Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Organizations politiques relatives aux balises
Une politique de balises est un type de politique que vous créez dans AWS Organizations. Vous pouvez utiliser les politiques relatives aux balises pour normaliser les balises entre les ressources des comptes de votre organisation. Pour utiliser les politiques de balises, nous vous recommandons de suivre les flux de travail décrits dans la section Commencer à utiliser les politiques de balises dans le AWS Organizations Guide de l'utilisateur Comme indiqué sur cette page, les flux de travail recommandés incluent la recherche et la correction des balises non conformes. Pour effectuer ces tâches, vous devez utiliser la console Tag Editor.
Conditions préalables et autorisations
Avant de pouvoir évaluer la conformité aux politiques de balises dans l'éditeur de balises, vous devez satisfaire aux exigences et définir les autorisations nécessaires.
Rubriques
Conditions préalables à l'évaluation de la conformité aux politiques en matière de balises
L'évaluation de la conformité aux politiques relatives aux balises nécessite les éléments suivants :
-
Vous devez d'abord activer la fonctionnalité dans AWS Organizations, et créez et attachez des politiques relatives aux balises. Pour plus d'informations, consultez les pages suivantes dans le AWS Organizations Guide de l'utilisateur :
-
Pour détecter des balises non conformes sur les ressources d'un compte, vous avez besoin des informations de connexion associées à ce compte et des autorisations répertoriées dans. Autorisations pour évaluer la conformité d'un compte
-
Pour évaluer la conformité à l'échelle de l'organisation, vous avez besoin d'informations d'identification pour le compte de gestion de l'organisation et des autorisations répertoriées dans. Autorisations pour évaluer la conformité à l'échelle de l'organisation Vous pouvez demander le rapport de conformité uniquement auprès du Région AWS Est des États-Unis (Virginie du Nord).
Autorisations pour évaluer la conformité d'un compte
La détection de balises non conformes sur les ressources d'un compte nécessite les autorisations suivantes :
-
organizations:DescribeEffectivePolicy— Pour obtenir le contenu de la politique de balises en vigueur pour le compte. -
tag:GetResources— Pour obtenir une liste des ressources qui ne sont pas conformes à la politique en matière de balises ci-jointe. -
tag:TagResources— Pour ajouter ou mettre à jour des balises. Vous avez également besoin d'autorisations spécifiques au service pour créer des balises. Par exemple, pour baliser des ressources dans Amazon Elastic Compute Cloud (AmazonEC2), vous avez besoin d'autorisations pourec2:CreateTags. -
tag:UnTagResources— Pour supprimer un tag. Vous devez également disposer d'autorisations spécifiques au service pour supprimer des balises. Par exemple, pour supprimer le balisage des ressources sur AmazonEC2, vous avez besoin d'autorisations pourec2:DeleteTags.
L'exemple suivant AWS Identity and Access Management (IAM) la politique fournit des autorisations pour évaluer la conformité des balises d'un compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
Pour plus d'informations sur IAM les politiques et les autorisations, consultez le guide de IAM l'utilisateur.
Autorisations pour évaluer la conformité à l'échelle de l'organisation
L'évaluation de la conformité à l'échelle de l'organisation avec les politiques en matière de balises nécessite les autorisations suivantes :
-
organizations:DescribeEffectivePolicy— Pour obtenir le contenu de la politique de balises attachée à l'organisation, à l'unité organisationnelle (UO) ou au compte. -
tag:GetComplianceSummary— Pour obtenir un résumé des ressources non conformes dans tous les comptes de l'organisation. -
tag:StartReportCreation— Exporter les résultats de l'évaluation de conformité la plus récente vers un fichier. La conformité à l'échelle de l'organisation est évaluée toutes les 48 heures. -
tag:DescribeReportCreation— Pour vérifier l'état de la création du rapport. -
s3:ListAllMyBuckets— Pour faciliter l'accès au rapport de conformité à l'échelle de l'organisation. -
s3:GetBucketAcl— Pour inspecter la liste de contrôle d'accès (ACL) du compartiment Amazon S3 recevant le rapport de conformité. -
s3:GetObject— Pour récupérer le rapport de conformité depuis le compartiment Amazon S3 appartenant au service. -
s3:PutObject— Pour placer le rapport de conformité dans le compartiment Amazon S3 spécifié.
L'exemple de IAM politique suivant fournit des autorisations pour évaluer la conformité à l'échelle de l'organisation. Remplacez chacun placeholder avec vos propres informations :
-
bucket_name -
organization_id
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:StartReportCreation", "tag:DescribeReportCreation", "tag:GetComplianceSummary", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GetBucketAclForReportDelivery", "Effect": "Allow", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "GetObjectForReportDelivery", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "PutObjectForReportDelivery", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" }, "StringLike": { "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*" } } } ] }
Pour plus d'informations sur IAM les politiques et les autorisations, consultez le guide de IAM l'utilisateur.
Politique relative aux compartiments Amazon S3 pour le stockage des rapports
Pour créer un rapport de conformité à l'échelle de l'organisation, l'identité que vous utilisez pour appeler StartReportCreation API doit avoir accès à un compartiment Amazon Simple Storage Service (Amazon S3) dans la région des États-Unis Est (Virginie du Nord) pour stocker le rapport. Tag Policies utilise les informations d'identification de l'identité appelante pour transmettre le rapport de conformité au compartiment spécifié.
Si le compartiment et l'identité utilisés pour l'appeler StartReportCreation API appartiennent au même compte, des politiques de compartiment Amazon S3 supplémentaires ne sont pas nécessaires pour ce cas d'utilisation.
Si le compte associé à l'identité utilisée pour appeler le StartReportCreation API est différent du compte propriétaire du compartiment Amazon S3, la politique de compartiment suivante doit être attachée au compartiment. Remplacez chacun placeholder avec vos propres informations :
-
bucket_name -
organization_id -
identité_ ARNStartReportCreationAPI
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTagPolicyACL", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" }, { "Sid": "CrossAccountTagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*" } ] }
