AWS Organizations: Políticas de etiquetas

Las políticas de AWS Organizations le permiten aplicar tipos adicionales de administración a las Cuentas de AWS de la organización. Una política de etiquetas es la forma en que puede expresar el esquema de etiquetado en formato JSON para que la plataforma pueda informar y, opcionalmente, aplicar el esquema en el entorno de AWS. La política de etiquetas define los valores que son aceptables para una clave de etiqueta en tipos de recursos específicos. Esta política puede tener la forma de una lista de valores o de un prefijo seguido de un carácter comodín (*). El enfoque de prefijo simple es menos riguroso que una lista discreta de valores, pero requiere menos mantenimiento.

Los siguientes ejemplos muestran cómo definir una política de etiquetado para validar los valores que son aceptables para una clave determinada. Partiendo de la definición tabular del esquema sencilla, puede transcribir esta información en una o más políticas de etiquetas. Se pueden usar políticas independientes para respaldar la propiedad delegada o es posible que algunas políticas solo se apliquen en escenarios específicos.

ExampleInc-CostAllocation.json

A continuación, se muestra un ejemplo de una política de etiquetas que informa sobre las etiquetas de asignación de costos:

{
  "tags": {
    "example-inc:cost-allocation:ApplicationId": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:ApplicationId"
      },
      "tag_value": {
        "@@assign": [
          "DataLakeX",
          "RetailSiteX"
        ]
      }
    },
    "example-inc:cost-allocation:BusinessUnitId": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:BusinessUnitId"
      },
      "tag_value": {
        "@@assign": [
          "Architecture",
          "DevOps",
          "FinanceDataLakeX"
        ]
      }
    },
    "example-inc:cost-allocation:CostCenter": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:CostCenter"
      },
      "tag_value": {
        "@@assign": [
          "123-*"
        ]
      }
    }
  }
}

ExampleInc-DisasterRecovery.json

A continuación, se muestra un ejemplo de una política de etiquetas que informa sobre las etiquetas de recuperación de desastres:

{
    "tags": {
        "example-inc:disaster-recovery:rpo": {
            "tag_key": {
                "@@assign": "example-inc:disaster-recovery:rpo"
            },
            "tag_value": {
                "@@assign": [
                    "6h",
                    "24h"
                ]
            }
        }        
    }
}

En este ejemplo, la política de etiquetas ExampleInc-CostAllocation se adjunta a la unidad organizativa Workloads y, por lo tanto, se aplica a todas las cuentas de las unidades organizativas secundarias Prod y Test. Del mismo modo, la política de etiquetas ExampleInc-DisasterRecovery se adjunta a la unidad organizativa Prod y, por lo tanto, solo se aplica a las cuentas por debajo de esta unidad organizativa. El documento técnico Organización del entorno mediante varias cuentas analiza con más detalle las estructuras de las unidades organizativas recomendadas.

Asociación de las políticas de etiquetas a una estructura de unidad organizativa

Al examinar la cuenta de marketing-prod en el diagrama, ambas políticas de etiquetas se aplican a esta cuenta, por lo que tenemos el concepto de una política efectiva, que es la convolución de las políticas de un tipo determinado que se aplican a una cuenta. Si administra los recursos principalmente de forma manual, puede revisar la política vigente consultando Grupos de recursos y editor de etiquetas: políticas de etiquetas en la consola. Si utiliza la infraestructura como código (IaC) o secuencias de comandos para administrar los recursos, puede utilizar la llamada a la API AWS::Organizations::DescribeEffectivePolicy.