给您的 AWS 资源加标签 - AWS Resource Groups和标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

给您的 AWS 资源加标签

标签是一些充当元数据的键和值对,用于组织 AWS 资源。对于大多数AWS资源,您可以选择在创建资源 (无论它是 Amazon EC2 实例、Amazon S3 存储桶还是其他资源) 时添加标签。不过,您也可以使用标签编辑器一次向多个受支持资源添加标签。您针对各个类型的资源构建查询,然后为搜索结果中的资源添加、删除或替换标签。基于标签的查询将 AND 运算符分配给标签,以便查询返回与指定资源类型和所有指定的标签匹配的任何资源。

重要

请勿在标签中存储个人身份信息 (PII) 或其他机密或敏感信息。我们使用标签为您提供计费和管理服务。标签不适合用于私有或敏感数据。

您可以标记支持的资源,并在创建和管理资源的服务控制台中使用标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标记标签 请参阅每项服务的文档以了解该服务提供的标记标记标记标记标记服务提供的标记标记服务提供的标记标记标记服务提供的标记标记标记标记

标签和基于属性的访问控制(ABAC)

标签可以成为您的标签的节点AWS访问控制策略。要在基于属性的访问控制策略中将标记用作 “属性”,请参阅控制对 的访问AWS资源使用标签的节点使用标签控制对 IAM 用户和角色的访问以及他们进行的访问,两者都在IAM 用户指南.

还有一个更全面的教程,展示了如何使用标签授予对不同项目和组的访问权限IAM 教程:定义访问权限AWS基于标签的资源中的IAM 用户指南.

此外,如果您使用基于 SAML 的身份提供商 (IdP) 进行单点登录AWS,则可以将 SAML IdP 配置为将标签附加到它交付给用户以供访问的代入角色。有关更多信息,请参阅 。IAM 教程:将 SAML 会话标签用于 ABAC中的AWS Identity and Access Management用户指南.

标签名称的最佳实践

以下是一些最佳实践和命名约定,我们建议您将其与标签一起使用。

的键名AWS标签区分大小写,因此请确保一致使用它们。例如,标签密钥CostCentercostcenter是不同的,因此一个可能配置为用于财务分析和报告的成本分配标签,而另一个可能不是。

许多标签由 AWS 预定义,或由各种 AWS 服务自动创建。其中多个节点AWS-定义系统标记使用全部为小写的键名,名称中用连字符分隔单词,前缀后跟冒号来标识标记的源服务。例如:

  • aws:ec2spot:fleet-request-id是一个标签,用于标识启动实例的 Amazon EC2 竞价型实例请求。

  • aws:cloudformation:stack-name是标识AWS CloudFormation创建资源的堆栈。

  • elasticbeanstalk:environment-name是标识创建资源的应用程序的标记。

考虑使用以下规则命名标签:

  • 均为小写

  • 使用连字符分隔单词

  • 使用前缀后跟冒号来标识组织名称或缩写名称。

例如,对于一个名为AnyCompany,你可以定义如下标签:

  • anycompany:cost-center 标识内部成本中心代码

  • anycompany:environment-type 确定环境是开发、测试还是生产环境

  • anycompany:application-id 标识为其创建资源的应用程序

前缀可确保标签清晰地识别出组织定义的标记,而不是AWS或您可能正在使用的第三方工具。使用所有小写字母和连字符作为分隔符,可以避免对如何大写标签名称产生混淆。例如,anycompany:project-idANYCOMPANY:ProjectIDanycompany:projectIDAnycompany:ProjectId 更易记。