本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Using Tag Editor
标签是一些充当元数据的键和值对,用于组织 AWS 资源。大多数 AWS 资源允许您在创建资源时添加标签。资源示例包括 Amazon Elastic Compute Cloud (Amazon EC2) 实例、Amazon Simple Storage Service (Amazon S3) 存储桶,或 AWS Secrets Manager 中的密钥。不过,您也可以使用标签编辑器一次向多个受支持资源添加标签。您针对各个类型的资源构建查询,然后为搜索结果中的资源添加、删除或替换标签。基于标签的查询将 AND 运算符分配给标签,以便查询返回与指定资源类型和所有指定的标签匹配的任何资源。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。我们使用标签为您提供账单和管理服务。标签不适合用于私有或敏感数据。
请使用标签编辑器,以同时为多个资源添加、编辑或删除标签。通过使用标签编辑器,您可以搜索要标记的资源,然后在搜索结果中管理这些资源的标签。
要启动标签编辑器
-
执行下列步骤之一:
-
选择 服务。然后,在管理和治理下,选择资源组和标签编辑器。在左侧的导航窗格中,选择 标签编辑器。
-
使用直接链接:AWS 标签编辑器控制台
。
-
标签并非适用于所有资源。有关标签编辑器支持哪些资源的信息,请参阅 AWS Resource Groups 用户指南中支持的资源类型中的标签编辑器标记列。如果不支持您要标记的资源类型,请选择控制台窗口左下角的反馈以告知 AWS。
有关标记资源所需的权限和角色的信息,请参阅设置权限。
主题
标签和基于属性的访问控制
标签是 AWS 访问控制策略的重要组成部分。有关在基于属性的访问控制 (ABAC) 策略中使用标签作为属性的信息,请参阅 IAM 用户指南中的使用标签控制 AWS 资源的访问和使用标签控制 IAM 用户和角色的访问。
在 AWS Identity and Access Management《用户指南》中的 IAM 教程:根据标签定义访问 AWS 资源的权限是一个全面教程,展示了如何使用标签向不同项目和群组授予访问权限。
如果您使用基于 SAML 的身份提供者(IdP)进行单点登录,则可以将标签附加到为用户提供访问权限的所担任角色上。有关更多信息,请参阅 IAM 教程:在AWS Identity and Access Management《用户指南》中将 SAML 会话标签用于 ABAC。
标签命名的最佳实践
以下是我们建议您在使用标签时运用的最佳实践和命名约定。
AWS 标签的密钥名称区分大小写,因此请确保一致地使用它们。例如,标签密钥 CostCenter 和 costcenter 是不同的。其中一个标签密钥可能会被配置为成本分配标签,用于财务分析和报告,而另一个标签密钥则可能没有被配置为相同用途。
许多标签由 AWS 预定义,或由各种 AWS 服务自动创建。很多AWS生成标签的密钥名称全部使用小写字母,名称中的单词之间用连字符分隔,使用后跟冒号的前缀来标识标签的源服务。例如,请参阅以下文档:
-
aws:ec2spot:fleet-request-id是标签,用于标识启动实例的 Amazon EC2 竞价型实例请求。 -
aws:cloudformation:stack-name是标签,用于标识创建资源的 AWS CloudFormation 堆栈。 -
elasticbeanstalk:environment-name是标签,用于标识创建资源的应用程序。
考虑使用以下规则命名您的标签:
-
单词全部小写。
-
使用连字符分隔单词。
-
使用后跟冒号的前缀来标识组织名称或缩写名称。
例如,对于名为的虚构公司 AnyCompany,您可以定义如下标签:
-
anycompany:cost-center标识内部成本中心代码。 -
anycompany:environment-type确定环境是开发、测试还是生产环境。 -
anycompany:application-id标识为其创建资源的应用程序。
前缀可以确保将标签明确可识别为由贵组织定义,而不是由 AWS 或您可能正在使用的第三方工具定义。使用所有小写字母和连字符作为分隔符,可以避免对如何大写标签名称产生混淆。例如,anycompany:project-id 比 ANYCOMPANY:ProjectID、anycompany:projectID 或 Anycompany:ProjectId 更易记。
