Creazione, aggiornamento ed eliminazione delle policy di tag

In questo argomento:

• Dopo avere abilitato le policy di tag per l'organizzazione, puoi creare una policy.

• Quando i requisiti di assegnazione di tag cambiano, puoi aggiornare una policy esistente.

• Quando non hai più bisogno di una policy e dopo averla scollegata da tutte le unità organizzative (OUs) e dagli account, puoi eliminarla.

Importante

Le risorse senza tag non appaiono nei risultati come non conformi.

Creazione di una policy di tag

Autorizzazioni minime

Per creare le policy di tag, è necessaria l'autorizzazione per la seguente operazione:

• organizations:CreatePolicy

Puoi creare una politica sui tag AWS Management Console in uno dei due modi seguenti:

• Un editor visivo che ti consente di scegliere le opzioni e genera JSON automaticamente il testo della policy.

• Un editor di testo che ti consente di creare direttamente il testo della JSON politica da solo.

L'editor visivo semplifica il processo, ma limita la flessibilità. È ottimo per creare le prime policy e iniziare a utilizzarle. Dopo aver compreso come funzionano e aver iniziato a essere limitati dalle funzionalità offerte dall'editor visivo, puoi aggiungere funzionalità avanzate alle tue politiche modificando tu stesso il testo delle JSON politiche. L'editor visivo utilizza solo l'operatore di impostazione del valore @@assign e non fornisce alcun accesso agli operatori di controllo figli. È possibile aggiungere gli operatori di controllo dei minori solo se si modifica manualmente il testo della JSON politica.

AWS Management Console

Per creare una policy di tag

1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

2. Nella pagina Tag policies (Policy di tag), scegli Create policy (Crea policy).

3. Nella pagina Create policy (Crea policy), inserisci un Nome policy e una Descrizione policy (facoltativa).

4. (Facoltativo) Puoi aggiungere uno o più tag per l'oggetto policy. Questi tag non fanno parte della policy. A questo scopo, scegli Add tag (Aggiungi tag) e inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni, consulta Tagging delle risorse AWS Organizations.

5. È possibile creare la policy di tag utilizzando l'editor visivo come descritto in questa procedura. Puoi anche digitare o incollare una politica sui tag nella JSONscheda. Per informazioni sulla sintassi delle policy di tag, consulta Sintassi delle policy di tag.

   Per New tag key 1 (Nuova chiave di tag 1), specifica il nome di una chiave di tag da aggiungere.

6. Per la conformità dell'uso delle maiuscole e delle minuscole della chiave di tag, lascia questa opzione deselezionata (impostazione predefinita) per specificare che la policy di tag padre ereditata, se presente, deve definire il trattamento delle lettere maiuscole o minuscole per la chiave di tag.

   Seleziona questa opzione se desideri impostare una norma specifica su minuscole e maiuscole per la chiave di tag utilizzando questa policy. Se si seleziona questa opzione, l'uso delle maiuscole e delle minuscole specificato per Tag Key (Chiave di tag) sostituisce il trattamento di lettere maiuscole o minuscole specificato in una policy padre ereditata.

   Se non esiste una policy padre e non abiliti questa opzione, solo le chiavi di tag in caratteri minuscoli sono considerate conformi. Per ulteriori informazioni sull'ereditarietà dai policy padre, consulta Comprendere l'ereditarietà delle policy di gestione.

   Suggerimento

   Puoi utilizzare la policy di tag di esempio mostrata in Esempio 1: definire l'uso delle maiuscole o minuscole per la chiave di tag a livello di organizzazione come guida per la creazione di una policy di tag che definisca le chiavi di tag e il relativo trattamento lettere maiuscole o minuscole. Collegala alla root dell'organizzazione. Successivamente, puoi creare e allegare politiche di tag aggiuntive ai nostri account OUs per creare regole di tagging aggiuntive.

7. Per Tag value compliance (Conformità dei valori di tag), seleziona questa opzione se desideri aggiungere valori consentiti per questa chiave di tag a tutti i valori ereditati da una policy padre.

   Per impostazione predefinita, questa opzione è deselezionata, il che significa che solo i valori definiti in ed ereditati da una policy padre sono considerati conformi. Se una policy padre non esiste e non si specificano valori di tag, qualsiasi valore (incluso nessun valore) viene considerato conforme.

   Per aggiornare l'elenco dei valori di tag accettabili, seleziona Specify allowed values for this tag key (Specifica i valori consentiti per questa chiave di tag) quindi scegli Specify values (Specifica valori). Quando richiesto, inserisci i nuovi valori (uno per casella) e scegli Save changes (Salva modifiche).

8. Per Prevent noncompliant operations for this tag (Impedisci operazioni non conformi per questo tag), consigliamo di lasciare questa opzione deselezionata (impostazione predefinita) a meno che non si abbia esperienza con l'utilizzo delle policy di tag. Assicurati di aver esaminato i suggerimenti in Informazioni sull'applicazione ed effettua test accurati. In caso contrario, potresti impedire agli utenti degli account dell'organizzazione di applicare i tag alle risorse necessarie.

   Se desideri applicare la conformità con questa chiave di tag, seleziona la casella di controllo e quindi Specify resource types (Specifica i tipi di risorsa). Quando richiesto, seleziona i tipi di risorsa da includere nella policy. Selezionare quindi Save changes (Salva modifiche).

   Importante

   Quando selezioni questa opzione, tutte le operazioni che manipolano i tag per le risorse dei tipi specificati hanno esito positivo solo se l'operazione genera tag conformi alla policy.

9. (Opzionale) Per aggiungere un'altra chiave di tag a questa policy di tag, scegliere Add tag key (Aggiungi chiave di tag). Quindi esegui i passaggi da 6 a 9 per definire la chiave di tag.

10. Al termine della creazione della policy di tag, scegliere Save changes (Salva modifiche).

AWS CLI & AWS SDKs

Per creare una policy di tag

Puoi utilizzare una delle seguenti opzioni per creare una policy di tag:

• AWS CLI: create-policy

  Puoi usare qualsiasi editor di testo per creare la policy di tag. Usa la JSON sintassi e salva la politica dei tag come file con qualsiasi nome ed estensione in una posizione a tua scelta. Le policy di tag possono avere un massimo di 2.500 caratteri, spazi inclusi. Per informazioni sulla sintassi delle policy di tag, consulta Sintassi delle policy di tag.

  Per creare una policy di tag

  1. Crea una policy di tag in un file di testo simile alla seguente:

     Contenuto di testpolicy.json.

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     Questa policy di tag definisce la chiave di tag CostCenter. Il tag può accettare qualsiasi valore o nessun valore. Una politica come questa significa che una risorsa a cui è associato il CostCenter tag con o senza un valore è conforme.

  2. Crea una policy che contenga il contenuto della policy dal file. Lo spazio bianco extra nell'output è stato troncato per motivi di leggibilità.

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDKs: CreatePolicy

Cosa fare in seguito

Dopo aver creato una policy di tag, puoi rendere effettive le regole di tag. A tale scopo, collegate la policy alla radice dell'organizzazione, alle unità organizzative (OUs), Account AWS all'interno dell'organizzazione o a una combinazione di entità organizzative.

Aggiornamento di una policy di tag

Autorizzazioni minime

Per aggiornare una policy di tag, è necessario disporre dell'autorizzazione per le seguenti operazioni:

• organizations:UpdatePolicycon un Resource elemento nella stessa dichiarazione politica che includa ARN la politica specificata (o «*»)

• organizations:DescribePolicycon un Resource elemento nella stessa dichiarazione politica che include ARN la politica specificata (o «*»)

AWS Management Console

Per aggiornare una policy di tag

1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

2. Nella pagina Tag policies (Policy di tag), scegli la policy di tag che desideri aggiornare.

3. Selezionare Edit policy (Modifica policy).

4. È possibile inserire nuovi valori per Policy name (Nome policy) e Policy descritpion (Descrizione della policy). È possibile modificare il contenuto della policy utilizzando l'editor visuale o modificando il JSON.

5. Al termine dell'aggiornamento della policy dei tag, scegliere Save changes (Salva modifiche).

AWS CLI & AWS SDKs

Per aggiornare una policy

Per aggiornare una policy, puoi utilizzare una delle seguenti opzioni:

• AWS CLI: update-policy

  Nell'esempio seguente viene rinominata una policy di tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed tag policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
          "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  Nell'esempio seguente viene aggiunta o modificata la descrizione di una policy di tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new tag policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
         "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  L'esempio seguente modifica il documento di JSON policy allegato a un criterio di disattivazione dei servizi AI. In questo esempio, il contenuto viene preso da un file denominato policy.json con il testo seguente:

  {
    "tags": {
      "Stage": {
        "tag_key": {
          "@@assign": "Stage"
        },
        "tag_value": {
          "@@assign": [
            "Production",
            "Test"
          ]
        }
      }
    }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
  }

• AWS SDKs: UpdatePolicy

Modifica dei tag collegati a una policy di tag

Quando effettui l'accesso all'account di gestione dell'organizzazione, puoi aggiungere o rimuovere i tag collegati a una policy di tag. Per farlo, completa le seguenti fasi.

Autorizzazioni minime

Per modificare i tag associati a una policy di tag nella tua organizzazione , è necessario disporre delle seguenti autorizzazioni:

• organizations:DescribeOrganization (solo console - per passare alla policy)

• organizations:DescribePolicy (solo console - per passare alla policy)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Per modificare i tag collegati a una policy di rifiuto dei servizi di IA

1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

2. Nella pagina Tag policies (Policy di tag), scegli il nome della policy con i tag che vuoi modificare.

3. Nella pagina dei dettagli della policy, scegli la scheda Tags, quindi scegli Manage tags (Gestisci tag).

4. In questa pagina puoi eseguire le seguenti operazioni:

   • Modifica il valore di un tag inserendo un nuovo valore rispetto a quello precedente. Non è possibile modificare la chiave. Per cambiare una chiave, devi eliminare il tag con la vecchia chiave e aggiungere un tag con la nuova chiave.

   • Rimuovi eventuali tag esistenti scegliendo Remove (Rimuovi).

   • Aggiungi una nuova coppia chiave e valore di tag. Scegli Add tag (Aggiungi tag), quindi inserisci il nuovo nome della chiave e il valore facoltativo nelle caselle fornite. Se lasci vuota la casella Value (Valore), il valore è una stringa vuota; non è null.

5. Scegli Save changes (Salva le modifiche) dopo avere apportato tutte le aggiunte, le rimozioni e le modifiche opportune.

AWS CLI & AWS SDKs

Per modificare i tag associati a una policy di tag

Per modificare i tag associati a una policy di tag puoi utilizzare uno dei seguenti comandi:

• AWS CLI: tag-resource e untag-resource

• AWS SDKs: TagResourcee UntagResource

Eliminazione di una policy di tag

Quando effettui l'accesso all'account di gestione della tua organizzazione, puoi eliminare una policy di cui non hai più bisogno nella tua organizzazione.

Prima di poter eliminare una policy, devi distaccarla da tutte le entità collegate.

Autorizzazioni minime

Per eliminare una policy di tag, è necessaria l'autorizzazione per la seguente operazione:

• organizations:DeletePolicy

AWS Management Console

Per eliminare una policy di tag

1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

3. Nella pagina Tag policies (Policy di tag), sceglie la policy di tag che desideri eliminare.

4. È innanzitutto necessario scollegare la politica che si desidera eliminare da tutte le radici e OUs gli account. Seleziona la scheda Targets (Destinazioni), scegli il pulsante di opzione accanto a ciascun root, UO o account visualizzato nell'elenco Targets e scegli Detach (Scollega). Nella finestra di dialogo di conferma, scegli Detach (Scollega).

5. Nella parte superiore della pagina, seleziona Delete (Elimina).

6. Nella finestra di dialogo di conferma, inserisci il nome della policy, quindi scegli Delete (Elimina).

AWS CLI & AWS SDKs

Per eliminare una politica di backup

I seguenti esempi di codice mostrano come utilizzareDeletePolicy.

.NET

AWS SDK for .NET

Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Per API i dettagli, vedi DeletePolicy AWS SDK for .NETAPIReference.

CLI

AWS CLI

Per eliminare una politica

L'esempio seguente mostra come eliminare una politica da un'organizzazione. L'esempio presuppone che in precedenza sia stata scollegata la politica da tutte le entità:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Per API i dettagli, vedere DeletePolicyin AWS CLI Command Reference.

Python

SDKper Python (Boto3)

Nota

C'è di più su. GitHub Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Per API i dettagli, vedere DeletePolicyPython (Boto3) Reference.AWS SDK API