Noções básicas sobre a aplicação - AWS Organizations

Noções básicas sobre a aplicação

Uma política de tags pode definir que operações de atribuição de tags não compatíveis em tipos de recursos especificados sejam aplicadas. Em outras palavras, solicitações de atribuição de tags não compatíveis em tipos de recursos especificados são impedidas de serem concluídas.

Importante

A imposição não tem efeito nos recursos criados sem tags.

Para aplicar a conformidade com políticas de tag, execute um dos procedimentos a seguir ao criar uma política de tags:

Siga as melhores práticas descritas a seguir para aplicar a conformidade com as políticas de tag:

  • Tenha cuidado ao aplicar a compatibilidade – certifique-se de entender os efeitos do uso das políticas de tag e siga os fluxos de trabalho recomendados descritos em Conceitos básicos das políticas de tag. Teste como a aplicação funciona em uma conta de teste antes de expandi-la para mais contas. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.

  • Saiba quais tipos de recursos você pode aplicar – você só pode impor a compatibilidade com as políticas de tag em tipos de recursos suportados. Os tipos de recursos que são compatíveis com a aplicação da conformidade são listados quando você usa o editor visual para criar uma política de tag.

  • Compreenda as interações com alguns serviços – alguns serviços da AWS têm agrupamentos de recursos semelhantes a contêineres que criam recursos automaticamente para você, e as tags podem ser propagadas de um recurso em um serviço para outro. Por exemplo, tags em grupos do Amazon EC2 Auto Scaling e clusters do Amazon EMR podem propagar-se automaticamente para as instâncias contidas do Amazon EC2. Você pode ter políticas de tag para o Amazon EC2 que são mais rigorosas do que as dos grupos do Auto Scaling ou os clusters do EMR. Se você habilitar a aplicação, a política de tag impede que os recursos sejam marcados e pode bloquear o dimensionamento dinâmico e o provisionamento.

As seções a seguir mostram como você pode encontrar recursos não compatíveis e corrigi-los para torná-los compatíveis.

Localizar recursos incompatíveis de uma conta

Para cada conta, você pode obter informações sobre recursos incompatíveis. Você deve executar esse comando de todas as regiões em que a conta tem recursos.

Para localizar recursos incompatíveis para uma conta que usa uma de tag política em vigor, execute o seguinte comando quando fizer login na conta e salve os resultados em um arquivo:

$ aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources > outputfile.txt

Corrigir tags incompatíveis em recursos

Depois de encontrar tags incompatíveis, faça correções usando qualquer um dos seguintes métodos. Você deve estar conectado à conta que tem o recurso com tags incompatíveis:

  • Use o console ou as operações de API de marcação do serviço da AWS que criou os recursos incompatíveis.

  • Usar as operações AWS Resource Groups TagResources e UntagResources para adicionar tags compatíveis com a política em vigor ou remover tags incompatíveis.

Localizar e corrigir problemas adicionais de incompatibilidade

Encontrar e corrigir problemas de conformidade é um processo iterativo. Repita as etapas nas duas seções anteriores até que os recursos com os quais você se preocupa estejam compatíveis com sua política de tag.

Gerar um relatório de conformidade em toda a organização

A qualquer momento, você pode gerar um relatório que lista todos os recursos com tags em todas as contas da Contas da AWS de toda a organização. O relatório mostra se cada recurso está em conformidade com a política de tag efetiva. Observe que pode levar até 48 horas para que as alterações feitas em uma política de tag ou recursos sejam refletidas no relatório de conformidade de toda a organização. Por exemplo, suponha que você tenha uma política de tag que define uma nova tag padronizada para um tipo de recurso. Os recursos desse tipo que não têm essa tag são mostrados como compatíveis no relatório por até 48 horas.

Você pode gerar o relatório a partir da conta de gerenciamento da organização na região us-east-1, desde que ele tenha acesso a um bucket do Amazon S3. O bucket deve ter uma política de bucket anexada, conforme mostrado em Política de bucket do Amazon S3 para relatório de armazenamento. Para gerar o relatório, execute o seguinte comando:

$ aws resourcegroupstaggingapi get-compliance-summary --region us-east-1 { "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ] }

Você pode gerar um relatório de cada vez.

Este relatório pode levar algum tempo para ser concluído. Você pode verificar o status executando o seguinte comando:

$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1 { "Status": "SUCCEEDED" }

Depois que o comando acima retornar SUCCEEDED, você pode abrir o relatório no bucket do Amazon S3.