Comment ajouter des tags Bonnes pratiques Catégories de balisage Limites et exigences de dénomination des balises Stratégies de balisage courantes Gouvernance du balisage En savoir plus

Balisage de vos ressources AWS

Les balises sont des paires de clés et de valeurs qui jouent le rôle de métadonnées pour organiser vos ressources AWS. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises lorsque vous créez la ressource. Les exemples de ressources incluent une instance Amazon Elastic Compute Cloud (Amazon EC2), un bucket Amazon Simple Storage Service (Amazon S3) ou un secret in. AWS Secrets Manager

Important

Ne stockez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans des balises. Nous utilisons des tags pour vous fournir des services de facturation et d'administration. Les étiquettes ne sont pas destinées à être utilisées pour des données privées ou sensibles.

Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer des ressources. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères.

Chaque balise se compose de deux parties :

Une clé de balise (par exemple, CostCenter, Environment ou Project). Les clés de balises sont sensibles à la casse.
Une valeur de balise (par exemple, 111122223333 ou Production). Les valeurs de balise sont sensibles à la casse, tout comme les clés de balise.

Vous pouvez utiliser les balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères.

Comment ajouter des balises à vos AWS ressources

Il existe trois méthodes pour ajouter des balises à vos AWS ressources :

Service AWSFonctionnement de l'API — Les opérations d'API de balisage sont prises en charge directement par unService AWS. Pour découvrir les fonctionnalités de balisage proposées par Service AWS chacun, consultez la documentation du service dans l'index de la AWS documentation.
Console de l'éditeur de balises : certains services prennent également en charge le balisage à l'aide de la console de l'éditeur de AWS balises.
API de balisage Resource Groups — La plupart des services prennent également en charge le balisage à l'aide du. AWS Resource Groups Tagging API

Vous pouvez étiqueter les ressources pour tous les services générateurs de coûts dans AWS. Pour les services suivants, AWS recommande une alternative plus récente Services AWS prenant en charge le balisage afin de mieux répondre aux cas d'utilisation des clients.

Amazon Cloud Directory	Amazon CloudSearch	Amazon Cognito Sync
AWS Data Pipeline	Amazon Elastic Transcoder	Amazon Machine Learning
AWS OpsWorks Stacks	Amazon S3 Glacier Direct	Amazon SimpleDB
Gestionnaire WorkSpaces d'applications Amazon	AWS DeepLens

Bonnes pratiques

Lorsque vous créez une stratégie de balisage pour les ressources AWS, suivez les meilleures pratiques :

N'ajoutez pas de données d'identification personnelle (PII) ou d'autres informations confidentielles ou sensibles dans les étiquettes. Les étiquettes accessibles à de nombreux services AWS, y compris la facturation. Les étiquettes ne sont pas destinées à être utilisées pour des données privées ou sensibles.
Utilisez un format standardisé et sensible à la casse pour les balises et appliquez-le de manière cohérente à tous les types de ressources.
Optez pour des directives de balisage qui prennent en charge plusieurs objectifs, comme la gestion du contrôle d'accès aux ressources, le suivi des coûts, l'automatisation et l'organisation.
Utilisez des outils automatisés pour gérer les balises de ressources. L'éditeur de balises et l'API Resource Groups Tagging permettent le contrôle programmatique des balises, ce qui facilite la gestion, la recherche et le filtrage automatiques des balises et des ressources.
Utilisez trop de balises plutôt que trop peu.
N'oubliez pas qu'il est facile de modifier les étiquettes pour s'adapter aux besoins en évolution de l'entreprise, mais tenez compte des conséquences des changements futurs. Par exemple, la modification des balises de contrôle d'accès signifie que vous devez également mettre à jour les stratégies qui font référence à ces balises et contrôler l'accès à vos ressources.
Vous pouvez appliquer automatiquement les normes de balisage que votre organisation choisit d'adopter en créant et en déployant des politiques de balisage en utilisant AWS Organizations. Les politiques de balisage vous permettent de définir des règles de balisage qui définissent des noms de clé valides et des valeurs valides pour chaque clé. Vous pouvez choisir de surveiller uniquement, ce qui vous permet d'évaluer et de nettoyer vos balises existantes. Une fois que vos balises sont conformes aux normes que vous avez choisies, vous pouvez activer l'application dans les politiques relatives aux balises afin d'empêcher la création de balises non conformes. Pour en savoir plus, consultez Politiques de balises dans le Guide de l'utilisateur AWS Organizations.

Catégories de balisage

Les entreprises les plus efficaces dans leur utilisation des balises créent généralement des groupes de balises pertinents pour l'entreprise afin d'organiser leurs ressources selon des dimensions techniques, commerciales et de sécurité. Les entreprises qui utilisent des processus automatisés pour gérer leur infrastructure incluent également des balises supplémentaires spécifiques à l'automatisation.

Balises techniques	Balises pour l'automatisation	Balises d'activités	Balises de sécurité
Nom – Identifie les ressources individuelles ID de l'application – Identifie les ressources liées à une application spécifique Rôle d'application – Décrit la fonction d'une ressource particulière (comme un serveur web, un agent de messages, une base de données) Cluster – Identifie les batteries de ressources qui partagent une configuration commune et exécutent une fonction spécifique pour une application Environnement – Différencie les ressources de développement, de test et de production Version – Aide à différencier les versions des ressources ou des applications	Date/Heure – Identifie la date ou l'heure de démarrage, d'arrêt, de suppression ou de rotation d'une ressource Option/désactivation – Indique si une ressource doit être incluse dans une activité automatisée telle que le démarrage, l'arrêt ou le redimensionnement des instances Sécurité – Détermine les exigences, telles que le chiffrement ou l'activation des journaux de flux Amazon VPC ; identifiez les tables de routage ou les groupes de sécurité nécessitant un contrôle supplémentaire	Projet – Identifie les projets pris en charge par la ressource Propriétaire – Identifie qui est responsable de la ressource Centre de coût/unité commerciale – Identifie le centre de coûts ou l'unité commerciale associé à une ressource, généralement pour l'allocation et le suivi des coûts Client – Identifie un client spécifique servi par un groupe particulier de ressources	Confidentialité – Identifiant pour le niveau spécifique de confidentialité des données pris en charge par une ressource. Conformité – Identifiant pour les charges de travail qui doivent respecter des exigences de conformité spécifiques

Limites et exigences de dénomination des balises

Les exigences de base suivantes s'appliquent aux balises en matière de dénomination et d'utilisation :

Chaque ressource peut avoir un maximum de 50 balises créées par l'utilisateur.
Les balises créées par le système qui commencent par aws: sont réservées à l'utilisation d'AWS et ne sont pas prises en compte dans cette limite. Vous ne pouvez pas modifier ou supprimer une balise commençant par le préfixe aws:.
Pour chaque ressource, chaque clé d'identification doit être unique, et chaque clé d'identification peut avoir une seule valeur.
La clé de balise doit comporter au minimum 1 caractère et au maximum 128 caractères Unicode en UTF-8.
La valeur de balise doit être au minimum de 0 et au maximum de 256 caractères Unicode en UTF-8.
Les caractères autorisés peuvent varier selon le service AWS. Pour plus d'informations sur les caractères que vous pouvez utiliser pour baliser les ressources d'un service AWS particulier, consultez sa documentation. En général, les caractères autorisés sont les lettres, les espaces et les chiffres représentables en UTF-8, ainsi que les caractères spéciaux suivants : _ . : / = + - @.
Les clés et valeurs de balise sont sensibles à la casse. La bonne pratique consiste à choisir une stratégie pour mettre des balises en majuscule et mettre en œuvre cette stratégie de manière cohérente sur tous les types de ressources. Par exemple, décidez si vous souhaitez utiliser Costcenter, costcenter ou CostCenter, et utilisez la même convention pour toutes les balises. Évitez d'utiliser des balises avec une incohérence de traitement de cas similaires.

Stratégies de balisage courantes

Utilisez les stratégies de balisage suivantes pour identifier et gérer les ressources AWS.

Table des matières

Balises pour l'organisation des ressources
Balises pour la répartition des coûts
Balises pour l'automatisation
Balises pour le contrôle d'accès

Balises pour l'organisation des ressources

Les balises sont un bon moyen d'organiser les ressources AWS dans le AWS Management Console. Vous pouvez configurer les balises pour qu'elles s'affichent avec les ressources, et rechercher et filtrer par balise. Avec le service AWS Resource Groups, vous pouvez créer des groupes de ressources AWS basés sur une ou plusieurs balises ou parties de balises. Vous pouvez également créer des groupes en fonction de leur occurrence dans une pile AWS CloudFormation. À l'aide des Groupes de ressources et de l'Éditeur de balises, vous pouvez regrouper et afficher les données des applications composées de plusieurs services, ressources et régions en un seul endroit.

Balises pour la répartition des coûts

AWS Cost Explorer et des rapports de facturation détaillés vous permettent de décomposer les coûts AWS par balise. En règle générale, vous utilisez des balises métier telles que le centre de coût/unité commerciale, leclient ou le projet pour associer les coûts AWS aux dimensions traditionnelles de répartition des coûts. Cependant, un rapport de répartition des coûts peut inclure n'importe quelle balise. Cela vous permet d'associer facilement des coûts à des aspects techniques ou de sécurité, tels que des applications, des environnements ou des programmes de conformité spécifiques. Voici un exemple d'état de répartition partielle des coûts.

Exemple de rapport sur la répartition des coûts basée sur les balises

Pour certains services, vous pouvez utiliser une balise createdBy générée par AWS à des fins de répartition des coûts, afin d'aider à tenir compte des ressources qui pourraient autrement ne pas être classées par catégorie. La balise createdBy n'est disponible que pour les services et les ressources AWS pris en charge. Sa valeur contient des données associées à des événements d'API ou de console spécifiques. Pour plus d'informations, veuillez consulter la section Balises de répartition des coûts générées par AWS dans le Guide de l'utilisateur AWS Billing and Cost Management.

Balises pour l'automatisation

Les balises spécifiques aux ressources ou aux services sont souvent utilisées pour filtrer les ressources pendant les activités d'automatisation. Les balises d'automatisation sont utilisées pour accepter ou refuser des tâches automatisées, ou pour identifier des versions spécifiques de ressources à archiver, mettre à jour ou supprimer. Par exemple, vous pouvez exécuter des scripts automatisés start ou stop qui désactivent les environnements de développement en dehors des heures ouvrables afin de réduire les coûts. Dans ce scénario, les balises d'instance Amazon Elastic Compute Cloud (Amazon EC2) sont un moyen simple d'identifier les cas de refus de cette action. Pour les scripts qui détectent et suppriment des instantanés Amazon EBS périmés ou en cours, les balises d'instantané peuvent ajouter une dimension supplémentaire aux critères de recherche. out-of-date

Balises pour le contrôle d'accès

Les politiques IAM prennent en charge les conditions basées sur des balises, ce qui vous permet de restreindre les autorisations IAM en fonction de balises ou de valeurs spécifiques. Par exemple, les autorisations d'utilisateur ou de rôle IAM peuvent inclure des conditions permettant de limiter les appels d'API EC2 à des environnements spécifiques (tels que le développement, le test ou la production) en fonction de leurs balises. La même stratégie peut être utilisée pour limiter les appels d'API à des réseaux Amazon Virtual Private Cloud (Amazon VPC) spécifiques. La prise en charge des autorisations IAM au niveau des ressources basées sur des balises est spécifique au service. Lorsque vous utilisez des conditions basées sur des balises pour le contrôle d'accès, assurez-vous de définir et de restreindre qui peut modifier les balises. Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès des API aux AWS ressources, consultez la section AWSServices compatibles avec IAM dans le Guide de l'utilisateur IAM.

Gouvernance du balisage

Une stratégie de balisage efficace utilise des balises standardisées et les applique de manière cohérente et programmatique aux ressources AWS. Vous pouvez utiliser des approches réactives et proactives pour régir les balises dans votre environnement AWS.

La gouvernance réactive permet de trouver des ressources qui ne sont pas balisées correctement à l'aide d'outils tels que l'API de balisage des groupes de ressources, AWS Config Rules et des scripts personnalisés. Pour rechercher des ressources manuellement, vous pouvez utiliser l'Éditeur de balises et des rapports de facturation détaillés.
La gouvernance proactive utilise des outils tels que AWS CloudFormation, Service Catalog, les stratégies de balise dans AWS Organizations ou les autorisations au niveau des ressources IAM pour garantir que les balises standardisées sont appliquées de manière cohérente lors de la création des ressources.

Par exemple, vous pouvez utiliser la propriété AWS CloudFormation Resource Tags pour appliquer des balises aux types de ressources. Dans Service Catalog, vous pouvez ajouter des balises de portefeuille et de produit qui sont combinées et appliquées automatiquement à un produit lorsqu'il est lancé. Des formes plus rigoureuses de gouvernance proactive comprennent des tâches automatisées. Par exemple, vous pouvez utiliser l'API de balisage des groupes de ressources pour rechercher les balises d'un environnement AWS ou exécuter des scripts pour mettre en quarantaine ou supprimer des ressources mal balisées.

En savoir plus

Cette page fournit des informations générales sur le balisage des ressources AWS. Pour plus d'informations sur le balisage des ressources dans un service AWS particulier, consultez sa documentation. Voici également quelques sources d'information fiables sur le balisage :

Pour plus d'informations sur AWS Resource Groups Tagging API, consultez le Guide de référence d'API de balisage de groupes de ressources.
Pour plus d'informations sur l'éditeur de balises, voir Éditeur de balises dans ce guide.
Pour plus d'informations sur les fonctionnalités de balisage Service AWS fournies par chacun d'entre eux, consultez la documentation du service dans l'index de la AWS documentation.
Pour plus d'informations sur l'utilisation de balises dans les politiques IAM afin de contrôler qui peut consulter et interagir avec vos AWS ressources, consultez la section Contrôle de l'accès aux utilisateurs et aux rôles IAM à l'aide de balises dans le Guide de l'utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de l'éditeur de balises