquetas adicionales específicas de automatización.

Etiquetas técnicas	Etiquetas para la automatización	Etiquetas comerciales	Etiquetas de seguridad
Nombre: identifica recursos individuales. ID de la aplicación: identifica los recursos que están relacionados con una aplicación específica. Rol de la aplicación: describe la función de un recurso determinado (como servidor web, agente de mensajes y base de datos). Clúster: identifica granjas de recursos que comparten una configuración común y realizan una función específica para una aplicación. Entorno: distingue entre recursos de desarrollo, prueba y producción. Versión: ayuda a distinguir entre versiones de recursos o aplicaciones.	Fecha/Hora: identifica la fecha u hora en que se debe iniciar, parar, eliminar o rotar un recurso. Alta/Baja: indica si un recurso debe incluirse en una actividad automatizada, como iniciar, parar o cambiar el tamaño de instancias. Seguridad: determina los requisitos, como el cifrado o la habilitación de registros de flujo de Amazon VPC; identifica las tablas de enrutamiento o los grupos de seguridad que necesitan un examen adicional.	Proyecto: identifica los proyectos que admite el recurso. Propietario: identifica quién es responsable del recurso. Centro de costos/unidad de negocio: identifica el centro de costos o la unidad de negocio asociados a un recurso, normalmente para la asignación y el seguimiento de costos. Cliente: identifica un cliente específico al que sirve un determinado grupo de recursos.	Confidencialidad: un identificador para el nivel concreto de confidencialidad de los datos que admite un recurso. Conformidad: un identificador para cargas de trabajo que deben cumplir requisitos específicos de conformidad.

Límites y requisitos de nomenclatura de etiquetas

Los siguientes requisitos básicos de nomenclatura y uso se aplican a las etiquetas:

• Cada recurso puede tener un máximo de 50 etiquetas creadas por el usuario.

• Las etiquetas creadas por el sistema que comienzan por aws: están reservadas para uso de AWS y no cuentan con este límite. No puede editar ni eliminar una etiqueta que comience con el prefijo aws:.

• Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.

• La clave de etiqueta debe tener un mínimo de 1 y un máximo de 128 caracteres Unicode en UTF-8.

• El valor de etiqueta debe ser un mínimo de 0 y un máximo de 256 caracteres Unicode en UTF-8.

• Los caracteres permitidos pueden variar según el servicio de AWS. Para obtener información sobre los caracteres que puede utilizar para etiquetar recursos en un servicio de AWS concreto, consulte su documentación. Normalmente, los caracteres permitidos son letras, números y espacios representables en UTF-8, además de los siguientes caracteres: _ . : / = + - @.

• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Como práctica recomendada, decida una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los tipos de recursos. Por ejemplo, decida si se va a utilizar Costcenter, costcenter o CostCenter y utilice la misma convención para todas las etiquetas. Procure no utilizar etiquetas similares con un tratamiento de mayúsculas y minúsculas incoherente.

Estrategias habituales de etiquetado

Utilice las siguientes estrategias de etiquetado para ayudar a identificar y administrar recursos de AWS.

Etiquetas para la organización de recursos

Las etiquetas son una buena manera de organizar recursos de AWS en la AWS Management Console. Puede configurar etiquetas para que se muestren con recursos y puede buscar y filtrar por etiquetas. Con el servicio AWS Resource Groups, puede crear grupos de recursos de AWS basados en una o más etiquetas o partes de etiquetas. También puede crear grupos en función de su aparición en una pila de AWS CloudFormation. Con los grupos de recursos y el editor de etiquetas, puede consolidar y consultar datos de aplicaciones que consten de varios servicios, recursos y regiones en un solo lugar.

Etiquetas para la asignación de costos

AWS Cost Explorer y los informes de facturación detallados le permiten desglosar los costos de AWS por etiqueta. Normalmente, se utilizan etiquetas de negocio como centro de costos/unidad de negocio, cliente o proyecto para asociar costos de AWS con dimensiones de asignación de costos tradicionales. Sin embargo, un informe de asignación de costos puede incluir cualquier etiqueta. Eso le permite asociar los costos con dimensiones técnicas o de seguridad, como aplicaciones, entornos o programas de conformidad específicos. A continuación, se muestra un ejemplo de un informe de asignación de costos parcial.

Para algunos servicios, puede usar una etiqueta createdBy generada por AWS con fines de asignación de costos, para ayudar a contabilizar los recursos que de otro modo podrían quedar sin clasificar. La etiqueta createdBy solo está disponible para servicios y recursos de AWS compatibles. Su valor contiene datos asociados con eventos específicos de la API o la consola. Para obtener más información, consulte Etiquetas de asignación de costos generadas por AWS en la Guía del usuario de AWS Billing and Cost Management.

Etiquetas para la automatización

Las etiquetas específicas de recursos o servicios se utilizan a menudo para filtrar recursos durante las actividades de automatización. Las etiquetas de automatización se utilizan para incluir o excluir tareas automatizadas o para identificar versiones específicas de recursos para su archivado, actualización o eliminación. Por ejemplo, puede ejecutar los scripts automatizados stop o start que desactivan entornos de desarrollo durante horas no laborables para reducir costos. En este escenario, las etiquetas de instancia de Amazon Elastic Compute Cloud (Amazon EC2) son una forma sencilla de identificar instancias que deben excluirse de esta acción. Para los scripts que buscan y eliminan instantáneas de Amazon EBS obsoletas o sucesivasout-of-date, las etiquetas de las instantáneas pueden agregar una dimensión adicional de criterios de búsqueda.

Etiquetas para el control de acceso

Las políticas de IAM admiten condiciones basadas en etiquetas, lo que le permite restringir los permisos de IAM en función de etiquetas o valores de etiqueta específicos. Por ejemplo, los permisos de rol o usuario de IAM pueden incluir condiciones para limitar las llamadas a la API de EC2 a entornos específicos (como desarrollo, prueba o producción) en función de sus etiquetas. La misma estrategia se puede usar para limitar las llamadas a la API de redes específicas de Amazon Virtual Private Cloud (Amazon VPC). La compatibilidad con permisos de IAM de nivel de recursos basados en etiquetas es específica del servicio. Cuando utilice condiciones basadas en etiquetas para el control de acceso, asegúrese de definir y restringir quién puede modificar las etiquetas. Para obtener más información sobre cómo utilizar etiquetas para controlar el acceso de la API a AWS los recursos de, consulte AWSServicios que funcionan con IAM, consulte los servicios que funcionan con IAM.

Control del etiquetado

Una estrategia de etiquetado eficaz consiste en utilizar etiquetas estandarizadas y aplicarlas de manera coherente y mediante programación a los recursos de AWS. Puede usar enfoques reactivos y proactivos para controlar las etiquetas de su entorno de AWS.

• El gobierno reactivo se utiliza para encontrar recursos que no están correctamente etiquetados mediante herramientas como la API de etiquetado de grupos de recursos, Reglas de AWS Config y scripts personalizados. Para buscar recursos manualmente, puede usar el editor de etiquetas y los informes de facturación detallados.

• La gobernanza proactiva utiliza herramientas como AWS CloudFormation, Service Catalog, políticas de etiquetas de AWS Organizations o permisos de nivel de recursos de IAM para garantizar que las etiquetas estandarizadas se apliquen de forma consistente cuando se crean recursos.

  Por ejemplo, puede utilizar la propiedad de AWS CloudFormation Resource Tags para aplicar etiquetas a tipos de recursos. En Service Catalog, puede agregar etiquetas de cartera y de productos que se combinen y se apliquen a un producto automáticamente cuando este se lance. Las formas más estrictas de gobierno proactivo incluyen tareas automatizadas. Por ejemplo, puede utilizar la API de etiquetado de grupos de recursos para buscar etiquetas de un entorno de AWS o ejecutar scripts para poner en cuarentena o eliminar recursos etiquetados incorrectamente.

Más información

Esta página proporciona información general sobre el etiquetado de recursos de AWS. Para obtener más información sobre el etiquetado de recursos en un servicio de AWS concreto, consulte su documentación. Las siguientes son también fuentes de información útiles sobre el etiquetado:

• Para obtener más información sobre AWS Resource Groups Tagging API, consulte la Guía de referencia de la API de etiquetado de grupos de recursos.

• Para obtener información sobre el Editor de etiquetas, consulte Editor de etiquetas en esta guía.

• Para obtener información sobre la funcionalidad de etiquetado que Servicio de AWS proporciona cada uno, consulte la documentación del servicio en el índice de AWS documentación.

• Para obtener información sobre cómo utilizar etiquetas en las políticas de IAM para controlar quién puede consultar e interactuar con sus AWS recursos de, consulte en la Guía del usuario de IAM.