Mengevaluasi kepatuhan seluruh organisasi

Anda dapat mengevaluasi kepatuhan organisasi Anda dengan kebijakan tag yang efektif. Anda dapat membuat laporan yang mencantumkan semua sumber daya yang ditandai di akun di seluruh organisasi Anda dan apakah setiap sumber daya sesuai dengan kebijakan tag yang efektif.

penting

Sumber daya yang tidak diberi tag tidak akan muncul sebagai tag tidak patuh dalam hasil.

Untuk menemukan sumber daya yang tidak ditandai di akun Anda, gunakan Penjelajah Sumber Daya AWS dengan kueri yang menggunakan. tag:none Untuk informasi selengkapnya, lihat Mencari sumber daya yang tidak ditandai di Penjelajah Sumber Daya AWS Panduan Pengguna.

Anda dapat membuat laporan dari akun manajemen organisasi Anda di us-east-1 AWS Region satu-satunya. Akun yang menghasilkan laporan harus memiliki akses ke ember Amazon S3 di Wilayah AS Timur (Virginia N.). Bucket harus memiliki kebijakan bucket terlampir seperti yang ditunjukkan dalam kebijakan bucket Amazon S3 untuk menyimpan laporan.

Untuk membuat laporan kepatuhan di seluruh organisasi, Anda harus memiliki izin berikut:

• organizations:DescribeEffectivePolicy

• tag:GetComplianceSummary

• tag:StartReportCreation

• tag:DescribeReportCreation

• s3:ListAllMyBuckets

• s3:GetBucketAcl

• s3:GetObject

• s3:PutObject

Misalnya kebijakan IAM yang menampilkan izin ini, tinjau Izin untuk mengevaluasi kepatuhan di seluruh organisasi.

Untuk menghasilkan laporan kepatuhan di seluruh organisasi (konsol)

1. Buka konsol Kebijakan Tag.

2. Pilih tab Root organisasi ini, dan di dekat bagian bawah halaman, pilih Buat laporan.

3. Di layar Hasilkan laporan, tentukan tempat menyimpan laporan.

4. Pilih Mulai mengekspor.

Setelah laporan selesai, Anda dapat mengunduhnya dari bagian Laporan ketidakpatuhan di tab root Organisasi.

Catatan

Kepatuhan seluruh organisasi dievaluasi setiap 48 jam. Ini menghasilkan yang berikut:

• Diperlukan waktu hingga 48 jam agar perubahan pada kebijakan tag atau sumber daya ditampilkan dalam laporan kepatuhan di seluruh organisasi. Sebagai contoh, anggaplah bahwa Anda memiliki kebijakan tag yang mendefinisikan tag standar baru untuk jenis sumber daya. Sumber daya jenis yang tidak memiliki tag ini dapat ditampilkan sebagai sesuai dalam laporan hingga 48 jam.

• Meskipun Anda dapat membuat laporan kapan saja, hasil laporan tidak diperbarui hingga evaluasi berikutnya selesai.

• NoncompliantKeysKolom mencantumkan kunci tag pada sumber daya yang tidak sesuai dengan kebijakan tag efektif.

• KeysWithNonCompliantValuesKolom mencantumkan kunci yang ditentukan dalam kebijakan efektif yang ada di sumber daya dengan perlakuan kasus yang salah atau nilai yang tidak sesuai.

• Jika Anda menutup Akun AWS yang merupakan anggota organisasi, itu dapat terus muncul di laporan kepatuhan tag hingga 90 hari.

Untuk menghasilkan laporan kepatuhan di seluruh organisasi (AWS CLI, AWS API)

Gunakan perintah dan operasi berikut untuk membuat laporan kepatuhan di seluruh organisasi, memeriksa statusnya, dan melihat laporan:

• AWS Command Line Interface AWS CLI):

  • aws resourcegroupstaggingapi start-report-creation

  • aws resourcegroupstaggingapi describe-report-creation

  • aws resourcegroupstaggingapi get-compliance-summary

  Untuk prosedur lengkap penggunaan kebijakan tag di AWS CLI, lihat Menggunakan kebijakan tag AWS CLI di Panduan AWS Organizations Pengguna.

• AWS API:

  • StartReportCreation

  • DescribeReportCreation

  • GetComplianceSummary