为 AWS 资源添加标签 - AWS 一般参考
最佳实践为类别添加标签标签命名限制和要求常见标签策略标签监管了解更多信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AWS 资源添加标签

您可以采用标签 形式为您的 AWS 资源分配元数据。每个标签都是由用户定义的键和值组成的标签。标签可帮助您管理、识别、组织、搜索和筛选资源。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。

重要

请勿在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。标签可供许多 AWS 服务访问,包括计费。标签不适合用于私有或敏感数据。

本主题介绍常用的标记类别和策略,以帮助您实施一致且有效的标记策略。以下各节假设您具有 AWS 资源、标记、详细计费和 AWS Identity and Access Management (IAM) 的基本知识。

每个标签具有两个部分:

  • 标签键(例如,CostCenterEnvironmentProject)。标签键区分大小写。

  • 标签值(例如,111122223333Production)。与标签键一样,标签值区分大小写。

您可使用标签,按用途、所有者、环境或其他标准对资源进行分类。有关更多信息,请参阅 AWS 标记策略

您可以使用每个资源的服务控制台、服务 API 或 AWS CLI 来添加、更改或删除标签,每次添加、更改或删除一个资源的标签。

最佳实践

在为 AWS 资源创建标记策略时,请遵循最佳实践:

  • 请勿在标签中存储个人身份信息 (PII) 或其他机密或敏感信息。

  • 对标签使用标准化的区分大小写格式,并跨所有资源类型一致地应用该格式。

  • 考虑支持多种用途的标签准则,如管理资源访问控制、成本跟踪、自动化和组织。

  • 使用自动化工具来帮助管理资源标签。AWS 资源组Resource Groups Tagging API 可以对标签进行编程控制,从而能够更简单地自动管理、搜索和筛选标签与资源。

  • 使用过多的标签而不是过少的标签。

  • 请记住,更改标签以适应不断变化的业务需求很容易,但要考虑未来更改的后果。例如,更改访问控制标签意味着您还必须更新引用这些标签并控制对资源的访问的策略。

为类别添加标签

最有效地使用标签的公司通常会创建与业务相关的标签分组,以便按照技术、业务和安全维度整理其资源。使用自动化流程管理其基础设施的公司还包括其他特定于自动化的标签。

技术标签 用于自动化的标签 企业标签 安全标签

  • 名称 – 标识各项资源

  • 应用程序 ID – 标识与特定应用程序相关的资源

  • 应用程序角色 – 描述特定资源(如 Web 服务器、消息代理、数据库)的功能

  • 群集 – 标识共享通用配置并为应用程序执行特定功能的资源群

  • 环境 – 区分开发资源、测试资源和生产资源

  • 版本 – 帮助区分资源或应用程序的版本

  • 日期/时间 – 标识应启动、停止、删除或轮换资源的日期或时间

  • 选择进入/选择退出 – 指示资源是否应包含在自动化活动中,例如启动、停止或调整实例大小

  • 安全性 – 确定要求,例如加密或启用 Amazon VPC 流日志;确定需要额外审查的路由表或安全组

  • 项目 – 标识资源支持的项目

  • 所有者 – 标识谁负责资源

  • 成本中心/业务单位 – 标识与资源关联的成本中心或业务单位,通常用于成本分配和跟踪

  • 客户 – 标识由特定的资源组提供服务的特定客户端

  • 机密性 – 资源支持的特定数据机密性级别的标识符。

  • 合规性 – 必须遵守特定合规性要求的工作负载的标识符

标签命名限制和要求

标签应遵循以下基本命名和使用要求:

  • 每个资源最多可以有 50 个用户创建的标签。

    注意

    aws: 开头的系统创建标签将保留供 AWS 使用,并且不计入此限制。您无法编辑或删除以 aws: 前缀开头的标签。

  • 对于每个资源,每个标签键都必须是唯一的,每个标签键只能有一个值。

  • 标签键必须包含 1 到 128 个 Unicode 字符,并且以 UTF-8 格式表示。

  • 标签值必须包含 0 到 256 个 Unicode 字符,并且以 UTF-8 格式表示。

    注意

    某些服务不允许具有空值(长度为 0)的标签。

  • 允许的字符因 AWS 服务而异。要了解可以使用哪些字符来标记特定 AWS 服务中的资源,请参阅其文档。通常标签中允许使用的字符包括可用 UTF-8 格式表示的字母、数字和空格,以及以下字符: _ . : / = + - @

  • 标签键和值要区分大小写。最佳实践是,决定利用标签的策略并在所有资源类型中一致地实施该策略。例如,决定是使用 Costcentercostcenter 还是 CostCenter,以及是否对所有标签使用相同的约定。避免将类似的标签用于不一致的案例处理。

常见标签策略

本节介绍用于帮助识别和管理 AWS 资源的常见标记策略。

资源整理标签

标签是在 AWS 管理控制台中整理 AWS 资源的好方法 。您可以配置标签来与资源一起显示,并且可以按标签进行搜索和筛选。使用 AWS 资源组 服务,您可以基于一个或多个标签或部分标签创建 AWS 资源组。您还可以根据组在 AWS CloudFormation 堆栈中的出现情况创建组。使用 资源组 和标签编辑器,您可以在一个位置整合和查看由多个服务、资源和区域组成的应用程序的数据。

成本分配标签

AWS Cost Explorer 和详细的账单报告可让您按标签细分 AWS 成本。通常情况下,您使用业务标签(例如成本中心/业务部门客户项目)来将 AWS 成本与传统成本分配维度关联起来。但是,成本分配报告中可以包含任何标签。这使您可以将成本与技术或安全维度(例如特定应用程序、环境或合规性项目)关联起来。以下是部分成本分配报告的示例。

基于标签的成本分配报告示例

对于某些服务,您可以使用 AWS 生成的 createdBy 标签进行成本分配,以帮助考虑如果未使用时可能未分类的资源。createdBy 标签仅适用于受支持的 AWS 服务和资源。其值包含与特定 API 或控制台事件关联的数据。有关更多信息,请参阅 AWS Billing and Cost Management 用户指南 中的 AWS 生成的成本分配标签

自动化标签

资源或特定于服务的标签通常用于在自动化活动期间筛选资源。自动化标签用于选择加入或退出自动化任务,或识别要存档、更新或删除的资源的特定版本。例如,您可以运行自动 startstop 脚本,这些脚本可在非工作时间内关闭开发环境以降低成本。在这种情况下,Amazon Elastic Compute Cloud (Amazon EC2) 实例标签是标识要选择退出此操作的实例的简单方法。对于查找和删除过时、过期或滚动 Amazon EBS 快照的脚本,快照标签可以添加额外的搜索条件维度。

访问控制标签

IAM 策略支持基于标签的条件,使您能够根据特定标签或标签值约束 IAM 权限。例如,IAM 用户或角色权限可以包含条件,以根据其标签将 EC2 API 调用限制到特定环境(例如开发、测试或生产)。同样的策略可用于限制对特定 Amazon Virtual Private Cloud (Amazon VPC) 网络的 API 调用。对基于标签的资源级 IAM 权限的支持是特定于服务的。使用基于标签的条件进行访问控制时,请务必定义和限制谁可以修改标签。有关使用标签控制对 AWS 资源的 API 访问的更多信息,请参阅 IAM 用户指南 中的与 IAM 配合使用的 AWS 服务

标签监管

有效的标签策略使用标准化标签,并以编程方式在跨各种 AWS 资源一致地应用标签。您可以使用反应式和主动式方法来管理 AWS 环境中的标签。

  • 反应式监管 用于查找未使用资源组标记 API、AWS Config Rules 和自定义脚本等工具正确标记的资源。要手动查找资源,您可以使用标签编辑器和详细账单报告。

  • 主动式监管 使用 AWS CloudFormation、AWS Service Catalog、AWS Organizations 中的标签策略或 IAM 资源级权限等工具,以确保在创建资源时始终应用标准化标签。

    例如,您可以使用 AWS CloudFormation Resource Tags 属性将标签应用于资源类型。在 AWS Service Catalog 中,您可以添加在产品启动时自动组合和应用于产品的产品组合和产品标签。更严格的主动监管形式包括自动化任务。例如,您可以使用资源组标记 API 搜索 AWS 环境的标签,或者运行脚本来隔离或删除标记不当的资源。

了解更多信息

此页面提供了有关标记 AWS 资源的一般信息。有关标记特定 AWS 服务中的资源的更多信息,请参阅其文档。以下内容也是有关标记的有用信息来源: