Membuat, memperbarui, dan menghapus kebijakan tag

Dalam topik ini:

• Setelah Anda mengaktifkan kebijakan tag untuk organisasi Anda, Anda dapat membuat sebuah kebijakan.

• Bila persyaratan penandaan berubah, Anda dapat memperbarui kebijakan yang ada.

• Bila Anda tidak lagi memerlukan kebijakan dan setelah melepaskannya dari semua unit organisasi (OU) dan akun, Anda dapat menghapusnya.

penting

Sumber daya yang tidak diberi tag tidak akan muncul sebagai tag tidak patuh dalam hasil.

Membuat kebijakan tag

Izin minimum

Untuk membuat kebijakan tag, Anda memerlukan izin untuk menjalankan tindakan-tindakan berikut:

• organizations:CreatePolicy

Anda dapat membuat kebijakan tag AWS Management Console dalam salah satu dari dua cara:

• Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks kebijakan JSON untuk Anda.

• Editor teks yang memungkinkan Anda langsung membuat teks kebijakan JSON sendiri.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks kebijakan JSON sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks kebijakan JSON secara manual.

AWS Management Console

Untuk membuat kebijakan tag

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Kebijakan tag, pilih Buat Kebijakan.

3. Pada halaman Bua kebijakan, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke objek kebijakan itu sendiri. Tag tersebut bukan bagian dari kebijakan. Untuk melakukan ini, pilih Tambahkan tag dan kemudian masukkan nilai kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat Penandaan pada sumber daya AWS Organizations.

5. Anda dapat membangun kebijakan tag dengan menggunakan Editor visual seperti yang diterangkan dalam prosedur ini. Anda juga dapat mengetik atau menempelkan kebijakan tag di tab JSON. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat Sintaks kebijakan tag.

   Untuk Kunci tag baru 1, tentukan nama kunci tag yang akan ditambahkan.

6. Untuk Kepatuhan kapitalisasi kunci tag, biarkan opsi ini dihapus (default) untuk menentukan bahwa kebijakan tag induk yang diwariskan, jika ada, harus menentukan perlakuan kasus untuk kunci tag tersebut.

   Aktifkan opsi ini jika Anda ingin mengamanatkan kapitalisasi khusus untuk kunci tag dengan menggunakan kebijakan ini. Jika Anda memilih pilihan ini, kapitalisasi yang Anda tentukan untuk Kunci Tag akan mengganti perlakuan kasus yang ditentukan dalam kebijakan induk yang diwariskan.

   Jika kebijakan induk tidak ada dan Anda tidak mengaktifkan opsi ini, hanya kunci tag di semua karakter huruf kecil yang dianggap sesuai. Untuk informasi selengkapnya tentang warisan dari kebijakan induk, lihat Memahami warisan kebijakan manajemen.

   Tip

   Pertimbangkan untuk menggunakan kebijakan tag contoh yang ditampilkan di Contoh 1: Tentukan kasus kunci tag di seluruh organisasi sebagai panduan dalam membuat kebijakan tag yang menentukan kunci tag dan perlakuan kasusnya. Lampirkan kebijakan tag ke organisasi root. Kemudian, Anda dapat membuat dan melampirkan kebijakan tag tambahan ke OU atau akun untuk membuat aturan penandaan tambahan.

7. Untuk kepatuhan nilai tag, aktifkan opsi ini jika Anda ingin menambahkan nilai yang diizinkan untuk kunci tag ini dengan nilai apapun yang diwarisi dari kebijakan induk.

   Secara default, opsi ini dihapus, yang berarti bahwa hanya nilai-nilai yang didefinisikan dalam dan diwarisi dari kebijakan induk yang dianggap patuh. Jika kebijakan induk tidak ada dan Anda tidak menentukan nilai tag maka nilai apapun (termasuk tidak ada nilai sama sekali) akan dianggap patuh.

   Untuk memperbarui daftar nilai tag yang dapat diterima, pilih Tentukan nilai yang diizinkan untuk kunci tag ini lalu pilih Tentukan nilai. Saat diminta, masukkan nilai baru (satu nilai per kotak), dan kemudian pilih Simpan perubahan.

8. Untuk Mencegah operasi tidak patuh untuk tag ini, sebaiknya biarkan opsi ini dihapus (default) kecuali jika Anda berpengalaman menggunakan kebijakan tag. Pastikan Anda telah meninjau rekomendasi di Memahami penegakan, dan uji secara menyeluruh. Jika tidak, Anda dapat mencegah pengguna di akun organisasi Anda dari menandai sumber daya yang mereka butuhkan.

   Jika Anda ingin menerapkan kepatuhan dengan kunci tag ini, pilih kotak centang dan kemudian Tentukan jenis sumber daya. Saat diminta, pilih jenis sumber daya untuk disertakan dalam kebijakan. Lalu pilih Simpan perubahan.

   penting

   Ketika Anda memilih opsi ini, setiap operasi yang memanipulasi tag untuk sumber daya dari jenis tertentu hanya akan berhasil jika hasil operasi dalam tag patuh dengan kebijakan.

9. (Opsional) Untuk menambahkan kunci tag lain ke kebijakan tag ini, pilih Tambahkan kunci tag. Kemudian lakukan langkah 6–9 untuk menentukan kunci tag.

10. Setelah selesai membuat kebijakan tag, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk membuat kebijakan tag

Anda dapat menggunakan salah satu hal berikut untuk membuat kebijakan tag:

• AWS CLI: buat-kebijakan

  Anda dapat menggunakan editor teks apa pun untuk membuat sebuah kebijakan tag. Gunakan sintaks JSON dan simpan kebijakan tag sebagai file dengan nama dan ekstensi di lokasi yang Anda pilih. Kebijakan tag dapat terdiri dari maksimum 2.500 karakter, termasuk spasi. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat Sintaks kebijakan tag.

  Untuk membuat kebijakan tag

  1. Membuat kebijakan tag dalam file teks yang terlihat serupa dengan berikut ini:

     Isi dari testpolicy.json:

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     Kebijakan tag ini menentukan kunci tag CostCenter. Tag dapat menerima nilai apapun atau bahkan tanpa nilai. Kebijakan seperti ini berarti bahwa sumber daya yang memiliki CostCenter tag yang dilampirkan dengan atau tanpa nilai sesuai.

  2. Membuat kebijakan yang berisi konten kebijakan dari file. Spasi kosong ekstra dalam keluaran telah dipotong agar lebih mudah dibaca.

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDK: CreatePolicy

Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan tag, Anda dapat menerapkan aturan penandaan. Untuk melakukan itu, lampirkan kebijakan ke akar organisasi, unit organisasi (OU), Akun AWS di dalam organisasi Anda, atau kombinasi entitas organisasi.

Memperbarui kebijakan tag

Izin minimum

Untuk memperbarui kebijakan tag, Anda harus memiliki izin untuk menjalankan tindakan-tindakan berikut:

• organizations:UpdatePolicy dengan elemen Resource dalam pernyataan kebijakan yang sama yang mencakup ARN dari kebijakan yang ditentukan (atau "*")

• organizations:DescribePolicy dengan elemen Resource dalam pernyataan kebijakan yang sama yang mencakup ARN dari kebijakan yang ditentukan (atau "*")

AWS Management Console

Untuk memperbarui kebijakan tag

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Kebijakan tag halaman halaman, pilih kebijakan tag yang ingin Anda perbarui.

3. Pilih Edit kebijakan.

4. Anda dapat memasukkan Nama kebijakan, Deskripsi kebijakan baru. Anda dapat mengubah konten kebijakan dengan menggunakan Editor visual atau dengan mengedit JSON.

5. Setelah selesai memperbarui kebijakan tag, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan

Anda dapat menggunakan salah satu hal berikut untuk memperbarui kebijakan:

• AWS CLI: update-policy

  Contoh berikut mengganti nama kebijakan tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed tag policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
          "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  Contoh berikut menambahkan atau mengubah deskripsi untuk kebijakan tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new tag policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
         "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  Contoh berikut mengubah dokumen kebijakan JSON yang dilampirkan pada kebijakan memilih keluar layanan AI. Dalam contoh ini, konten diambil dari file bernama policy.json dengan teks berikut:

  {
    "tags": {
      "Stage": {
        "tag_key": {
          "@@assign": "Stage"
        },
        "tag_value": {
          "@@assign": [
            "Production",
            "Test"
          ]
        }
      }
    }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
  }

• AWS SDK: UpdatePolicy

Mengedit tag yang dilampirkan pada kebijakan tag

Saat Anda masuk ke akun pengelolaan organisasi Anda, Anda dapat menambahkan atau menghapus tag yang dilampirkan pada kebijakan tag. Caranya, lakukan langkah-langkah berikut.

Izin minimum

Untuk mengedit tag yang dilampirkan pada kebijakan tag di AWS organisasi Anda, Anda harus memiliki izin berikut:

• organizations:DescribeOrganization (konsol saja — untuk menavigasi ke kebijakan)

• organizations:DescribePolicy (konsol saja — untuk menavigasi ke kebijakan)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Untuk mengedit tag yang dilampirkan pada kebijakan memilih keluar layanan AI

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Kebijakan tag halaman halaman, pilih nama kebijakan dengan tag yang ingin Anda edit.

3. Pada halaman detail kebijakan yang dipilih, pilih tab Tag, dan kemudian pilih Kelola tag.

4. Anda dapat melakukan salah satu tindakan berikut di laman ini:

   • Edit nilai untuk tag dengan memasukkan nilai baru menggantikan yang lama. Anda tidak dapat memodifikasi kunci. Untuk mengubah kunci, Anda harus menghapus tag dengan kunci yang lama dan menambahkan tag dengan kunci yang baru.

   • Hapus tag yang ada dengan memilih Hapus.

   • Tambahkan kunci tag dan pasangan nilai baru. Pilih Tambahkan tag, lalu masukkan nama kunci baru dan nilai opsional dalam kotak yang disediakan. Jika Anda membiarkan kotak Nilai kosong, nilai-nya adalah string kosong; itu bukan null.

5. Pilih Simpan perubahan setelah Anda melakukan semua penambahan, penghapusan, dan pengeditan yang ingin Anda buat.

AWS CLI & AWS SDKs

Untuk mengedit tag yang dilampirkan pada kebijakan tag

Anda dapat menggunakan salah satu perintah berikut untuk mengedit tag yang dilampirkan pada kebijakan tag:

• AWS CLI: tag-resource dan untag-resource

• AWS SDK: TagResourcedan UntagResource

Menghapus kebijakan tag

Saat masuk ke akun pengelolaan organisasi Anda, Anda dapat menghapus kebijakan yang tidak diperlukan lagi di organisasi Anda.

Sebelum Anda dapat menghapus kebijakan, Anda harus melepasnya terlebih dahulu dari semua entitas terlampir.

Izin minimum

Untuk menghapus kebijakan tag, Anda harus memiliki izin untuk menjalankan tindakan berikut:

• organizations:DeletePolicy

AWS Management Console

Untuk menghapus kebijakan tag

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

3. Pada halaman Kebijakan tag halaman halaman, pilih kebijakan tag yang ingin Anda hapus.

4. Anda harus melepaskan kebijakan yang ingin Anda hapus dari semua root, OU, dan akun. Pilih tab Target, pilih tombol radio yang ada di samping setiap root, OU, atau akun yang ditampilkan di daftar Target, dan kemudian pilih Lepaskan. Dalam kotak dialog konfirmasi, pilih Lepaskan.

5. Pilih Hapus di bagian atas halaman.

6. Pada kotak dialog konfirmasi, masukkan nama kebijakan, dan kemudian pilih Hapus.

AWS CLI & AWS SDK

Untuk menghapus kebijakan cadangan

Contoh kode berikut menunjukkan cara menggunakanDeletePolicy.

.NET

AWS SDK for .NET

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Untuk detail API, lihat DeletePolicydi Referensi AWS SDK for .NET API.

CLI

AWS CLI

Untuk menghapus kebijakan

Contoh berikut menunjukkan cara menghapus kebijakan dari organisasi. Contoh ini mengasumsikan bahwa Anda sebelumnya melepaskan kebijakan dari semua entitas:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Untuk detail API, lihat DeletePolicydi Referensi AWS CLI Perintah.

Python

SDK untuk Python (Boto3)

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Untuk detail API, lihat DeletePolicydi AWS SDK for Python (Boto3) Referensi API.