Visualizar políticas de tag efetivas

Antes de começar a verificar o status de conformidade dos recursos com tag em uma conta, é recomendável determinar primeiro a política de tags efetiva para uma conta.

Qual é a política de tag efetiva?

A política de tags efetiva especifica as regras de atribuição de tags que se aplicam a uma conta. É a agregação de todas as políticas de tag que a conta herda, além de qualquer política de tag diretamente anexada à conta. Quando você anexa uma política de tags à raiz da organização, ela se aplica a todas as contas na organização. Quando você anexa uma política de tag a uma UO, ela se aplica a todas as contas e UOs que pertencem à UO.

Por exemplo, a política de tag anexada à raiz da organização pode definir uma tag CostCenter com quatro valores compatíveis. Uma política de tag separada anexada à conta pode restringir a chave CostCenter a apenas dois dos quatro valores compatíveis. A combinação dessas políticas de tag inclui a política de tag efetiva. O resultado é que apenas dois dos quatro valores de tag compatíveis, definidos na política de tag da raiz da organização, são compatíveis com a conta.

Para obter mais informações e exemplos mais avançados de como as políticas de tag efetivas são geradas, consulte Entendendo a herança da política de gerenciamento.

Como visualizar a política de tag efetiva

Você pode visualizar a política de tag efetiva de uma conta no AWS Management Console, na API da AWS ou na AWS Command Line Interface.

Permissões mínimas

Para visualizar a política de tag efetiva de uma conta, você deve ter permissão para executar as seguintes ações:

• organizations:DescribeEffectivePolicy

• organizations:DescribeOrganization

AWS Management Console

Para visualizar a política de tag em vigor para uma conta

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. Na página Contas da AWS, escolha o nome da conta para a qual você deseja visualizar a política de tag em vigor. Talvez seja necessário expandir as UOs (escolha ) para encontrar a conta que você deseja.

3. Na guia Policies (Políticas), na seção Tag policies (Políticas de tag, escolha View the effective backup policy for this Conta da AWS (Visualizar a política de tag em vigor para esta Conta da AWS).

   O console exibe a política em vigor aplicada à conta especificada.

   nota

   Não é possível copiar e colar uma política em vigor e usá-la como JSON para outra política de tag sem alterações significativas. Documentos de política de tag devem incluir os operadores de herança que especificam como cada configuração é mesclada na política em vigor final.

AWS CLI & AWS SDKs

Para visualizar a política de tag em vigor para uma conta

Você pode usar uma das seguintes opções para visualizar a política de tag efetiva:

• AWS CLI: describe-effective-policy

  Para determinar quais regras de atribuição de tags são herdadas ou anexadas a uma conta, execute o seguinte na conta e salve os resultados em um arquivo:

  $ aws organizations describe-effective-policy \
      --policy-type TAG_POLICY
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
          "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
          "TargetId": "123456789012",
          "PolicyType": "TAG_POLICY"
      }
  }

  Se uma política de tag for anexada à conta, bem como à raiz da organização ou a qualquer UO, a combinação de ambas as políticas definirá a política de tag em vigor na conta. Nesses casos, executar describe-effective-policy na conta retorna o conteúdo mesclado de todas as políticas de tag na hierarquia da conta.

• AWS SDKs: DescribeEffectivePolicy