Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Présentation de l'application de la conformité
Une politique de balises permet de spécifier que les opérations de balisage non conformes au niveau des types de ressources définis sont appliquées. En d'autres termes, les demandes de balisage non conformes sur des types de ressources spécifiés ne peuvent pas aboutir.
Important
L'application n'a aucun effet sur les ressources créées sans balises.
Pour appliquer la conformité aux politiques de balises, effectuez l'une des opérations suivantes lorsque vous créez une politique de balises:
-
Dans l'onglet Éditeur visuel, sélectionnez Empêcher les opérations non conformes pour cette balise.
-
Dans l'onglet JSON, utilisez le champ
enforced_for. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez Syntaxe des politiques de balises et exemples.
Suivez ces bonnes pratiques pour appliquer la conformité aux politiques de balises :
-
Soyez vigilant lors de l'application de la conformité. Assurez-vous de bien comprendre les effets de l'utilisation des politiques de balises et de suivre les flux de travail recommandés décrits sous Mise en route avec les politiques de balises. Testez le fonctionnement de l'application sur un compte de test avant de l'étendre à d'autres comptes. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin.
-
Soyez conscient des types de ressource que vous pouvez appliquer. Vous pouvez uniquement appliquer la conformité aux politiques de balise sur les types de ressources pris en charge. Les types de ressources prenant en charge l'application de la conformité sont répertoriés lorsque vous utilisez l'éditeur visuel pour créer une politique de balises.
-
Comprenez les interactions avec certains services — Certains AWS services comportent des regroupements de ressources semblables à des conteneurs qui créent automatiquement des ressources pour vous, et les balises peuvent se propager d'une ressource d'un service à l'autre. Par exemple, les balises des groupes Amazon EC2 Auto Scaling et des clusters Amazon EMR peuvent se propager automatiquement aux instances Amazon EC2 qu'ils contiennent. Certaines politiques de balises pour Amazon EC2 sont plus strictes que pour les groupes Auto Scaling ou les clusters EMR. Si vous activez l'application, la politique de balises empêche les ressources d'être balisées et peut bloquer le dimensionnement et le provisionnement dynamiques.
Les sections suivantes montrent comment trouver des ressources non conformes et les corriger pour qu'elles soient conformes.
Recherche de ressources non conformes pour un compte
Vous pouvez obtenir des informations sur les ressources non conformes de chaque compte. Vous devez exécuter cette commande à partir de chaque région dans laquelle le compte possède des ressources.
Pour rechercher des ressources non conformes pour un compte doté d'une politique de balises, exécutez la commande suivante pour enregistrer les résultats dans un fichier :
$aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources >outputfile.txt
Correction des balises non conformes dans les ressources
Après avoir trouvé des balises non conformes, apportez des corrections en utilisant l'une des méthodes suivantes. Vous devez être connecté au compte qui possède la ressource comportant des balises non conformes :
-
Utilisez la console ou les opérations d'API de balisage du AWS service qui a créé les ressources non conformes.
-
Utilisez les UntagResourcesopérations AWS Resource Groups TagResourceset pour ajouter des balises conformes à la politique en vigueur ou pour supprimer des balises non conformes.
Recherche et correction d'autres problèmes de non-conformité
La recherche et la correction des problèmes de conformité est un processus itératif. Répétez les étapes des deux sections précédentes jusqu'à ce que les ressources qui vous intéressent soient conformes à votre politique de balises.
Génération d'un rapport de conformité à l'échelle de l'organisation
À tout moment, vous pouvez générer un rapport répertoriant toutes les ressources balisées de votre organisation. Comptes AWS Le rapport indique si chaque ressource est conforme à la politique de balises effective. Notez que l'affichage des modifications apportées à une politique de balises ou à des ressources dans le rapport de conformité à l'échelle de l'organisation peut prendre jusqu'à 48 heures. Par exemple, supposons que vous disposez d'une politique de balises qui définit une nouvelle balise standardisée pour un type de ressources. Les ressources de ce type qui ne possèdent pas cette balise sont affichées comme étant conformes dans le rapport pendant 48 heures maximum.
Vous pouvez générer le rapport à partir du compte de gestion de votre organisation dans la région us-east-1, à condition qu'elle ait accès à un compartiment Amazon S3. Une politique de compartiment doit être attachée au compartiment, comme indiqué sous la rubrique Amazon S3 Bucket Policy for Storing Report. Pour générer le rapport, exécutez la commande suivante :
$aws resourcegroupstaggingapi start-report-creation --region us-east-1
Vous pouvez générer un rapport à la fois.
La création de ce rapport peut prendre un certain temps. Vous pouvez vérifier son statut en exécutant la commande suivante :
$aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED" }
Une fois que la commande ci-dessus renvoie SUCCEEDED, vous pouvez ouvrir le rapport à partir du compartiment Amazon S3.
