Melihat kebijakan tag efektif

Sebelum Anda mulai memeriksa status kepatuhan untuk sumber daya yang ditandai di akun, sebaiknya tentukan kebijakan tag efektif untuk sebuah akun terlebih dahulu.

Apa itu kebijakan tag efektif?

kebijakan tag efektif menentukan aturan penandaan yang berlaku untuk sebuah akun. Ini adalah agregasi dari setiap kebijakan tag yang diwarisi akun, ditambah kebijakan tag yang langsung dilampirkan pada akun tersebut. Bila Anda melampirkan kebijakan tag ke root organisasi, maka kebijakan tag tersebut akan berlaku untuk semua akun di organisasi Anda. Ketika Anda melampirkan kebijakan tag ke sebuah OU, maka kebijakan tag tersebut akan berlaku untuk akun yang ada dalam OU tersebut.

Sebagai contoh, kebijakan tag yang dilampirkan ke root organisasi dapat menentukan tag CostCenter dengan empat nilai patuh. Kebijakan tag terpisah yang dilampirkan ke akun dapat membatasi kunci CostCenter pada dua dari empat nilai patuh saja. Kombinasi dari kebijakan tag ini terdiri dari kebijakan tag efektif. Hasilnya adalah bahwa hanya dua dari empat nilai tag patuh yang didefinisikan dalam kebijakan tag root organisasi yang patuh untuk akun tersebut.

Untuk informasi dan contoh lanjutan tentang seberapa efektif kebijakan tag yang dihasilkan, lihat Memahami warisan kebijakan manajemen.

Cara melihat kebijakan tag efektif

Anda dapat melihat kebijakan tag efektif untuk akun dari AWS Management Console, API AWS, atau AWS Command Line Interface.

Izin minimum

Untuk melihat kebijakan tag efektif untuk akun, Anda harus memiliki izin untuk menjalankan tindakan-tindakan berikut:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

AWS Management Console

Melihat kebijakan tag efektif untuk sebuah akun

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Akun AWS, pilih nama akun yang ingin Anda lihat kebijakan tag efektif-nya. Anda mungkin harus memperluas OU (pilih ) untuk menemukan akun yang Anda inginkan.

3. Pada tab Kebijakan, di bagian Kebijakan tag, pilih Lihat kebijakan tag efektif untuk Akun AWS.

   Konsol menampilkan kebijakan efektif yang diterapkan pada akun yang ditentukan.

   catatan

   Anda tidak dapat menyalin dan menempelkan kebijakan efektif dan menggunakannya sebagai JSON untuk kebijakan tag lain tanpa perubahan signifikan. Dokumen kebijakan tag harus mencakup operator warisan yang menentukan bagaimana setiap pengaturan digabung ke kebijakan efektif akhir.

AWS CLI & AWS SDKs

Melihat kebijakan tag efektif untuk sebuah akun

Anda dapat menggunakan salah satu hal berikut untuk melihat kebijakan tag efektif:

• AWS CLI: describe-effective-policy

  Untuk menentukan aturan penandaan apa yang diwarisi oleh atau dilampirkan ke akun, jalankan berikut dari akun dan simpan hasilnya ke file:

  $ aws organizations describe-effective-policy \
      --policy-type TAG_POLICY
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
          "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
          "TargetId": "123456789012",
          "PolicyType": "TAG_POLICY"
      }
  }

  Jika kebijakan tag dilampirkan ke akun serta root-nya atau OU apa pun, maka kombinasi dari semua kebijakan yang diwariskan akan menentukan kebijakan tag efektif akun. Dalam kasus ini, menjalankan describe-effective-policy dari akun akan mengembalikan konten gabungan dari semua kebijakan tag dalam hirarki akun.

• AWSSDK: DescribeEffectivePolicy