标记您的 AWS 资源

标签是一些充当元数据的键和值对，用于组织 AWS 资源。大多数 ‭AWS‬ 资源允许您在创建资源时添加标签。资源示例包括 Amazon Elastic Compute Cloud (Amazon EC2) 实例、Amazon Simple Storage Service (Amazon S3) 存储桶，或 AWS Secrets Manager 中的密钥。

重要

请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。我们使用标签为您提供账单和管理服务。标签不适合用于私有或敏感数据。

标签可帮助您管理、识别、组织、搜索和筛选资源。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。

每个标签具有两个部分：

• 标签键（例如，CostCenter、Environment 或 Project）。标签键区分大小写。

• 标签值（例如，111122223333 或 Production）。与标签键一样，标签值区分大小写。

您可使用标签，按用途、所有者、环境或其他标准对资源进行分类。

如何为 AWS 资源添加标签

有三种方法可以为您的 AWS 资源添加标签：

• AWS 服务API 操作 – AWS 服务 直接支持的标记 API 操作。欲了解每项 AWS 服务 提供的标记功能，请参阅 AWS 文档索引中对应服务的文档。

• 标签编辑器控制台 – 有些服务还支持使用AWS标签编辑器控制台添加标签。

• 资源组标记 API – 大多数服务还支持使用 AWS Resource Groups Tagging API 进行标记。

您可以在 AWS 中为所有产生成本的服务标记资源。对于以下服务，AWS 推荐更新的替代方案 AWS 服务，它们支持标记以更好地满足客户的使用案例。

Amazon Cloud Directory	Amazon CloudSearch	Amazon Cognito Sync
AWS Data Pipeline	Amazon Elastic Transcoder	Amazon Machine Learning
AWS OpsWorks Stacks	Amazon S3 Glacier Direct	Amazon SimpleDB
Amazon WorkSpaces 应用程序管理器	AWS DeepLens

最佳实践

在为 AWS 资源创建标记策略时，请遵循最佳实践：

• 请勿在标签中添加个人身份信息（PII）或其他机密或敏感信息。标签可供许多 AWS 服务访问，包括计费。标签不适合用于私有或敏感数据。

• 对标签使用标准化的区分大小写格式，并跨所有资源类型一致地应用该格式。

• 考虑支持多种用途的标签准则，如管理资源访问控制、成本跟踪、自动化和组织。

• 运用自动化工具帮助您管理资源标签。标签编辑器和 资源组标记 API可以对标签进行编程控制，从而能够更简单地自动管理、搜索和筛选标签与资源。

• 使用过多的标签而不是过少的标签。

• 请记住，更改标签以适应不断变化的业务需求很容易，但要考虑未来更改的后果。例如，更改访问控制标签意味着您还必须更新引用这些标签并控制对资源的访问的策略。

• 您可以通过使用 AWS Organizations 创建和部署标签策略，自动强制执行贵组织选择采用的标记标准。标签策略使您能够指定标记规则，这些规则可以定义有效密钥名称和对每个密钥有效的值。您可以选择仅监控，从而使您有机会评估和清理现有标签。一旦您的标签符合您选择的标准，您就可以在标签策略中启用强制执行，以防止创建不合规的标签。有关更多信息，请参阅《AWS Organizations 用户指南》中的标签策略。

为类别添加标签

最有效地使用标签的公司通常会创建与业务相关的标签分组，以便按照技术、业务和安全维度整理其资源。使用自动化流程管理其基础设施的公司还包括其他特定于自动化的标签。

技术标签	自动化标签	企业标签	安全标签
名称 – 标识各项资源 应用程序 ID – 标识与特定应用程序相关的资源 应用程序角色 – 描述特定资源（如 Web 服务器、消息代理、数据库）的功能 群集 – 标识共享通用配置并为应用程序执行特定功能的资源群 环境 – 区分开发资源、测试资源和生产资源 版本 – 帮助区分资源或应用程序的版本	日期/时间 – 标识应启动、停止、删除或轮换资源的日期或时间 选择进入/选择退出 – 指示资源是否应包含在自动化活动中，例如启动、停止或调整实例大小 安全性 – 确定要求，例如加密或启用 Amazon VPC 流日志；确定需要额外审查的路由表或安全组	项目 – 标识资源支持的项目 所有者 – 标识谁负责资源 成本中心/业务单位 – 标识与资源关联的成本中心或业务单位，通常用于成本分配和跟踪 客户 – 标识由特定的资源组提供服务的特定客户端	机密性 – 资源支持的特定数据机密性级别的标识符。 合规性 – 必须遵守特定合规性要求的工作负载的标识符

标签命名限制和要求

标签应遵循以下基本命名和使用要求：

• 每个资源最多可以有 50 个用户创建的标签。

• 以 aws: 开头的系统创建标签将保留供 AWS 使用，并且不计入此限制。您无法编辑或删除以 aws: 前缀开头的标签。

• 对于每个资源，每个标签键都必须是唯一的，每个标签键只能有一个值。

• 标签键必须包含 1 到 128 个 Unicode 字符，并且以 UTF-8 格式表示。

• 标签值必须包含 0 到 256 个 Unicode 字符，并且以 UTF-8 格式表示。

• 允许的字符因 AWS 服务而异。要了解可以使用哪些字符来标记特定 AWS 服务中的资源，请参阅其文档。通常，允许使用的字符包括可用 UTF-8 表示的字母、数字和空格，以及以下字符：_ . : / = + - @。

• 标签键和值区分大小写。最佳实践是，决定利用标签的策略并在所有资源类型中一致地实施该策略。例如，决定是使用 Costcenter、costcenter 还是 CostCenter，以及是否对所有标签使用相同的约定。避免将类似的标签用于不一致的案例处理。

常见标签策略

可以使用以下标记策略帮助识别和管理 AWS 资源。

资源整理标签

标签是在 AWS Management Console中整理 AWS 资源的好方法 。您可以配置标签来与资源一起显示，并且可以按标签进行搜索和筛选。使用 AWS Resource Groups 服务，您可以基于一个或多个标签或部分标签创建 AWS 资源组。您还可以根据组在 AWS CloudFormation 堆栈中的出现情况创建组。使用 Resource Groups 和标签编辑器，您可以在一个位置整合和查看由多个服务、资源和区域组成的应用程序的数据。

成本分配标签

AWS Cost Explorer 和详细的账单报告可让您按标签细分 AWS 成本。通常情况下，您使用业务标签（例如成本中心/业务部门、客户或项目）来将 AWS 成本与传统成本分配维度关联起来。但是，成本分配报告中可以包含任何标签。这使您可以将成本与技术或安全维度（例如特定应用程序、环境或合规性项目）关联起来。以下是部分成本分配报告的示例。

对于某些服务，您可以使用 AWS 生成的 createdBy 标签进行成本分配，以帮助考虑如果未使用时可能未分类的资源。createdBy 标签仅适用于受支持的 AWS 服务和资源。其值包含与特定 API 或控制台事件关联的数据。有关更多信息，请参阅《AWS Billing and Cost Management 用户指南》中的 AWS 生成的成本分配标签。

自动化标签

资源或特定于服务的标签通常用于在自动化活动期间筛选资源。自动化标签用于选择加入或退出自动化任务，或识别要存档、更新或删除的资源的特定版本。例如，您可以运行自动 start 或 stop 脚本，这些脚本可在非工作时间内关闭开发环境以降低成本。在这种情况下，Amazon Elastic Compute Cloud (Amazon EC2) 实例标签是标识要选择退出此操作的实例的简单方法。对于查找和删除陈旧或滚动 Amazon EBS 快照的脚本，快照标签可以增加搜索条件的额外维度。 out-of-date

访问控制标签

IAM policy 支持基于标签的条件，使您能够根据特定标签或标签值约束 IAM 权限。例如，IAM 用户或角色权限可以包含条件，以根据其标签将 EC2 API 调用限制到特定环境（例如开发、测试或生产）。可以使用相同的策略将 API 调用限制为特定的 Amazon Virtual Private Cloud (Amazon VPC) 网络。对基于标签的资源级 IAM 权限的支持是特定于服务的。使用基于标签的条件进行访问控制时，请务必定义和限制谁可以修改标签。有关使用标签控制 API 对 AWS 资源的访问的更多信息，请参阅《IAM 用户指南》中的与 IAM 配合使用的 AWS 服务。

标签监管

有效的标签策略使用标准化标签，并以编程方式在跨各种 AWS 资源一致地应用标签。您可以使用反应式和主动式方法来管理 AWS 环境中的标签。

• 反应式监管 用于查找未使用资源组标记 API、AWS Config 规则 和自定义脚本等工具正确标记的资源。要手动查找资源，您可以使用标签编辑器和详细账单报告。

• 主动式监管使用 AWS CloudFormation、服务目录、AWS Organizations 中的标签策略或 IAM 资源级权限等工具，以确保在创建资源时始终应用标准化标签。

  例如，您可以使用 AWS CloudFormation Resource Tags 属性将标签应用于资源类型。在服务目录中，您可以添加在产品启动时自动组合和应用于产品的产品组合和产品标签。更严格的主动监管形式包括自动化任务。例如，您可以使用资源组标记 API 搜索 AWS 环境的标签，或者运行脚本来隔离或删除标记不当的资源。

了解更多信息

此页面提供了有关标记 AWS 资源的一般信息。有关标记特定 AWS 服务中的资源的更多信息，请参阅其文档。以下内容也是有关标记的有用信息来源：

• 有关 AWS Resource Groups Tagging API 的更多信息，请参阅《资源组标记 API 参考指南》。

• 有关标签编辑器的更多信息，请参阅本指南中的标签编辑器。

• 欲了解有关每项 AWS 服务 提供的标记功能的信息，请参阅文档 AWS 索引中对应服务的文档。

• 有关在 IAM 策略中使用标签帮助控制谁可以查看您的 AWS 资源并与其交互，请参阅在 《IAM 用户指南》中使用标签控制 IAM 用户和角色的访问权限。