As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Imponha a consistência da marcação
As políticas de tags fornecem dois recursos para ajudá-lo a impor a consistência da marcação em seus AWS ambientes: “Regras básicas de conformidade” e “Chave de tag obrigatória”. Você pode usar esses recursos com dois modos de política de tags: imposição e emissão de relatórios. Esta seção destaca o modo de fiscalização para ambos os recursos. Para obter detalhes sobre o modo de geração de relatórios para ambos os recursos, consulte “Conformidade de marcação de relatórios”.
Tópicos
Aplique as “regras básicas de conformidade”
Com a aplicação das regras básicas de conformidade, você pode impedir a criação de recursos com valores de tag que não atendam aos requisitos especificados em sua política de tags. Por exemplo, você pode definir uma política que bloqueie as operações de EC2 criação da Amazon se a chave de tag CostCenter '' fornecida não tiver um valor de tag de “Comercial” ou “Legal”. As regras básicas de conformidade também permitem que você aplique a fiscalização com base na capitalização das chaves de tag. Ativar a capitalização garante que as chaves de tag correspondam exatamente à sequência de caracteres. A capitalização trata "CostCenter“, “CostCenter” e “Costcenter” como chaves de tag exclusivas, o que significa que a aplicação da chave de tag diferencia maiúsculas de minúsculas. A aplicação de letras maiúsculas impede que as equipes criem variações de tags acidentalmente. A consistência da marcação é fundamental tanto para a precisão do controle de custos quanto para as políticas de segurança de controle de acesso baseado em atributos (ABAC) que dependem da correspondência precisa de etiquetas para conceder ou negar acesso a recursos.
Importante
As regras básicas de conformidade não impõem a conformidade de tags em recursos criados sem tags. Esse recurso não impõe chaves de tag ausentes. Você não pode usar esse recurso para garantir que as chaves de tag necessárias ou obrigatórias sejam configuradas na criação do recurso. Use o modo de relatório em “Chaves de tag obrigatórias” para aplicar as chaves de tag necessárias para recursos criados por ferramentas de IaC CloudFormation, como Terraform e Pulumi. Use SCPs para impedir que usuários e funções do IAM nas contas de destino criem determinados tipos de recursos se a solicitação não incluir as tags especificadas.
Para impor regras básicas de conformidade com políticas de tags, faça o seguinte ao criar uma política de tags:
-
Na guia Editor visual, selecione a opção Evitar operações não compatíveis com essa tag. Consulte a seção Criar uma política de tags para ver as etapas sobre como criar e anexar uma política de tags.
-
Na guia JSON, use o campo
enforced_for. Para obter informações sobre a sintaxe da política de tag, consulte Sintaxe e exemplos de políticas de tag.
A imagem abaixo mostra a experiência de console da guia Editor visual. Neste exemplo, o cliente está definindo uma política de tags que aplicará a validação do valor da tag somente para os tipos de EC2 recursos da Amazon que são compatíveis com as políticas de tags. Essa política verificará se o valor da tag é “Legal” ou “HR” quando a chave de tag fornecida for "CostCenter" para os tipos de EC2 recursos da Amazon. Essa política também impõe a capitalização, o que significa que a política está procurando uma sequência de caracteres exata que corresponda à chave de tag CostCenter "”.
O JSON abaixo é a política de tags gerada a partir do exemplo CostCenter "” acima.
Importante
Recomendamos que você use o editor visual ao definir sua política de tags pela primeira vez. O editor visual garante que a sintaxe da política de tags seja válida, sem etapas adicionais, e oferece uma experiência simplificada e clicável para definir sua política de tags. Você pode usar o editor visual ou a guia JSON para definir sua política de tags.
{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "HR", "Legal" ] }, "enforced_for": { "@@assign": [ "ec2:ALL_SUPPORTED" ] } } } }
Práticas recomendadas
Siga estas melhores práticas de fiscalização com “Regras básicas de conformidade” e “Chaves de tag necessárias para IaC” com políticas de tags:
-
Tenha cuidado ao impor a conformidade — certifique-se de compreender os efeitos do uso de políticas de tags e siga os fluxos de trabalho recomendados descritos em. Conceitos básicos das políticas de tag Teste como a fiscalização funciona em uma conta de teste antes de expandi-la para mais contas ou unidades organizacionais. Caso contrário, você pode impedir que os usuários nas contas da organização criem os recursos necessários.
-
Saiba quais tipos de recursos você pode aplicar – você só pode impor a compatibilidade com as políticas de tag em tipos de recursos suportados. Os tipos de recursos que são compatíveis com a aplicação da conformidade são listados quando você usa o editor visual para criar uma política de tag.
-
Entenda as interações com alguns serviços — alguns Serviços da AWS têm agrupamentos de recursos semelhantes a contêineres que criam recursos automaticamente para você e propagam tags de um recurso em um serviço para outro. Por exemplo, tags em EC2 grupos da Amazon e clusters do Amazon EMR podem se propagar automaticamente para as instâncias da Amazon contidas. EC2 Você pode ter políticas de tags para a Amazon EC2 que sejam mais rígidas do que para grupos ou clusters do Amazon EMR. Se você habilitar a aplicação, a política de tag impede que os recursos sejam marcados e pode bloquear o dimensionamento dinâmico e o provisionamento.
As seções a seguir mostram como você pode encontrar recursos não compatíveis e corrigi-los para torná-los compatíveis.
Tópicos
