Criar, atualizar e excluir políticas de tag

Neste tópico:

• Depois de habilitar as políticas de tag para sua organização, você pode criar uma política.

• Quando seu requisitos de marcação mudarem, você pode atualizar uma política existente.

• Quando você não precisar mais de uma política e depois de desvinculá-la de todas as unidades organizacionais (UOs) e contas, você poderá excluí-la.

Importante

Os recursos sem tag não são exibidos como incompatíveis nos resultados.

Criar uma política de tag

Permissões mínimas

Para criar políticas de tag, você precisa de permissão para executar a seguinte ação:

• organizations:CreatePolicy

Você pode criar uma política de tags AWS Management Console de duas maneiras:

• Um editor visual que permite escolher opções e gera o texto da política JSON para você.

• Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

AWS Management Console

Como criar uma política de tag

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. Na página Tag policies (Políticas de tag) escolha Create policy (Criar política).

3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

4. (Opcional) Você pode adicionar uma ou mais tags ao próprio objeto política. Essas tags não fazem parte da política. Para fazer isso, escolha Add tag (Adicionar tag) e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para ter mais informações, consulte Marcando atributos AWS Organizations.

5. Você pode criar a política de tags usando o Visual editor (Editor Visual) conforme descrito neste procedimento. Você também pode digitar ou colar uma política de tag na guia JSON. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

   Em New tag Key 1 (Nova chave de tag 1), especifique o nome de uma chave de tag a ser adicionada.

6. Em Tag key capitalization compliance (Compatibilidade de maiúsculas e minúsculas em chave de tag), deixe esta opção desmarcada (o padrão) para especificar que a política de tag superior deve definir o tratamento de maiúsculas e minúsculas para a chave de tag.

   Habilite esta opção se quiser impor uma definição de maiúsculas e minúsculas para a chave de tag usando esta política. Se você selecionar essa opção, a diferenciação de maiúsculas e minúsculas especificada em Tag Key (Chave de tag) substituirá o tratamento de maiúsculas e minúsculas especificado em uma política superior.

   Se uma política superior não existir e você não habilitar essa opção, somente chaves de tag com todos os caracteres minúsculos serão consideradas compatíveis. Para obter mais informações sobre herança de políticas superiores, consulte Entendendo a herança da política de gerenciamento.

   dica

   Considere usar como guia a política de tags de exemplo mostrada em Exemplo 1: definir maiúsculas e minúsculas de chave de tag em toda a organização, na criação de uma política de tag que defina chaves de tag e o tratamento de maiúsculas e minúsculas. Anexe-a à raiz da organização. Posteriormente, você pode criar e anexar políticas de tag adicionais a UOs ou contas, a fim de criar outras regras de atribuição de tags.

7. Para Tag value compliance (Compatibilidade de valor de tag), habilite esta opção se quiser adicionar valores permitidos para esta chave de tag a quaisquer valores herdados de uma política superior.

   Por padrão, essa opção está desmarcada, o que significa que somente os valores herdados de uma política superior são considerados compatíveis. Se uma política pai não existir e você não especificar valores de tag, qualquer valor (incluindo nenhum valor) será considerado compatível.

   Para atualizar a lista de valores de tag aceitáveis, selecione Specify allowed values for this tag key (Especificar valores permitidos para esta chave de tag) e depois Specify values (Especificar valores). Quando solicitado, insira os novos valores e escolha Save changes (Salvar alterações).

8. Em Prevent noncompliant operations for this tag (Impedir operações não compatíveis para esta tag), deixe esta opção desmarcada (o padrão), a menos que você tenha experiência com o uso de políticas de tag. Verifique se você revisou as recomendações em Noções básicas sobre a aplicação e teste cuidadosamente. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.

   Se você quiser impor compatibilidade com essa chave de tag, marque a caixa de seleção e selecione, Specify allowed values (Especificar valores permitidos). Quando solicitado, selecione os tipos de recursos a serem incluídos na política. Em seguida, escolha Salvar alterações.

   Importante

   Quando você seleciona essa opção, todas as operações que manipulam tags para recursos dos tipos especificados só serão bem-sucedidas se a operação resultar em tags compatíveis com a política.

9. (Opcional) Para adicionar outra chave de tag a esta política de tag, escolha Add tag key (Adicionar chave de tag). Depois, execute as etapas de 6 a 9 para definir a chave de tag.

10. Quando terminar de criar sua política de tags, escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs

Como criar uma política de tag

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

• AWS CLI: create-policy

  É possível usar qualquer editor de texto para criar a política de tag. Use a sintaxe JSON e salve a política de tag como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de tag podem ter no máximo 2.500 caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

  Como criar uma política de tag

  1. Crie uma política de tag em um arquivo de texto semelhante ao seguinte:

     Conteúdo de testpolicy.json:

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     Esta política de tag define a chave de tag CostCenter. A tag pode aceitar qualquer valor ou nenhum valor. Uma política como essa significa que um recurso que tem a CostCenter tag anexada com ou sem um valor está em conformidade.

  2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDKs: CreatePolicy

O que fazer em seguida

Depois de criar uma política de tags, você pode colocar suas regras de atribuição de tags em vigor. Para fazer isso, anexe a política à raiz da organização, às unidades organizacionais (OUs), Contas da AWS dentro da sua organização ou a uma combinação de entidades da organização.

Atualizar uma política de tag

Permissões mínimas

Para atualizar uma política de tag, você deve ter permissão para executar as seguintes ações:

• organizations:UpdatePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política especificada (ou "*")

• organizations:DescribePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política especificada (ou "*")

AWS Management Console

Para atualizar uma política de tag

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. Na página Tag policie (Políticas de tag), escolha a política de tag que deseja atualizar.

3. Escolha Editar política.

4. Você pode inserir um novo nome da política, descrição da política. Você pode alterar o conteúdo da política usando o Editor visual ou editando o JSON.

5. Quando terminar de atualizar a política de tag, escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs

Para atualizar uma política

Você pode usar uma das seguintes opções para atualizar uma política:

• AWS CLI: update-policy

  O exemplo a seguir renomeia uma política de tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed tag policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
          "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  O exemplo a seguir adiciona ou altera a descrição de uma política de tag.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new tag policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
         "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
      }
  }

  O exemplo a seguir altera o documento de política JSON anexado a uma política de exclusão dos serviços de IA. Neste exemplo, o conteúdo é retirado de um arquivo chamado policy.json com o seguinte texto:

  {
    "tags": {
      "Stage": {
        "tag_key": {
          "@@assign": "Stage"
        },
        "tag_value": {
          "@@assign": [
            "Production",
            "Test"
          ]
        }
      }
    }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
              "Name": "Renamed tag policy",
              "Description": "My new tag policy description",
              "Type": "TAG_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
  }

• AWS SDKs: UpdatePolicy

Edição de tags anexadas a uma política de backup

Quando faz login na conta de gerenciamento da sua organização, você pode adicionar ou remover as tags anexadas a uma política de tag. Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para editar as tags anexadas a uma política de tags em sua AWS organização, você deve ter as seguintes permissões:

• organizations:DescribeOrganization (somente console – para navegar até a política)

• organizations:DescribePolicy (somente console – para navegar até a política)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Para editar as tags anexadas a uma política de exclusão dos serviços de IA

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. Na página Tag policies (Políticas de tag), escolha o nome da política com as tags que você deseja editar.

3. Na página de detalhes da política, escolha a guia Tags, depois escolha Manage tags (Gerenciar tags).

4. Você pode executar qualquer uma das seguintes ações nesta página:

   • Edite o valor de qualquer tag inserindo um novo valor sobre o antigo. Não é possível modificar a chave. Para alterar uma chave, você deve excluir a tag com a chave antiga e adicionar uma tag com a nova chave.

   • Remova uma tag existente escolhendo Remove (Remover).

   • Adicione um novo par de chave e valor de tag. Escolha Add tag (Adicionar tag) e insira o novo nome da chave e o valor opcional nas caixas fornecidas. Se você deixar a caixa Value (Valor) vazia, o valor é uma sequência vazia, não é null.

5. Escolha Save changes (Salvar alterações) depois de ter feito todas as adições, remoções e edições que deseja fazer.

AWS CLI & AWS SDKs

Para editar as tags anexadas a uma política de tag

Você pode usar um dos seguintes comandos para editar as tags anexadas a uma política de tag:

• AWS CLI: tag-resource e untag-resource

• AWS SDKs: TagResourcee UntagResource

Excluir uma política de tag

Quando faz login na conta de gerenciamento da sua organização, você pode excluir uma política que não seja mais necessária em sua organização.

Antes de excluir uma política, você deve primeiro desvinculá-la de todas as entidades anexadas.

Permissões mínimas

Para excluir uma política de tag, você deve ter permissão para executar a seguinte ação:

• organizations:DeletePolicy

AWS Management Console

Como excluir uma política de tag

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

3. Na página Tag policies (Políticas de tag), escolha a política de tag que deseja excluir.

4. Você primeiro deve desvincular a política que deseja excluir de todas as raízes, UOs e contas. Escolha a guia Targets (Alvos), escolha o botão de opção ao lado de cada raiz, UO ou conta que é mostrada na lista Targets (Alvos) e escolha Detach (Desvincular). Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

5. Escolha Delete (Excluir), no alto da página.

6. Na caixa de diálogo de confirmação, insira o nome da política e escolha Delete (Excluir).

AWS CLI e AWS SDKs

Para excluir uma política de backup

Os exemplos de códigos a seguir mostram como usar DeletePolicy.

.NET

AWS SDK for .NET

nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Para obter detalhes da API, consulte DeletePolicya Referência AWS SDK for .NET da API.

CLI

AWS CLI

Como excluir uma política

O exemplo a seguir mostra como excluir uma política de uma organização. O exemplo pressupõe que você já separou a política de todas as entidades:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Para obter detalhes da API, consulte DeletePolicyem Referência de AWS CLI Comandos.

Python

SDK para Python (Boto3)

nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Para obter detalhes da API, consulte a DeletePolicyReferência da API AWS SDK for Python (Boto3).