기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
적용 이해
태그 정책은 지정된 리소스 유형에 대한 정책 미준수 태그 지정 작업이 적용되도록 지정할 수 있습니다. 다시 말해서, 지정된 리소스 유형에 대한 정책 미준수 태그 지정 요청은 완료할 수 없습니다.
중요
태그 없이 생성된 리소스는 적용의 영향을 받지 않습니다.
태그 정책 준수를 적용하려면 태그 정책을 생성할 때 다음 중 하나를 수행하세요.
-
Visual editor(시각적 편집기) 탭에서 Prevent noncompliant operations for this tag(이 태그의 정책 미준수 작업 금지)를 선택합니다.
-
JSON 탭에서
enforced_for필드를 사용합니다. 태그 정책 구문에 대한 자세한 내용은 태그 정책 구문 및 예제 단원을 참조하세요.
태그 정책 준수를 적용하려면 다음 모범 사례를 따르세요.
-
정책 준수 적용 시 주의 – 태그 정책 사용의 효과를 이해하고 태그 정책 시작하기에서 설명하는 권장 워크플로우를 따라야 합니다. 추가 계정으로 확장하기 전에 테스트 계정에서 적용이 어떻게 작동하는지 테스트합니다. 그렇지 않으면 조직의 계정에 있는 사용자가 필요한 리소스에 태그를 지정하지 못하도록 할 수 있습니다.
-
적용할 수 있는 리소스 유형에 유의 – 지원되는 리소스 유형에 대해서만 태그 정책 준수를 적용할 수 있습니다. 시각적 편집기를 사용하여 태그 정책을 빌드할 때 정책 준수 적용을 지원하는 리소스 유형이 나열됩니다.
-
일부 서비스와의 상호 작용 이해 — 일부 AWS 서비스에는 리소스를 자동으로 생성하는 컨테이너와 같은 리소스 그룹이 있으며 태그는 한 서비스의 리소스에서 다른 리소스로 전파될 수 있습니다. 예를 들어 Amazon EC2 Auto Scaling 그룹 및 Amazon EMR 클러스터의 태그는 포함된 Amazon EC2 인스턴스에 자동으로 전파될 수 있습니다. Auto Scaling 그룹 또는 EMR 클러스터보다 엄격한 Amazon EC2에 대한 태그 정책이 있을 수 있습니다. 적용을 활성화하면 태그 정책에 따라 리소스에 태그가 지정되지 않으며 동적 조정 및 프로비저닝이 차단될 수 있습니다.
다음 단원에서는 정책 미준수 리소스를 찾아서 올바르게 수정하는 방법을 보여 줍니다.
계정의 정책 미준수 리소스 찾기
각 계정에 대해 정책 미준수 리소스에 대한 정보를 가져올 수 있습니다. 계정에 리소스가 있는 모든 리전에서 이 명령을 실행해야 합니다.
태그 정책을 사용하는 계정의 비준수 리소스를 찾으려면 다음 명령어를 실행하여 결과를 파일에 저장하세요.
$aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources >outputfile.txt
리소스에서 정책 미준수 태그 수정
정책 미준수 태그를 찾은 후에는 다음 방법 중 하나를 사용하여 수정합니다. 정책 미준수 태그가 포함된 리소스가 있는 계정에 로그인해야 합니다.
-
비준수 리소스를 생성한 AWS 서비스의 콘솔 또는 태깅 API 작업을 사용하십시오.
-
AWS Resource Groups TagResources및 UntagResources작업을 사용하여 효과적인 정책을 준수하는 태그를 추가하거나 규정을 준수하지 않는 태그를 제거할 수 있습니다.
추가 정책 미준수 문제 찾기 및 수정
정책 준수 문제를 찾아서 수정하는 것은 반복적인 프로세스입니다. 관리하는 리소스가 태그 정책을 준수할 때까지 이전 두 단원의 단계를 반복합니다.
조직 전체의 정책 준수 보고서 생성
언제든지 조직 전체에서 태그가 지정된 모든 리소스를 나열하는 보고서를 생성할 수 있습니다. AWS 계정 보고서에는 각 리소스가 유효 태그 정책을 준수하는지 여부가 표시됩니다. 태그 정책 또는 리소스에 대한 변경 사항이 조직 전체의 정책 준수 보고서에 반영되려면 최대 48시간까지 걸릴 수 있습니다. 예를 들어, 한 리소스 유형에 대해 표준화된 새 태그를 정의하는 태그 정책이 있다고 가정합니다. 이 태그가 없는 해당 유형의 리소스는 최대 48시간 동안 보고서에서 정책을 준수하는 것으로 표시됩니다.
Amazon S3 버킷에 대한 액세스 권한이 있는 경우 us-east-1 리전에 있는 조직의 관리 계정에서 보고서를 생성할 수 있습니다. 버킷에는 보고서 저장을 위한 Amazon S3 버킷 정책에 표시된 것과 같은 연결된 버킷 정책이 있어야 합니다. 보고서를 생성하려면 다음 명령을 실행합니다.
$aws resourcegroupstaggingapi start-report-creation --region us-east-1
한 번에 하나의 보고서를 생성할 수 있습니다.
이 보고서를 완료하려면 약간 시간이 걸릴 수 있습니다. 다음 명령을 실행하여 상태를 확인할 수 있습니다.
$aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED" }
위의 명령에서 SUCCEEDED가 반환되면 Amazon S3 버킷에서 보고서를 열 수 있습니다.
