Práticas recomendadas para usar políticas de tag - AWS Organizations

Práticas recomendadas para usar políticas de tag

AWSA recomenda as seguintes práticas para o uso de políticas de tag.

Decida sobre uma estratégia de capitalização de tag

Determine como você deseja usar maiúsculas e minúsculas nas tags e implemente consistentemente essa estratégia em todos os tipos de recursos. Por exemplo, decida se deseja usar Costcenter, costcenter ou CostCenter e use a mesma convenção para todas as tags. Para obter resultados consistentes em relatórios de conformidade, evite usar tags semelhantes com tratamento inconsistente de maiúsculas e minúsculas. Essa estratégia ajudará você a definir as políticas de tag da organização.

Use o fluxo de trabalho recomendado

Comece de baixo criando uma política de tags simples. Em seguida, anexe-a a uma conta-membro que você pode usar para fins de teste. Use os fluxos de trabalho descritos em Conceitos básicos das políticas de tag.

Determine regras de marcação

Isso dependerá das necessidades da organização. Por exemplo, você talvez queira especificar que, quando uma tag CostCenter for anexada a segredos do AWS Secrets Manager, ela deverá usar o tratamento de maiúsculas e minúsculas especificado. Crie políticas de tag que definam tags compatíveis e as anexe às entidades da organização nas quais você deseja que essas regras de atribuição de tags estejam em vigor.

Eduque os administradores de contas

Quando estiver pronto para expandir o uso das políticas de tag, instrua os administradores de contas da seguinte forma:

  • Comunique sua estratégia de atribuição de tags.

  • Enfatize que os administradores precisam usar tags em tipos de recursos específicos.

    Isso é importante, pois os recursos sem tags não são mostrados como incompatíveis nos resultados de conformidade.

  • Fornecer orientações sobre como verificar a conformidade com as política de tag. Instrua os administradores a localizar e corrigir tags incompatíveis em recursos em suas contas usando o procedimento descrito em Avaliação da conformidade de uma conta no Guia do usuário do AWS Resource Groups. Informe-os com que frequência você quer que eles verifiquem a conformidade.

Esteja atento ao aplicar a conformidade.

A aplicação da conformidade pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários. Primeiramente, revise as informações em Noções básicas sobre a aplicação. Consulte também os fluxos de trabalho descritos em Conceitos básicos das políticas de tag.

Considere a criação de um SCP para definir proteções em torno de solicitações de criação de recursos

Os recursos que nunca tiveram tags anexadas a eles não aparecem como incompatíveis nos relatórios. Os administradores de conta ainda podem criar recursos sem tags. Em alguns casos, você pode usar uma política de controle de serviço (SCP) para definir proteções em torno de solicitações de criação de recursos. Para obter um exemplo de SCP, consulte Exigir uma tag em recursos criados especificados. Para saber se um serviço da AWS oferece suporte a controle de acesso usando tags, consulte Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM. Procure os serviços que têm Yes (Sim) na coluna Authorization based on tag (Autorização baseada em tags). Selecione o nome do serviço para visualizar a documentação de controle de acesso e a autorização desse serviço.