Marquage pour la répartition des coûts ou le contrôle d'accès basé sur les attributs (ABAC)

Une AWS balise est une paire clé-valeur qui contient des métadonnées. Vous attachez les balises à vos ressources Amazon S3, telles que des buckets. Vous pouvez étiqueter les ressources lorsque vous les créez ou gérer les balises des ressources existantes. L'utilisation de balises n'entraîne aucun frais supplémentaire au-delà des taux de requêtes standard de l'API S3. Pour plus d’informations, consultez Tarification Amazon S3.

Comment fonctionnent les tags

Amazon S3 prend en charge deux types de balises :

• AWS-tags générés : applique AWS automatiquement ces tags, et vous ne pouvez ni les modifier ni les supprimer. Pour en savoir plus sur les balises AWS générées, consultez la section Utilisation des balises AWS générées par -generated.

• Balises définies par l'utilisateur : vous appliquez ces balises à vos ressources S3 et vous les gérez.

Balises définies par l'utilisateur

Une balise définie par l'utilisateur est une paire clé-valeur de balise que vous utilisez pour étiqueter vos ressources. Les balises définies par l'utilisateur se composent d'une clé obligatoire et d'une valeur facultative. Voici les principaux composants d'une balise définie par l'utilisateur :

La clé du tag

La clé de balise correspond au nom obligatoire de la balise. Par exemple, la clé de balise project se trouve-t-elle dans la paire clé-valeur de balise suivante :

Clé	Valeur
project	Trinity

La clé de balise est une chaîne sensible aux majuscules et minuscules qui doit contenir entre 1 et 128 caractères Unicode. Les clés ne peuvent contenir que des lettres ou des chiffres Unicode, des espaces blancs et les symboles suivants :

• _- souligner

• .- période

• :- côlon

• /- barre oblique

• =- signe égal

• +- signe plus

• @- au panneau

• -- tiret

La valeur du tag

La valeur de la balise est une chaîne facultative. Par exemple, la valeur Trinity de la balise dans cette paire clé-valeur de balise est-elle :

Clé	Valeur
project	Trinity

La valeur de la balise est une chaîne sensible aux majuscules et minuscules qui peut contenir entre 0 et 256 caractères Unicode. Les valeurs ne peuvent contenir que des lettres ou des chiffres Unicode, des espaces blancs et les symboles suivants :

• _- souligner

• .- période

• :- côlon

• /- barre oblique

• =- signe égal

• +- signe plus

• @- au panneau

• -- tiret

Pour plus de détails sur les caractères autorisés dans les balises définies par l'utilisateur et sur les autres restrictions, consultez la section Restrictions relatives aux balises définies par l'utilisateur dans le guide de l'AWS Billing and Cost Management utilisateur.

Le set de tags

Chaque ressource S3 possède un ensemble de balises qui contient toutes les paires clé/valeur de balise attribuées à ce compartiment. Un jeu de balises peut être vide ou contenir jusqu'à 50 balises définies par l'utilisateur, sauf dans le cas du balisage d'objets. Les objets ne peuvent comporter que 10 balises.

Bien que chaque clé doive être unique dans un ensemble de balises, vous pouvez utiliser la même valeur plusieurs fois. Par exemple, vous pouvez avoir la même valeur pour Trinity les deux clés de balise suivantes :

Clé	Valeur
project	Trinity
cost-center	Trinity

Lorsque vous ajoutez une balise dont la clé est identique à celle d'une balise existante, la nouvelle valeur remplace l'ancienne valeur.

AWS n'applique aucune signification sémantique à vos balises. Nous interprétons les balises de façon stricte, en tant que chaîne de caractères.

Pour ajouter, répertorier, modifier ou supprimer des balises, vous pouvez utiliser la console Amazon S3, l'interface de ligne de AWS commande (AWS CLI) ou l'API Amazon S3.

Méthodes courantes d'utilisation des balises

Utilisez des balises sur vos ressources S3 pour :

1. Répartition des coûts — Suivez les coûts de stockage par compartiment AWS Billing and Cost Management.

2. Contrôle d'accès basé sur les attributs (ABAC) : adaptez les autorisations d'accès et accordez l'accès aux ressources S3 en fonction de leurs balises.

Note

Vous pouvez utiliser les mêmes balises pour la répartition des coûts et le contrôle d'accès.

Utilisation de balises pour la répartition des coûts

Suivez vos coûts de stockage Amazon S3 en appliquant des balises aux ressources S3 et en activant ces balises pour la répartition des coûts.

Pour commencer à suivre les coûts :

1. Ajoutez des balises à vos ressources S3 ou utilisez des balises existantes. Par exemple, vous pouvez étiqueter les buckets avec une balise identifiant un projet ou un groupe de projets.

2. Activez les balises pour la répartition des coûts dans la AWS Billing and Cost Management console. Voir Activation des balises de répartition des coûts définies par l'utilisateur dans le guide de AWS Billing and Cost Management l'utilisateur. Vous pouvez activer les balises définies ou AWS générées par l'utilisateur. Pour plus d'informations, voir Organisation et suivi des coûts à l'aide de balises de répartition des AWS coûts.

AWS utilise les balises activées pour organiser vos coûts de ressources dans divers outils de facturation et de gestion des coûts, tels que :

• Rapport de répartition des coûts

  Fournit une vue d'ensemble des coûts organisés en fonction de vos balises activées. Pour plus d'informations, consultez la section Utilisation du rapport mensuel de répartition des coûts dans le Guide AWS de l'utilisateur de facturation.

• Rapport sur les coûts et l'utilisation (CUR)

  Fournit l'ensemble le plus détaillé de données sur les AWS coûts et l'utilisation, y compris des ventilations des coûts basées sur des balises. Pour plus d'informations, voir Que sont les rapports de AWS coûts et d'utilisation ? dans le Guide de l'utilisateur de AWS Data Export.

Ressources Amazon S3 qui prennent en charge les coûts de suivi à l'aide de balises

Les ressources Amazon S3 suivantes prennent en charge le suivi des coûts de stockage à l'aide de balises.

• Compartiments de répertoire

  Pour plus d'informations, consultez la section Gestion des balises pour les compartiments de répertoire.

• Seaux à usage général

  Pour plus d'informations, consultez la section Gestion des balises pour les compartiments à usage général.

Utilisation de balises pour le contrôle d'accès basé sur les attributs (ABAC)

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs, c'est-à-dire des balises. Vous pouvez associer des balises à des entités AWS Identity and Access Management (IAM) (utilisateurs ou rôles) et à des AWS ressources, telles que les points d'accès Amazon S3 et les compartiments d'annuaire. Vous contrôlez ensuite les autorisations d'accès à ces ressources à l'aide de conditions basées sur des balises dans les politiques de contrôle d'accès afin d'autoriser ou de refuser les opérations lorsque ces conditions sont remplies.

Avec ABAC, vous utilisez des clés de condition basées sur des balises dans vos AWS organisations, IAM et les politiques de ressources S3. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.

Dans vos politiques IAM, vous pouvez contrôler l'accès aux ressources S3 en fonction des balises du compartiment à l'aide de clés de condition.

Clés de condition prises en charge

Vous pouvez utiliser les clés de AWS condition suivantes pour toutes les ressources Amazon S3 compatibles avec ABAC.

• aws:ResourceTag/key-name

• aws:RequestTag/key-name

• aws:TagKeys

Certaines ressources prennent en charge des clés de condition Amazon S3 supplémentaires. Pour obtenir la liste complète des clés de condition pouvant être utilisées pour ABAC et des exemples de politiques, consultez les rubriques de balisage suivantes relatives à la ressource.

Ressources Amazon S3 compatibles avec ABAC

Les ressources Amazon S3 suivantes prennent en charge le contrôle d'accès basé sur les attributs (ABAC) à l'aide de balises.

• Points d'accès

  Pour plus d’informations, consultez Utilisation de balises avec des points d'accès S3 pour des compartiments à usage général et Utilisation de balises avec des points d'accès S3 pour les compartiments de répertoire.

• Tâches liées aux opérations par lots

  Pour de plus amples informations, veuillez consulter Contrôle de l’accès et étiquetage des tâches à l’aide d’étiquettes.

• Compartiments de répertoire

  Pour de plus amples informations, veuillez consulter Utilisation de balises avec des compartiments de répertoire S3.

• Objets

  Pour de plus amples informations, veuillez consulter Catégorisation de vos objets à l'aide de balises.

• Subventions d'accès S3

  Pour de plus amples informations, veuillez consulter Gestion des balises pour les subventions d'accès S3.

• Groupes de lentilles de stockage S3

  Pour de plus amples informations, veuillez consulter Gestion des balises de AWS ressources avec les groupes Storage Lens.

Planification de votre stratégie de marquage

Nous vous recommandons de concevoir un ensemble de clés d’étiquette répondant à vos besoins pour chaque type de ressource. L’utilisation d’un ensemble de clés de balise cohérent facilite la gestion de vos ressources. Vous pouvez rechercher et filtrer les ressources en fonction des étiquettes que vous ajoutez. Pour plus d'informations sur la mise en œuvre d'une stratégie de balisage des ressources efficace, consultez le livre blanc sur les meilleures pratiques AWS en matière de balisage.

Bonnes pratiques pour le balisage des ressources Amazon S3

Lorsque vous utilisez des balises, nous vous recommandons de suivre les bonnes pratiques suivantes :

• Documentez les conventions relatives à l'utilisation des balises qui sont suivies par toutes les équipes de votre organisation. En particulier, assurez-vous que les noms sont à la fois descriptifs et cohérents. Par exemple, normalisez le format environment:prod plutôt que d'étiqueter certaines ressources avec. env:production

  Important

  Ne stockez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans des balises.

• Automatisez le balisage pour garantir la cohérence. Par exemple, vous pouvez inclure des balises dans un AWS CloudFormation modèle. Lorsque vous créez des ressources à l'aide du modèle, elles sont étiquetées automatiquement.

• N'utilisez des balises que lorsque cela est nécessaire. Évitez la prolifération et la complexité inutiles des balises.

• Vérifiez régulièrement la pertinence et l'exactitude des balises. Supprimez ou modifiez les balises obsolètes selon vos besoins.

• Envisagez de créer des balises à l'aide de l'éditeur de AWS balises de la console AWS de gestion. Vous pouvez utiliser l'éditeur de balises pour ajouter des balises à plusieurs AWS ressources prises en charge, y compris les ressources Amazon S3, en même temps. Pour plus d'informations, consultez la section Tag Editor dans le Guide de l'utilisateur d'AWS Resource Groups.

Gestion des balises pour les ressources Amazon S3

Pour plus d'informations sur la gestion des balises pour les ressources Amazon S3, consultez les pages suivantes :

• Gestion des balises pour les points d'accès pour les buckets à usage général

• Gestion des balises pour les points d'accès pour les compartiments d'annuaire

• Contrôle de l’accès et étiquetage des tâches à l’aide d’étiquettes

• Gestion des balises pour les compartiments de répertoires

• Gestion des balises pour les compartiments à usage général

• Catégorisation de vos objets à l'aide de balises

• Gestion des balises pour les subventions d'accès S3

• Gestion des balises de AWS ressources avec les groupes Storage Lens