AWS Organizations politiche di tag - AWS Risorse per l'etichettatura e editor di tag
Prerequisiti e autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Organizations politiche di tag

Una politica sui tag è un tipo di politica che crei in AWS Organizations. Puoi utilizzare le politiche sui tag per standardizzare i tag tra le risorse degli account della tua organizzazione. Per utilizzare le politiche sui tag, ti consigliamo di seguire i flussi di lavoro descritti in Guida introduttiva alle politiche sui tag nella AWS Organizations Guida per l'utente. Come indicato in quella pagina, i flussi di lavoro consigliati includono la ricerca e la correzione di tag non conformi. Per eseguire queste attività, si utilizza la console Tag Editor.

Prerequisiti e autorizzazioni

Prima di poter valutare la conformità alle politiche sui tag in Tag Editor, è necessario soddisfare i requisiti e impostare le autorizzazioni necessarie.

Prerequisiti per valutare la conformità alle politiche sui tag

La valutazione della conformità alle politiche sui tag richiede quanto segue:

Autorizzazioni per la valutazione della conformità di un account

La ricerca di tag non conformi nelle risorse di un account richiede le seguenti autorizzazioni:

  • organizations:DescribeEffectivePolicy— Per ottenere i contenuti della politica di tag efficace per l'account.

  • tag:GetResources— Per ottenere un elenco di risorse che non rispettano la politica sui tag allegata.

  • tag:TagResources— Per aggiungere o aggiornare i tag. Sono inoltre necessarie le autorizzazioni specifiche del servizio per creare tag. Ad esempio, per etichettare le risorse in Amazon Elastic Compute Cloud (AmazonEC2), sono necessarie le autorizzazioni per. ec2:CreateTags

  • tag:UnTagResources— Per rimuovere un tag. Sono inoltre necessarie le autorizzazioni specifiche del servizio per rimuovere i tag. Ad esempio, per rimuovere i tag dalle risorse in AmazonEC2, sono necessarie le autorizzazioni per. ec2:DeleteTags

L'esempio seguente AWS Identity and Access Management (IAM) la policy fornisce le autorizzazioni per valutare la conformità dei tag per un account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulle IAM politiche e le autorizzazioni, consulta la Guida per l'IAMutente.

Autorizzazioni per la valutazione della conformità a livello di organizzazione

La valutazione della conformità a livello di organizzazione alle politiche di tag richiede le seguenti autorizzazioni:

  • organizations:DescribeEffectivePolicy— Per ottenere il contenuto della politica sui tag allegata all'organizzazione, all'unità organizzativa (OU) o all'account.

  • tag:GetComplianceSummary— Per ottenere un riepilogo delle risorse non conformi in tutti gli account dell'organizzazione.

  • tag:StartReportCreation— Per esportare i risultati della valutazione di conformità più recente in un file. La conformità a livello di organizzazione viene valutata ogni 48 ore.

  • tag:DescribeReportCreation— Per verificare lo stato della creazione del report.

  • s3:ListAllMyBuckets— Per facilitare l'accesso al rapporto di conformità a livello di organizzazione.

  • s3:GetBucketAcl— Ispezionare l'Access Control List (ACL) del bucket Amazon S3 che riceve il rapporto di conformità.

  • s3:GetObject— Per recuperare il rapporto di conformità dal bucket Amazon S3 di proprietà del servizio.

  • s3:PutObject— Inserire il rapporto di conformità nel bucket Amazon S3 specificato.

La seguente IAM policy di esempio fornisce le autorizzazioni per valutare la conformità a livello di organizzazione. Sostituisci ciascuno placeholder con le tue informazioni:

  • bucket_name — Il nome del tuo bucket Amazon S3

  • organization_id — L'ID della tua organizzazione 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation",
                "tag:GetComplianceSummary",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetBucketAclForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket_name",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GetObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "PutObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "StringLike": {
                    "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
                }
            }
        }
    ]
}

Per ulteriori informazioni sulle IAM politiche e le autorizzazioni, consulta la Guida per l'IAMutente.

Policy sui bucket di Amazon S3 per l'archiviazione dei report

Per creare un report di conformità a livello di organizzazione, l'identità che usi per chiamare StartReportCreation API deve avere accesso a un bucket Amazon Simple Storage Service (Amazon S3) nella regione Stati Uniti orientali (Virginia settentrionale) per archiviare il rapporto. Tag Policies utilizza le credenziali dell'identità chiamante per inviare il report di conformità al bucket specificato.

Se il bucket e l'identità utilizzati per chiamarlo StartReportCreation API appartengono allo stesso account, non sono necessarie policy di bucket Amazon S3 aggiuntive per questo caso d'uso.

Se l'account associato all'identità utilizzata per chiamare il StartReportCreation API è diverso dall'account proprietario del bucket Amazon S3, al bucket deve essere allegata la seguente policy relativa al bucket. Sostituisci ciascuno placeholder con le tue informazioni:

  • bucket_name — Il nome del tuo bucket Amazon S3

  • organization_id — L'ID della tua organizzazione

  • identità_ ARN — L'ARNIAMidentità utilizzata per chiamare il StartReportCreation API 

{
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "CrossAccountTagPolicyACL", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::bucket_name"
         }, 
         { 
            "Sid": "CrossAccountTagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:PutObject", 
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*"
         } 
    ] 
}