Menemukan sumber daya tidak patuh untuk sebuah akun Memperbaiki tag tidak patuh dalam sumber daya Menemukan dan memperbaiki masalah ke-tidak-patuhan tambahan Membuat laporan kepatuhan di seluruh organisasi

Memahami penegakan

Kebijakan tag dapat menentukan apakah operasi penandaan yang tak sesuai pada jenis sumber daya tertentu ditegakkan. Dengan kata lain, permintaan penandaan yang tidak sesuai pada jenis sumber daya yang ditentukan dicegah untuk diselesaikan.

penting

Penegakan tidak berpengaruh pada sumber daya yang dibuat tanpa tag.

Untuk menegakkan kepatuhan terhadap kebijakan tag, lakukan salah satu hal berikut saat Anda membuat kebijakan tag:

Dari tab Editor visual, pilih Cegah operasi yang tidak patuh untuk tag ini.
Dari tab JSON, gunakan bidang enforced_for. Untuk informasi tentang sintaks kebijakan tag, lihat Sintaks dan contoh kebijakan tag.

Ikuti praktik terbaik berikut untuk menerapkan kepatuhan terhadap kebijakan tag:

Gunakan kehati-hatian dalam menegakkan kepatuhan — Pastikan Anda memahami efek penggunaan kebijakan tag, dan ikuti alur kerja yang disarankan yang dijelaskan di Memulai kebijakan tag. Uji bagaimana penegakan bekerja pada sebuah akun pengujian sebelum memperluasnya ke akun lainnya. Jika tidak, Anda dapat mencegah pengguna di akun organisasi Anda dari menandai sumber daya yang mereka butuhkan.
Ketahui jenis sumber daya apa yang dapat Anda tegakkan — Anda hanya dapat menegakkan kepatuhan terhadap kebijakan tag pada jenis sumber daya yang didukung. Jenis sumber daya yang men-support penegakan kepatuhan tercantum saat Anda menggunakan editor visual untuk membangun kebijakan tag.
Memahami interaksi dengan beberapa layanan — Beberapa AWS layanan memiliki pengelompokan sumber daya seperti kontainer yang secara otomatis membuat sumber daya untuk Anda, dan tag dapat menyebar dari sumber daya di satu layanan ke layanan lainnya. Misalnya, tag pada grup Amazon EC2 Auto Scaling dan klaster Amazon EMR dapat secara otomatis menyebarkan dengan instans Amazon EC2 yang terkandung. Anda mungkin memiliki kebijakan tag untuk Amazon EC2 yang lebih ketat daripada grup Auto Scaling atau klaster EMR. Jika Anda mengaktifkan penegakan, maka kebijakan tag mencegah sumber daya agar tidak ditandai dan dapat memblokir penskalaan dan penyediaan yang dinamis.

Bagian berikut menunjukkan bagaimana Anda dapat menemukan sumber daya tidak patuh, dan memperbaikinya agar patuh.

Menemukan sumber daya tidak patuh untuk sebuah akun

Untuk setiap akun, Anda bisa mendapatkan informasi tentang sumber daya yang tidak patuh. Anda harus menjalankan perintah ini dari setiap WIlayah di mana akun tersebut memiliki sumber daya.

Untuk menemukan sumber daya yang tidak sesuai untuk akun dengan kebijakan tag, jalankan perintah berikut untuk menyimpan hasil ke file:


$ aws resourcegroupstaggingapi get-resources  --region us-east-1 \
    --include-compliance-details \
    --exclude-compliant-resources > outputfile.txt

Memperbaiki tag tidak patuh dalam sumber daya

Setelah menemukan tag tidak patuh, lakukan perbaikan menggunakan salah satu metode berikut. Anda harus masuk ke akun yang memiliki sumber daya dengan tag yang tidak patuh:

Gunakan konsol atau menandai operasi API AWS layanan yang membuat sumber daya yang tidak sesuai.
Gunakan AWS Resource Groups TagResourcesdan UntagResourcesoperasi untuk menambahkan tag yang sesuai dengan kebijakan efektif atau untuk menghapus tag yang tidak sesuai.

Menemukan dan memperbaiki masalah ke-tidak-patuhan tambahan

Menemukan dan memperbaiki masalah kepatuhan adalah proses yang berulang. Ulangi langkah-langkah di dua bagian sebelumnya hingga sumber daya yang Anda rawat patuh dengan kebijakan tag Anda.

Membuat laporan kepatuhan di seluruh organisasi

Kapan saja, Anda dapat membuat laporan yang mencantumkan semua sumber daya yang ditandai di Akun AWS seluruh organisasi Anda. Laporan ini menunjukkan apakah setiap sumber daya patuh dengan kebijakan tag efektif. Perlu diketahui bahwa perubahan yang Anda buat pada kebijakan tag atau sumber daya memerlukan waktu hingga 48 jam untuk tercermin dalam laporan kepatuhan di seluruh organisasi. Sebagai contoh, anggaplah bahwa Anda memiliki kebijakan tag yang mendefinisikan tag standar baru untuk jenis sumber daya. Jenis sumber daya itu yang tidak memiliki tag ini akan ditampilkan sebagai patuh dalam laporan hingga 48 jam.

Anda dapat membuat laporan dari akun pengelolaan organisasi Anda di Wilayah us-east-1, dengan ketentuan bahwa akun memiliki akses ke bucket Amazon S3. Bucket harus memiliki kebijakan bucket terlampir seperti yang ditunjukkan di Kebijakan Bucket Amazon S3 untuk Menyimpan Laporan. Untuk membuat laporan, jalankan perintah berikut:


$ aws resourcegroupstaggingapi start-report-creation --region us-east-1

Anda dapat membuat satu laporan dalam satu waktu.

Laporan ini dapat memakan waktu lama untuk diselesaikan. Anda dapat memeriksa status dengan menjalankan perintah berikut:


$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
    "Status": "SUCCEEDED"
}

Setelah perintah di atas mengembalikan SUCCEEDED, Anda dapat membuka laporan dari bucket Amazon S3.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan Amazon EventBridge untuk memantau tag yang tidak sesuai

Layanan dan jenis sumber daya yang men-support penegakan