先决条件和权限 - AWS Resource Groups和标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件和权限

评估标签策略的合规性之前AWS Resource Groups,您需要满足要求并设置必要的权限。

评估标签策略合规性的先决条件

要评估标签策略合规性需要满足以下条件

评估账户合规性的权限

在账户资源上查找不合规的标签需要以下权限:

  • organizations:DescribeEffectivePolicy获取账户的有效标签策略的内容。

  • tag:GetResources— 获取不符合附加标签策略的资源列表。

  • tag:TagResources添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在 Amazon EC2 中标记资源,您需要ec2:CreateTags.

  • tag:UnTagResources删除标签。您还需要特定于服务的权限才能删除标签。例如,要取消对 Amazon EC2 中的资源的标签,您需要以下权限:ec2:DeleteTags.

以下 IAM 策略示例提供了用于评估账户标签合规性的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

评估组织级的合规性的权限

评估组织范围内对标签策略的合规性需要以下权限:

  • organizations:DescribeEffectivePolicy— 获取附加到组织、OU 或帐户的标签策略的内容。

  • tag:GetComplianceSummary— 获取组织中所有账户中不合规资源的摘要。

  • tag:StartReportCreation将最近的合规性评估结果导出到文件。每 48 小时对组织范围的合规性进行一次评估。

  • tag:DescribeReportCreation— 检查报告创建状态。

以下 IAM 策略示例提供了用于评估组织级的合规性的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ] }

有关 IAM 策略与权限的更多信息,请参阅 IAM 用户指南

用于存储报告的 Amazon S3 存储桶策略

要创建组织级的合规性报告,您必须向美国东部(弗吉尼亚北部)区域中 Amazon S3 存储桶授予标签策略服务委托人的访问权限以进行报告存储。将以下存储桶策略附加到存储桶,将占位符替换为您的实际 S3 存储桶名称、组织的 ID 号以及您要应用策略的组织的管理账户的账户 ID 号。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::<your-bucket-name>", "Condition": { "StringEquals": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*", "Condition": { "StringEquals": { "aws:SourceAccount": "<organization-management-account-id>", "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*" } } } ] }