Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création, mise à jour et suppression de politiques de balises
Les ressources non balisées n'apparaissent pas dans les résultats comme étant non conformes.
Création d'une politique de balises
Pour créer des politiques de balises, vous avez besoin d'une autorisation pour effectuer l'action suivante :
Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'opérateur de réglage de valeur @@assign et ne fournit aucun accès aux opérateurs de contrôle enfants. Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
- AWS Management Console
-
Pour créer une politique de balises
-
Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
-
Dans la page Politiques de balises, choisissez Créer une politique.
-
Dans la page Créer une politique, saisissez un Nom de politique et une description facultative pour la politique.
-
(Facultatif) Vous pouvez ajouter une ou plusieurs balises à l'objet de politique lui-même. Ces balises ne font pas partie de la politique. Pour cela, choisissez Ajouter une balise, puis saisissez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null
. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez Balisage de ressources AWS Organizations.
-
Vous pouvez créer la politique de balises à l'aide de l'éditeur visuel, comme décrit dans cette procédure. Vous pouvez également saisir ou coller une politique de balises dans l'onglet JSON. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez Syntaxe des politiques de balises.
Pour Nouvelle clé de balise 1, spécifiez le nom d'une clé de balise à ajouter.
-
Laissez la case Conformité de la capitalisation de la clé de balise désactivée (par défaut) pour spécifier que la politique de balises parente héritée, si elle existe, doit définir le traitement de la casse pour la clé de balise.
Cochez cette option si vous souhaitez exiger une capitalisation spécifique pour la clé de balise à l'aide de cette politique. Si vous cochez cette case, la capitalisation que vous avez spécifiée pour la clé de balise remplace le traitement de la casse spécifié dans une politique parente héritée.
Si aucune politique parente n'existe et que vous ne sélectionnez pas cette option, seules les clés de balise ne comportant que des caractères minuscules sont considérées comme conformes. Pour de plus amples informations sur l'héritage des politiques parentes, consultez Fonctionnement de l'héritage des politiques de gestion.
Envisagez d'utiliser l'exemple de politique de balises fourni sous la rubrique Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation pour vous aider à créer une politique de balises qui définit des clés de balise et leur traitement de la casse. Attachez-la à la racine de l'organisation. Vous pourrez créer et attacher ultérieurement des politiques de balises supplémentaires à des unités d'organisation ou à des comptes pour créer des règles de balisage supplémentaires.
-
Activez Conformité de la valeur de balise si vous souhaitez ajouter des valeurs autorisées pour cette clé de balise aux valeurs éventuellement héritées d'une politique parente.
Par défaut, cette case est désactivée, ce qui signifie que seules les valeurs héritées d'une politique parente sont considérées comme conformes. Si aucune politique parente n'existe ou ne spécifie de valeurs de balise, toutes les valeurs (y compris aucune valeur) sont considérées comme conformes.
Pour mettre à jour la liste des valeurs de balise admises, sélectionnez Spécifier des valeurs admises pour cette clé de balise, puis Spécifier des valeurs. Lorsque vous y êtes invité, entrez les nouvelles valeurs (une par case) et choisissez Enregistrer les modifications.
-
Laissez la case Empêcher les opérations non conformes pour cette balise désactivée (par défaut), sauf si vous êtes familiarisé avec l'utilisation de politiques de balises. Veillez à consulter les recommandations de la rubrique Présentation de l'application de la conformité et procédez à des tests minutieux. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin.
Si vous souhaitez appliquer la conformité à cette clé de balise, cochez la case, puis sélectionnez Spécifier les valeurs admises. Lorsque vous y êtes invité, sélectionnez les types de ressources à inclure dans la politique. Ensuite, choisissez Enregistrer les modifications.
Lorsque vous sélectionnez cette option, toutes les opérations qui manipulent des balises pour des ressources dont le type est spécifié ne réussissent que si l'opération aboutit à des balises conformes à la politique.
-
(Facultatif) Pour ajouter une autre clé de balise à cette politique de balises, choisissez Ajouter une clé de balise. Ensuite, effectuez les étapes 6 à 9 pour définir la clé de balise.
-
Lorsque vous avez terminé de créer votre politique de balises, choisissez Enregistrer les modifications.
- AWS CLI & AWS SDKs
-
Pour créer une politique de balises
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de balises :
-
AWS CLI : create-policy
Vous pouvez utiliser un éditeur de texte quelconque pour créer une politique de balises. Utilisez la syntaxe JSON et enregistrez la politique de balises dans un fichier portant un nom et une extension quelconque à l'emplacement de votre choix. Les politiques de balises peuvent comporter un maximum de 2 500 caractères, espaces inclus. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez Syntaxe des politiques de balises.
Pour créer une politique de balises
-
Créez dans un fichier texte une politique de balises semblable à la suivante :
Contenu de testpolicy.json
:
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
Cette politique de balises définit la clé de balise CostCenter
. La balise peut accepter n'importe quelle valeur ou aucune valeur. Une telle politique signifie qu'une ressource à laquelle le CostCenter tag est attaché avec ou sans valeur est conforme.
-
Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.
$
aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
-
AWS SDK : CreatePolicy
Suite des opérations
Après avoir créé une politique de balises, vous pouvez mettre en application vos règles de balisage. Pour ce faire, attachez la politique à la racine de l'organisation, aux unités organisationnelles (UO), Comptes AWS au sein de votre organisation ou à une combinaison d'entités de l'organisation.
Mise à jour d'une politique de balises
Pour mettre à jour une politique de balises, vous devez avoir l'autorisation d'effectuer les actions suivantes :
-
organizations:UpdatePolicy
avec un élément Resource
dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).
-
organizations:DescribePolicy
avec un élément Resource
dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).
- AWS Management Console
-
Pour mette à jour une politique de balises
-
Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
-
Sur la page Politiques de balises, choisissez le nom de la politique que vous souhaitez mettre à jour.
-
Choisissez Modifier la politique.
-
Vous pouvez saisir un nouveau Nom de la politique et une Description de la politique. Vous pouvez modifier le contenu de la politique à l'aide de l'Éditeur visuel ou en modifiant le JSON.
-
Lorsque vous avez terminé de mettre à jour la politique de balises, choisissez Enregistrer les modifications.
- AWS CLI & AWS SDKs
-
Pour mettre à jour une politique
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
-
AWS CLI : update-policy
L'exemple suivant renomme une politique de balises.
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed tag policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
L'exemple suivant ajoute ou remplace la description d'une politique de balises.
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new tag policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
L'exemple suivant modifie le document de politique JSON attaché à une politique de désactivation des services IA. Dans cet exemple, le contenu est extrait d'un fichier appelé policy.json
et contenant le texte suivant :
{
"tags": {
"Stage": {
"tag_key": {
"@@assign": "Stage"
},
"tag_value": {
"@@assign": [
"Production",
"Test"
]
}
}
}
}
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}
-
AWS SDK : UpdatePolicy
Modification des balises attachées à une politique de balises
Lorsque vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer des balises attachées à une politique de balises. Pour ce faire, exécutez les étapes suivantes.
Pour modifier les balises associées à une politique en matière de balises dans votre AWS organisation, vous devez disposer des autorisations suivantes :
-
organizations:DescribeOrganization
(console uniquement — pour accéder à la politique)
-
organizations:DescribePolicy
(console uniquement — pour accéder à la politique)
-
organizations:TagResource
-
organizations:UntagResource
- AWS Management Console
-
Pour modifier les balises attachées à une politique de désactivation des services IA
-
Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
-
Dans la page Politiques de balises, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.
-
Sur la page de détails de la politique choisie, choisissez l'onglet Balises, puis Gérer les balises.
-
Vous pouvez effectuer l'une des actions suivantes sur cette page :
-
Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
-
Vous pouvez supprimer une balise existante en choisissant Supprimer.
-
Ajoutez une nouvelle paire clé/valeur de balise. Choisissez Ajouter une balise, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ Valeur, la valeur est une chaîne vide ; elle ne prend pas la valeur null
.
-
Choisissez Enregistrer les modifications une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
- AWS CLI & AWS SDKs
-
Pour modifier les balises attachées à une politique de balises
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de balises :
Suppression d'une politique de balises
Quand vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer une politique dont vous n'avez plus besoin dans votre organisation.
Avant de supprimer une politique, vous devez d'abord la détacher de toutes les entités attachées.
Pour supprimer une politique de balises, vous devez avoir l'autorisation d'effectuer l'action suivante :
Pour supprimer une politique de balises
-
Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
-
-
Sur la page Politiques de balises, choisissez la politique que vous souhaitez supprimer.
-
La politique à supprimer doit d'abord être détachée de l'ensemble des racines, unités d'organisation et comptes. Choisissez l'onglet Cibles, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste Cibles, puis choisissez Détacher. Dans la boîte de dialogue de confirmation, choisissez Détacher.
-
En haut de la page, choisissez Supprimer.
-
Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez Supprimer.
Pour supprimer une politique de sauvegarde
Les exemples de code suivants montrent comment utiliserDeletePolicy
.
- .NET
-
- AWS SDK for .NET
-
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
/// <summary>
/// Deletes an existing AWS Organizations policy.
/// </summary>
public class DeletePolicy
{
/// <summary>
/// Initializes the Organizations client object and then uses it to
/// delete the policy with the specified policyId.
/// </summary>
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var request = new DeletePolicyRequest
{
PolicyId = policyId,
};
var response = await client.DeletePolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully deleted Policy: {policyId}.");
}
else
{
Console.WriteLine($"Could not delete Policy: {policyId}.");
}
}
}
- CLI
-
- AWS CLI
-
Pour supprimer une politique
L'exemple suivant montre comment supprimer une politique d'une organisation. L'exemple suppose que vous avez précédemment détaché la politique de toutes les entités :
aws organizations delete-policy --policy-id p-examplepolicyid111
- Python
-
- SDK pour Python (Boto3)
-
def delete_policy(policy_id, orgs_client):
"""
Deletes a policy.
:param policy_id: The ID of the policy to delete.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.delete_policy(PolicyId=policy_id)
logger.info("Deleted policy %s.", policy_id)
except ClientError:
logger.exception("Couldn't delete policy %s.", policy_id)
raise