Visualizzazione delle policy di tag operative

Prima di iniziare a controllare lo stato di conformità per le risorse con tag in un account, è utile determinare innanzitutto la policy di tag operativa per un account.

Qual è la policy di tag operativa?

La policy di tag operativa specifica le regole di tag applicabili a un account. È l'aggregazione di tutte le policy di tag ereditate dall'account, oltre a qualsiasi policy di tag direttamente collegata all'account. Quando colleghi una policy di tag alla root dell'organizzazione, questa si applica a tutti gli account dell'organizzazione. Quando colleghi una policy di tag a un'unità organizzativa, questa si applica a tutti gli account e alle unità organizzative appartenenti all'unità organizzativa.

Ad esempio, la policy di tag collegata al root dell'organizzazione può definire un tag CostCenter con quattro valori conformi. Una policy di tag separata collegata all'account può limitare la chiave CostCenter a soli due dei quattro valori conformi. La combinazione di queste policy di tag costituisce la policy di tag operativa. Il risultato è che solo due dei quattro valori di tag conformi definiti nella policy del tag root dell'organizzazione sono conformi per l'account.

Per ulteriori informazioni ed esempi più avanzati di come vengono generate le policy di tag operative, consulta Comprendere l'ereditarietà delle policy di gestione.

Come visualizzare la policy di tag operativa

Puoi visualizzare la policy di tag operativa per un account dalla AWS Management Console, dall'API AWS o l'AWS Command Line Interface.

Autorizzazioni minime

Per visualizzare la policy di tag operativa per un account, è necessario disporre dell'autorizzazione per le seguenti operazioni:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

AWS Management Console

Per visualizzare la policy di tag effettiva per un account

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina Account AWS, scegli il nome dell'account per il quale desideri visualizzare la policy di tag effettiva. Potrebbe essere necessario espandere le UO (scegli l'opzione ) per individuare l'account desiderato.

3. Nella scheda Policies (Policy), nella sezione Tag policies (Policy di tag), scegli View the effective tag policy for this (Visualizza la policy di tag effettiva per questo) Account AWS.

   Nella console viene visualizzata la policy effettiva applicata all'account specificato.

   Nota

   Non è possibile copiare e incollare una policy effettiva e utilizzarla come JSON per un'altra policy di tag senza modifiche significative. I documenti della policy di tag devono includere gli operatori di ereditarietà che specificano la modalità di unione di ciascuna impostazione nella policy effettiva finale.

AWS CLI & AWS SDKs

Per visualizzare la policy di tag effettiva per un account

Puoi utilizzare una delle seguenti opzioni per visualizzare la policy di tag operativa:

• AWS CLI: describe-effective-policy

  Per determinare quali regole di assegnazione di tag sono ereditate da o collegate a un account, esegui le operazioni indicate di seguito dall'account e salva i risultati in un file:

  $ aws organizations describe-effective-policy \
      --policy-type TAG_POLICY
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
          "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
          "TargetId": "123456789012",
          "PolicyType": "TAG_POLICY"
      }
  }

  Se una policy di tag è collegata all'account e al root o una o più UO, la combinazione di tutte le policy ereditate definisce la policy di tag effettiva dell'account. In questi casi, l'esecuzione di describe-effective-policy dall'account restituisce il contenuto unito di tutte le policy di tag nella gerarchia dell'account.

• SDK AWS: DescribeEffectivePolicy