Création, mise à jour et suppression de politiques de balises

Dans cette rubrique :

• Après avoir activé les politiques de balises pour votre organisation, vous pouvez créer une politique de balises.

• Lorsque vos exigences de balisage changent, vous pouvez mettre à jour une politique existante.

• Lorsque vous n'avez plus besoin d'une politique et que vous l'avez détachée de toutes les UO et de tous les comptes, vous pouvez la supprimer.

Important

Les ressources non balisées n'apparaissent pas dans les résultats comme étant non conformes.

Création d'une politique de balises

Autorisations minimales

Pour créer des politiques de balises, vous avez besoin d'une autorisation pour effectuer l'action suivante :

• organizations:CreatePolicy

Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :

• Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.

• Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.

L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'opérateur de réglage de valeur @@assign et ne fournit aucun accès aux opérateurs de contrôle enfants. Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.

AWS Management Console

Pour créer une politique de balises

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Politiques de balises, choisissez Créer une politique.

3. Dans la page Créer une politique, saisissez un Nom de politique et une description facultative pour la politique.

4. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à l'objet de politique lui-même. Ces balises ne font pas partie de la politique. Pour cela, choisissez Ajouter une balise, puis saisissez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez Balisage de ressources AWS Organizations.

5. Vous pouvez créer la politique de balises à l'aide de l'éditeur visuel, comme décrit dans cette procédure. Vous pouvez également saisir ou coller une politique de balises dans l'onglet JSON. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez Syntaxe des politiques de balises.

   Pour Nouvelle clé de balise 1, spécifiez le nom d'une clé de balise à ajouter.

6. Laissez la case Conformité de la capitalisation de la clé de balise désactivée (par défaut) pour spécifier que la politique de balises parente héritée, si elle existe, doit définir le traitement de la casse pour la clé de balise.

   Cochez cette option si vous souhaitez exiger une capitalisation spécifique pour la clé de balise à l'aide de cette politique. Si vous cochez cette case, la capitalisation que vous avez spécifiée pour la clé de balise remplace le traitement de la casse spécifié dans une politique parente héritée.

   Si aucune politique parente n'existe et que vous ne sélectionnez pas cette option, seules les clés de balise ne comportant que des caractères minuscules sont considérées comme conformes. Pour de plus amples informations sur l'héritage des politiques parentes, consultez Fonctionnement de l'héritage des politiques de gestion.

   Astuce

   Envisagez d'utiliser l'exemple de politique de balises fourni sous la rubrique Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation pour vous aider à créer une politique de balises qui définit des clés de balise et leur traitement de la casse. Attachez-la à la racine de l'organisation. Vous pourrez créer et attacher ultérieurement des politiques de balises supplémentaires à des unités d'organisation ou à des comptes pour créer des règles de balisage supplémentaires.

7. Activez Conformité de la valeur de balise si vous souhaitez ajouter des valeurs autorisées pour cette clé de balise aux valeurs éventuellement héritées d'une politique parente.

   Par défaut, cette case est désactivée, ce qui signifie que seules les valeurs héritées d'une politique parente sont considérées comme conformes. Si aucune politique parente n'existe ou ne spécifie de valeurs de balise, toutes les valeurs (y compris aucune valeur) sont considérées comme conformes.

   Pour mettre à jour la liste des valeurs de balise admises, sélectionnez Spécifier des valeurs admises pour cette clé de balise, puis Spécifier des valeurs. Lorsque vous y êtes invité, entrez les nouvelles valeurs (une par case) et choisissez Enregistrer les modifications.

8. Laissez la case Empêcher les opérations non conformes pour cette balise désactivée (par défaut), sauf si vous êtes familiarisé avec l'utilisation de politiques de balises. Veillez à consulter les recommandations de la rubrique Présentation de l'application de la conformité et procédez à des tests minutieux. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin.

   Si vous souhaitez appliquer la conformité à cette clé de balise, cochez la case, puis sélectionnez Spécifier les valeurs admises. Lorsque vous y êtes invité, sélectionnez les types de ressources à inclure dans la politique. Ensuite, choisissez Enregistrer les modifications.

   Important

   Lorsque vous sélectionnez cette option, toutes les opérations qui manipulent des balises pour des ressources dont le type est spécifié ne réussissent que si l'opération aboutit à des balises conformes à la politique.

9. (Facultatif) Pour ajouter une autre clé de balise à cette politique de balises, choisissez Ajouter une clé de balise. Ensuite, effectuez les étapes 6 à 9 pour définir la clé de balise.

10. Lorsque vous avez terminé de créer votre politique de balises, choisissez Enregistrer les modifications.

AWS CLI & AWS SDKs

Pour créer une politique de balises

Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de balises :

• AWS CLI : create-policy

  Vous pouvez utiliser un éditeur de texte quelconque pour créer une politique de balises. Utilisez la syntaxe JSON et enregistrez la politique de balises dans un fichier portant un nom et une extension quelconque à l'emplacement de votre choix. Les politiques de balises peuvent comporter un maximum de 2 500 caractères, espaces inclus. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez Syntaxe des politiques de balises.

  Pour créer une politique de balises

  1. Créez dans un fichier texte une politique de balises semblable à la suivante :

     Contenu de testpolicy.json :

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     Cette politique de balises définit la clé de balise CostCenter. La balise peut accepter n'importe quelle valeur ou aucune valeur. Une telle politique signifie qu'une ressource à laquelle le CostCenter tag est attaché avec ou sans valeur est conforme.

  2. Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDK : CreatePolicy

Suite des opérations

Après avoir créé une politique de balises, vous pouvez mettre en application vos règles de balisage. Pour ce faire, attachez la politique à la racine de l'organisation, aux unités organisationnelles (UO), Comptes AWS au sein de votre organisation ou à une combinaison d'entités de l'organisation.

Mise à jour d'une politique de balises

Autorisations minimales

Pour mettre à jour une politique de balises, vous devez avoir l'autorisation d'effectuer les actions suivantes :

• organizations:UpdatePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).

• organizations:DescribePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).

AWS Management Console

Pour mette à jour une politique de balises

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sur la page Politiques de balises, choisissez le nom de la politique que vous souhaitez mettre à jour.

3. Choisissez Modifier la politique.

4. Vous pouvez saisir un nouveau Nom de la politique et une Description de la politique. Vous pouvez modifier le contenu de la politique à l'aide de l'Éditeur visuel ou en modifiant le JSON.

5. Lorsque vous avez terminé de mettre à jour la politique de balises, choisissez Enregistrer les modifications.

AWS CLI & AWS SDKs

Pour mettre à jour une politique

Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :

• AWS CLI : update-policy

  L'exemple suivant renomme une politique de balises.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed tag policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
          "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  L'exemple suivant ajoute ou remplace la description d'une politique de balises.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new tag policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
         "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  L'exemple suivant modifie le document de politique JSON attaché à une politique de désactivation des services IA. Dans cet exemple, le contenu est extrait d'un fichier appelé policy.json et contenant le texte suivant :

  {
    "tags": {
      "Stage": {
        "tag_key": {
          "@@assign": "Stage"
        },
        "tag_value": {
          "@@assign": [
            "Production",
            "Test"
          ]
        }
      }
    }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
  }

• AWS SDK : UpdatePolicy

Modification des balises attachées à une politique de balises

Lorsque vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer des balises attachées à une politique de balises. Pour ce faire, exécutez les étapes suivantes.

Autorisations minimales

Pour modifier les balises associées à une politique en matière de balises dans votre AWS organisation, vous devez disposer des autorisations suivantes :

• organizations:DescribeOrganization (console uniquement — pour accéder à la politique)

• organizations:DescribePolicy (console uniquement — pour accéder à la politique)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Pour modifier les balises attachées à une politique de désactivation des services IA

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Politiques de balises, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.

3. Sur la page de détails de la politique choisie, choisissez l'onglet Balises, puis Gérer les balises.

4. Vous pouvez effectuer l'une des actions suivantes sur cette page :

   • Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.

   • Vous pouvez supprimer une balise existante en choisissant Supprimer.

   • Ajoutez une nouvelle paire clé/valeur de balise. Choisissez Ajouter une balise, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ Valeur, la valeur est une chaîne vide ; elle ne prend pas la valeur null.

5. Choisissez Enregistrer les modifications une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.

AWS CLI & AWS SDKs

Pour modifier les balises attachées à une politique de balises

Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de balises :

• AWS CLI : tag-resource et untag-resource

• AWS SDK : TagResourceet UntagResource

Suppression d'une politique de balises

Quand vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer une politique dont vous n'avez plus besoin dans votre organisation.

Avant de supprimer une politique, vous devez d'abord la détacher de toutes les entités attachées.

Autorisations minimales

Pour supprimer une politique de balises, vous devez avoir l'autorisation d'effectuer l'action suivante :

• organizations:DeletePolicy

AWS Management Console

Pour supprimer une politique de balises

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

3. Sur la page Politiques de balises, choisissez la politique que vous souhaitez supprimer.

4. La politique à supprimer doit d'abord être détachée de l'ensemble des racines, unités d'organisation et comptes. Choisissez l'onglet Cibles, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste Cibles, puis choisissez Détacher. Dans la boîte de dialogue de confirmation, choisissez Détacher.

5. En haut de la page, choisissez Supprimer.

6. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez Supprimer.

AWS CLI et AWS SDK

Pour supprimer une politique de sauvegarde

Les exemples de code suivants montrent comment utiliserDeletePolicy.

.NET

AWS SDK for .NET

Note

Il y en a plus sur GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Pour plus de détails sur l'API, reportez-vous DeletePolicyà la section Référence des AWS SDK for .NET API.

CLI

AWS CLI

Pour supprimer une politique

L'exemple suivant montre comment supprimer une politique d'une organisation. L'exemple suppose que vous avez précédemment détaché la politique de toutes les entités :

aws organizations delete-policy --policy-id p-examplepolicyid111

• Pour plus de détails sur l'API, reportez-vous DeletePolicyà la section Référence des AWS CLI commandes.

Python

SDK pour Python (Boto3)

Note

Il y en a plus sur GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Pour plus de détails sur l'API, consultez DeletePolicyle AWS manuel de référence de l'API SDK for Python (Boto3).