Avaliar a conformidade em toda a organização

Você pode avaliar a conformidade da sua organização com a política de tag efetiva. Você pode gerar um relatório que liste todos os recursos marcados em contas em toda a organização e que indique se cada recurso está em conformidade com a política de tag em vigor.

Importante

Os recursos sem tag não são exibidos como incompatíveis nos resultados.

Para encontrar recursos sem tag em sua conta, use Explorador de recursos da AWS com uma consulta que use tag:none. Para obter mais informações, consulte Pesquisa de recursos sem tags no Guia do usuário do Explorador de recursos da AWS.

Você pode gerar o relatório a partir da conta de gerenciamento da organização apenas na Região da AWS us-east-1. A conta que gera o relatório deve ter acesso a um bucket do Amazon S3 na região Leste dos EUA (Norte da Virgínia). O bucket deve ter uma política de bucket anexada, conforme mostrado em Política de bucket do Amazon S3 para relatório de armazenamento.

Para gerar um relatório de compatibilidade com toda a organização, você deve ter as seguintes permissões:

organizations:DescribeEffectivePolicy
tag:StartReportCreation
tag:DescribeReportCreation
tag:GetComplianceSummary

Para gerar um relatório de conformidade em toda a organização (console)

Abra o Console de políticas de tag.
Escolha a guia Raiz desta organização e, na parte inferior da página, escolha Gerar relatório.
Na tela Gerar relatório, especifique onde armazenar o relatório.
Escolha Iniciar exportação.

Quando o relatório estiver concluído, você poderá baixá-lo na seção Relatório de não conformidade na guia Raiz da organização.

Veja a seguir um exemplo de trecho do relatório.

A planilha exibe o status de conformidade e as informações de suporte para cada tipo de recurso.

Observações

A conformidade em toda a organização é avaliada a cada 48 horas. Isso resulta no seguinte:

Observe que pode levar até 48 horas para que as alterações em uma política de tag ou recursos sejam refletidas no relatório de conformidade em toda a organização. Por exemplo, suponha que você tenha uma política de tag que define uma nova tag padronizada para um tipo de recurso. Os recursos desse tipo que não têm essa tag podem ser mostrados como compatíveis no relatório por até 48 horas.
Embora você possa gerar o relatório a qualquer momento, os resultados do relatório não são atualizados até que a próxima avaliação seja concluída.
A NoncompliantKeyscoluna lista as chaves de tag no recurso que não estão em conformidade com a política de tags efetiva.
A KeysWithNonCompliantValuescoluna lista as chaves definidas na política efetiva que estão no recurso com tratamento de caso incorreto ou valores não compatíveis.
Se você fechar uma Conta da AWS que era membro da organização, ela poderá continuar aparecendo no relatório de conformidade da tag por até 90 dias.

Para gerar um relatório de conformidade em toda a organização (AWS CLI, API da AWS)

Use os comandos e as operações a seguir para gerar um relatório de conformidade em toda a organização, verificar seu status e visualizar o relatório:

AWS Command Line Interface AWS CLI):
Para obter o procedimento completo de uso de políticas de tag no AWS CLI, consulte Usar políticas de tag no AWS CLI no Guia do usuário do AWS Organizations.
API da AWS:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Avaliação da conformidade de uma conta

Como monitorar alterações de tags