Ricerca di risorse non conformi per un account Correzione di tag non conformi nelle risorse Individuazione e correzione di ulteriori problemi di non conformità Generazione di un report di conformità a livello di organizzazione

Informazioni sull'applicazione

Una policy di tag può specificare che le operazioni di tag non conformi vengono applicate su tipi di risorse specifici. In altre parole, le richieste di tag non conformi su tipi di risorse specifici non possono essere completate.

Importante

L'applicazione non ha alcun effetto sulle risorse create senza tag.

Per applicare la conformità alle policy di tag, eseguire una delle seguenti operazioni quando si crea una policy di tag:

Dalla scheda Visual editor (Editor visivo) selezionare Prevent noncompliant operations for this tag (Impedisci operazioni non conformi per questo tag).
Dalla scheda JSON utilizzare il campo enforced_for. Per informazioni sulla sintassi delle policy di tag, consultare Sintassi ed esempi delle policy di tag.

Segui queste best practice per applicare la conformità alle policy di tag:

Usa cautela nell'applicare la conformità - Assicurati di aver compreso gli effetti dell'utilizzo delle policy di tag e segui i flussi di lavoro raccomandati descritti in Nozioni di base sulle policy di tag. Verifica il funzionamento dell'applicazione in un account di test prima di espanderla a più account. In caso contrario, potresti impedire agli utenti degli account dell'organizzazione di applicare i tag alle risorse necessarie.
Tieni presente a quali tipi di risorse è possibile applicare la conformità - Puoi applicare la conformità solo alle policy di tag per i tipi di risorse supportati. I tipi di risorse che supportano l'applicazione della conformità vengono elencati quando utilizzi l'editor visivo per creare una policy di tag.
Comprendi le interazioni con alcuni servizi: alcuni AWS servizi dispongono di raggruppamenti di risorse simili a contenitori che creano automaticamente risorse per te e i tag possono propagarsi da una risorsa di un servizio all'altro. Ad esempio, i tag nei gruppi Amazon EC2 Auto Scaling e nei cluster Amazon EMR possono essere propagati automaticamente nelle istanze Amazon EC2 contenute. Potresti avere policy di tag per Amazon EC2 più rigorose rispetto ai gruppi Auto Scaling o ai cluster EMR. Se abiliti l'applicazione, la policy di tag impedisce l'applicazione di tag alle risorse e potrebbe bloccare il dimensionamento dinamico e il provisioning.

Nelle sezioni seguenti viene illustrato come trovare risorse non conformi e correggerle in modo che siano conformi.

Ricerca di risorse non conformi per un account

Per ogni account puoi ottenere le informazioni sulle risorse non conformi. Puoi eseguire questo comando da ogni regione in cui l'account dispone di risorse.

Per trovare risorse non conformi per un account con una politica di tag, esegui il comando seguente per salvare i risultati in un file:


$ aws resourcegroupstaggingapi get-resources  --region us-east-1 \
    --include-compliance-details \
    --exclude-compliant-resources > outputfile.txt

Correzione di tag non conformi nelle risorse

Dopo aver trovato i tag non conformi, apporta le correzioni utilizzando uno dei metodi descritti di seguito. Devi accedere all'account con la risorsa con tag non conformi:

Utilizza la console o le operazioni API di tagging del AWS servizio che ha creato le risorse non conformi.
Utilizza le UntagResourcesoperazioni AWS Resource Groups TagResourcesand per aggiungere tag conformi alla politica effettiva o per rimuovere tag non conformi.

Individuazione e correzione di ulteriori problemi di non conformità

L'individuazione e la correzione dei problemi di conformità è un processo iterativo. Ripeti i passaggi nelle due sezioni precedenti fino a quando le risorse che ti interessano non siano conformi con la policy di tag.

Generazione di un report di conformità a livello di organizzazione

In qualsiasi momento, puoi generare un rapporto che elenchi tutte le risorse con tag presenti nell'organizzazione. Account AWS Il report mostra se ogni risorsa è conforme alla policy di tag operativa. Tieni presente che le modifiche apportate a una policy di tag o alle risorse possono impiegare fino a 48 ore prima di essere riportate nel report di conformità a livello di organizzazione. Ad esempio, supponi di avere una policy di tag che definisce un nuovo tag standardizzato per un tipo di risorsa. Le risorse di quel tipo che non dispongono di questo tag vengono mostrate come conformi nel report per un massimo di 48 ore.

Puoi generare il report dall'account di gestione dell'organizzazione nella Regione us-east-1, a condizione che abbia accesso a un bucket Amazon S3. Il bucket deve essere collegato a una policy di bucket, come descritto in Policy dei bucket Amazon S3 per l'archiviazione del report. Per generare il report, esegui il comando seguente:


$ aws resourcegroupstaggingapi start-report-creation --region us-east-1

Puoi generare un report alla volta.

Il completamento del report potrebbe richiedere del tempo. Puoi controllare lo stato eseguendo il seguente comando:


$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
    "Status": "SUCCEEDED"
}

Quando il comando precedente restituisce SUCCEEDED, puoi aprire il report dal bucket Amazon S3.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di Amazon EventBridge per monitorare i tag non conformi

Servizi e tipi di risorse che supportano l'applicazione