本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon Macie 资源添加标签
标签是一个可选标签,您可以将其定义并分配给 AWS 资源,包括某些类型的 Amazon Macie 资源。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。例如,您可以使用标签来应用策略、分配成本、区分资源版本,或识别支持特定合规性要求或工作流的资源。
您可以将标签分配给以下类型的 Macie 资源:允许列表、自定义数据标识符、调查发现的筛选规则和抑制规则,以及敏感数据发现作业。如果您是组织的 Macie 管理员,还可以将标签分配给组织中的成员账户。
一个资源可具有最多 50 个标签。每个标签都包含您定义的一个标签键和一个可选的标签值。标签键是一种常见的标签,充当更具体的标签值的类别。标签值 充当标签键的描述符。
例如,如果您创建自定义数据标识符和敏感数据发现作业来分析工作流程中不同点的数据(一组用于暂存数据,另一组用于生产数据),您可以为这些资源分配一个 Stack 标签键。此标签键的标签值可能为 Staging,适用于分析暂存数据的自定义数据标识符和作业,以及 Production,适用于其他标识符和作业。
在为资源定义并分配标签时,请注意以下几点:
-
每个资源最多可以有 50 个标签。
-
对于每个资源,每个标签键都必须是唯一的,并且只能有一个标签值。
-
标签键和值区分大小写。作为最佳实践,我们建议您定义标签大写的策略,并在您的资源中一致地实施该策略。
标签键最多可以包含 128 个 UTF-8 字符。标签值最多可以包含 256 个 UTF-8 字符。这些字符可以是字母、数字、空格或以下符号:_ . : / = + - @
-
aws: 前缀专门预留供 AWS 使用。您不能在您定义的任何标签键或值中使用它。此外,您无法更改或删除使用此前缀的标签键或值。使用此前缀的标签不计入每个资源的 50 个标签配额中。
-
您分配的任何标签仅适用于您的 AWS 账户 并且仅在您分配它们的 AWS 区域 中可用。
-
如果删除资源,则分配给该资源的所有标签也将被删除。
有关其他限制、提示和最佳实践,请参阅《标签AWS资源用户指南》。
不要在标签中存储机密或其他类型的敏感数据。标签可供许多 AWS 服务 访问,包括 AWS Billing and Cost Management。它们不适合用于敏感数据。
要为 Macie 资源添加和管理标签,您可以使用 Amazon Macie 控制台、Amazon Macie API、AWS Resource Groups 控制台上的标签编辑器或AWS Resource Groups Tagging API。借助 Macie,在创建资源时,您可以将标签添加到资源中。您还可以为单个现有资源添加和管理标签。通过资源组,您可以为跨多个 AWS 服务(包括 Macie)的多个现有资源批量添加和管理标签。有关更多信息,请参阅 标记 AWS 资源用户指南。
开始为资源添加标签后,您可以在AWS Identity and Access Management (IAM) policy 中定义基于标签的资源级权限。通过这种方式使用标记,您可以更全面地控制您 AWS 账户 中的哪些用户和角色有权创建和标记资源,以及哪些用户和角色有权添加、编辑和删除标签。要基于标签控制访问,您可以在 IAM policy 的条件元素中使用与标签相关的条件密钥。
例如,您可以创建一个策略,允许用户拥有对所有 Amazon Macie 资源的完全访问权限,前提是该资源的 Owner 标签指定了他们的用户名:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "macie2:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
如果您定义基于标签的资源级权限,该权限立即生效。这意味着,您的资源在创建后会更安全,而且您可以快速开始将标签用于新资源。您还可以使用资源级权限来控制哪些标签键和值可以与新的和现有资源关联。有关更多信息,请参阅 IAM 用户指南中的使用标签控制对 AWS 资源的访问权限。
要向单个 Amazon Macie 资源添加标签,您可以使用 Amazon Macie 控制台或 Amazon Macie API。要同时向多个 Macie 资源添加标签,请使用 AWS Resource Groups 控制台上的标签编辑器或 AWS Resource GroupsTagging API 的标签操作。
向资源添加标签可能会影响对该资源的访问。在向资源添加标签之前,请查看任何可能使用标签控制资源访问权限的AWS Identity and Access Management (IAM) policy。
- Console
-
当您创建允许列表、自定义数据标识符或敏感数据发现作业时,Amazon Macie 控制台会提供向资源添加标签的选项。创建资源时,请按照控制台上的说明为这些类型的资源添加标签。要向组织中的筛选规则或抑制规则或成员账户添加标签,必须先创建资源,然后才能向其添加标签。
要使用 Amazon Macie 控制台向现有资源添加一个或多个标签,请按照以下步骤操作。
要将标签添加到资源中
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/。
-
根据要添加标签的资源类型,请执行以下操作之一:
-
要查看允许列表,请在导航窗格中选择 允许列表。
然后在表格中选择该列表的复选框。然后在 操作菜单中选择 管理标签。
-
要获取自定义数据标识符,请在导航窗格中选择自定义数据标识符。
然后,在表中选中自定义数据标识符的复选框。然后在操作菜单中选择管理标签。
-
要查看筛选规则或抑制规则,请在导航窗格中选择 调查发现。
然后,在 已保存的规则列表中,选择规则旁边的编辑图标 (
)。然后选择 Manage tags(管理标签)。
-
对于组织中的成员账户,请在导航窗格中选择账户。
然后,在表中选中账户的复选框。然后在 操作菜单中选择 管理标签。
-
对于敏感数据发现作业,请在导航窗格中选择 作业。
然后,在表中选中作业的复选框。然后在 操作菜单中选择 管理标签。
管理标签窗口列出了当前分配给资源的所有标签。
-
在 管理标签中,选择 编辑标签。
-
选择 Add tag (添加标签)。
-
在键框中,输入要添加到资源的标签键。随后,在值框中,可以选择为键输入一个标签值。
一个标签键可以包含多达 128 个字符。一个标签值可以包含多达 256 个字符。这些字符可以是字母、数字、空格或以下符号:_ . : / = + - @
-
(可选)要向资源添加另一个标签,请选择添加标签,然后重复前面的步骤。您可以为资源分配多达 50 个标签。
-
完成添加标签后,选择 保存。
- API
-
要创建资源并以编程方式向其添加一个或多个标签,请对要创建的资源类型使用相应的 Create 操作:
在您的请求中,使用 tags 参数为要添加到资源的每个标签指定标签键(key)和可选的标签值(value)。tags 参数指定标签键及其关联标签值的字符串到字符串映射。
要向现有资源添加一个或多个标签,请使用 Amazon Macie API 的 tagResource 操作,或者,如果您使用的是 AWS CLI,则运行 tag-resource 命令。在您的请求中,指定您要向其添加标签的资源的 Amazon 资源名称(ARN)。使用 tags 参数为要添加到资源的每个标签指定标签键 (key) 和可选的标签值 (value)。与 Create 操作和命令一样,tags 参数指定标签键及其关联标签值的字符串到字符串的映射。
例如,以下 AWS CLI 命令将具有 Production 标签值的 Stack 标签键添加到指定作业:此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Production\"}
其中:
在以下示例中,该命令向作业添加了多个标签:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Production\",\"CostCenter\":\"12345\",\"Owner\":\"jane-doe\"}
对于 tags 映射中的每个标签,都需要 key 和 value 参数。但是,value 参数的值可以是空字符串。如果您不想将标签值与标签键相关联,请不要为 value 参数指定值。例如,以下 AWS CLI 命令添加了一个没有关联标签值的 Owner 标签键:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Owner\":\"\"}
如果标签操作成功,Macie 将返回一个空的 HTTP 204 响应。否则,Macie 会返回一个 HTTP 4xx 或 500 响应,说明操作失败的原因。
您可以使用 Amazon Macie 控制台或 Amazon Macie API 查看 Amazon Macie 资源的标签(包括标签键和标签值)。如果您希望同时对多个 Macie 资源执行此操作,则可以使用 AWS Resource Groups 控制台上的标签编辑器或 AWS Resource GroupsTagging API 的标签操作。
- Console
-
使用 Amazon Macie 控制台,按照以下步骤来查看资源的标签。
要查看资源的标签
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/。
-
根据您要查看其标签的资源类型,请执行以下操作之一:
-
要查看允许列表,请在导航窗格中选择允许列表。
然后在表格中选择该列表的复选框。然后在 操作菜单中选择 管理标签。
-
要获取自定义数据标识符,请在导航窗格中选择 自定义数据标识符。
然后,在表中选中自定义数据标识符的复选框。然后在 操作菜单中选择 管理标签。
-
要查看筛选规则或抑制规则,请在导航窗格中选择 调查发现。
然后,在 已保存的规则列表中,选择规则旁边的编辑图标 (
)。然后选择 Manage tags(管理标签)。
-
对于组织中的成员账户,请在导航窗格中选择 账户。
然后,在表中选中账户的复选框。然后在 操作菜单中选择 管理标签。
-
对于敏感数据发现作业,请在导航窗格中选择 作业。
然后,在表中选中作业的复选框。然后在 操作菜单中选择 管理标签。
管理标签窗口列出了当前分配给资源的所有标签。例如,下图显示分配给自定义数据标识符的标签。
在此示例中,为自定义数据标识符分配了三个标签:没有关联标签值的 Owner 标签键;以 12345 作为关联标签值的 CostCenter 标签键;以及以 Production 作为关联标签值的 Stack 标签键。
-
查看完标签后,选择取消关闭窗口。
- API
-
要以编程方式检索和查看现有资源的标签,您可以对要查看标签的资源类型使用相应的 Get 或 Describe 操作。例如,如果您使用 getCustomDataidentifier 操作或从 AWS Command Line Interface (AWS CLI) 中运行 get-custom-data-identifier 命令,则响应将包含一个 tags 对象。该对象列出了当前分配给资源的所有标签(包括标签键和标签值)。
还可以使用 Amazon Macie API 的 ListTagsForResource 操作。在您的请求中,使用 resourceArn 参数指定资源的Amazon 资源名称(ARN)。如果您使用的是 AWS CLI,请运行 list-tags-for-resource 命令并使用参数 resource-arn 指定资源的 ARN。例如:
C:\> aws macie2 list-tags-for-resource --resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample
在前面的示例中,arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample 是现有敏感数据发现作业的 ARN。
如果操作成功,Macie 将返回一个 tags 对象,其中列出了当前分配给资源的所有标签(包括标签键和标签值)。例如:
{
"tags": {
"Stack": "Production",
"CostCenter": "12345",
"Owner": ""
}
}
其中 Stack、CostCenter 和 Owner 是分配给资源的标签键。Production 是与 Stack 标签键关联的标签值。 12345 是与 CostCenter 标签键关联的标签值。Owner 标签键没有关联的标签值。
要检索所有带有标签的 Macie 资源以及分配给每个资源的所有标签的列表,请使用 AWS Resource GroupsTagging API 的 GetResources 操作。在您的请求中,将 ResourceTypeFilters 参数的值设置为 macie2。要执行此操作,使用 AWS CLI,并请运行 get-resources 命令并将 resource-type-filters 参数的值设置为 macie2。例如:
C:\> aws resourcegroupstaggingapi get-resources --resource-type-filters "macie2"
如果操作成功,Resource Groups 将返回一个 ResourceTagMappingList 数组,其中包含所有带有标签的 Macie 资源的 ARN,以及分配给每个资源的标签键和值。
要编辑 Amazon Macie 资源的标签(标签键或标签值),您可以使用 Amazon Macie 控制台或 Amazon Macie API。要同时对多个 Macie 资源执行此操作,请使用 AWS Resource Groups 控制台上的标签编辑器或标记 AWS Resource Groups API 的标记操作。
编辑资源的标签可能会影响对资源的访问。在编辑资源的标签键或值之前,请查看可能使用该标签控制资源访问权限的任何 AWS Identity and Access Management (IAM) policy 。
- Console
-
按照以下步骤使用 Amazon Macie 控制台编辑资源的标签。
要编辑资源的标签
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/。
-
根据要编辑标签的资源类型,执行下列操作之一:
-
要查看允许列表,请在导航窗格中选择 允许列表。
然后在表格中选择该列表的复选框。然后在 操作菜单中选择 管理标签。
-
要获取自定义数据标识符,请在导航窗格中选择 自定义数据标识符。
然后,在表中选中自定义数据标识符的复选框。然后在 操作菜单中选择 管理标签。
-
要查看筛选规则或抑制规则,请在导航窗格中选择 调查发现。
然后,在 已保存的规则列表中,选择规则旁边的编辑图标 (
)。然后选择 Manage tags(管理标签)。
-
对于组织中的成员账户,请在导航窗格中选择 账户。
然后,在表中选中账户的复选框。然后在 操作菜单中选择 管理标签。
-
对于敏感数据发现作业,请在导航窗格中选择 作业。
然后,在表中选中作业的复选框。然后在 操作菜单中选择 管理标签。
管理标签窗口列出了当前分配给资源的所有标签。
-
在 管理标签中,选择 编辑标签。
-
执行以下任一操作:
-
要向标签键添加标签值,请在标签键旁边的 值框中输入该值。
-
要更改现有标签键,请选择标签旁边的 移除。然后选择 添加标签。在出现的 键框中,输入新的标签键。在值框中,可以选择输入相关的标签值。
-
要更改现有标签值,请在包含该值的 值框中选择 X。然后在值框中键入新的标签值。
-
要删除现有标签值,请在包含该值的 值框中选择 X。
-
要删除现有标签(标签键和标签值),请选择标签旁边的 移除。
一个资源可具有最多 50 个标签。一个标签键可以包含多达 128 个字符。一个标签值可以包含多达 256 个字符。这些字符可以是字母、数字、空格或以下符号:_ . : / = + - @
-
完成对标签的编辑之后,选择 保存。
- API
-
当您以编程方式编辑资源的标签时,会用新值覆盖现有标签。因此,编辑标签的最佳方法取决于您是要编辑标签键、标签值还是两者都有。要编辑标签键,请删除当前标签并添加新标签。
要仅编辑或删除与标签键关联的标签值,请使用 Amazon Macie API 的 TagResource 操作覆盖现有值,或者如果您使用的是 AWS Command Line Interface (AWS CLI),则运行 tag-resource 命令。在您的请求中,指定要编辑或删除标签值的资源的 Amazon 资源名称(ARN)。
要编辑标签键的标签值,请使用 tags 参数指定要更改其标签值的标签键,并为该键指定新的标签值。例如,以下命令将分配给指定敏感数据发现作业的 Stack 标签键的标签值从 Production 更改为 Staging。此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Staging\"}
其中:
要从标签键中删除标签值,请不要为 tags 参数中的 value 参数指定值。例如:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"\"}
如果操作成功,Macie 将返回一个空的 HTTP 204 响应。否则,Macie 会返回一个 HTTP 4xx 或 500 响应,说明操作失败的原因。
要从 Amazon Macie 资源中删除标签,您可以使用 Amazon Macie 控制台或 Amazon Macie API。要同时对多个 Macie 资源执行此操作,请使用 AWS Resource Groups 控制台上的标签编辑器或标记 AWS Resource Groups API 的标记操作。
从资源中删除标签可能对影响资源访问。在删除标签之前,请查看可能使用该标签控制资源访问权限的任何 AWS Identity and Access Management(IAM) policy 。
- Console
-
按照以下步骤使用 Amazon Macie 控制台从资源中删除一个或多个标签。
要从资源中删除标签
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/。
-
根据您要从中删除标签的资源类型,执行以下任一操作:
-
要查看允许列表,请在导航窗格中选择 允许列表。
然后在表格中选择该列表的复选框。然后在 操作菜单中选择 管理标签。
-
要获取自定义数据标识符,请在导航窗格中选择 自定义数据标识符。
然后,在表中选中自定义数据标识符的复选框。然后在 操作菜单中选择 管理标签。
-
要查看筛选规则或抑制规则,请在导航窗格中选择 调查发现。
然后,在 已保存的规则列表中,选择规则旁边的编辑图标 (
)。然后选择 Manage tags(管理标签)。
-
对于组织中的成员账户,请在导航窗格中选择 账户。
然后,在表中选中账户的复选框。然后在 操作菜单中选择 管理标签。
-
对于敏感数据发现作业,请在导航窗格中选择 作业。
然后,在表中选中作业的复选框。然后在 操作菜单中选择 管理标签。
管理标签窗口列出了当前分配给资源的所有标签。
-
在 管理标签中,选择 编辑标签。
-
执行以下任一操作:
-
(可选)要从资源中删除更多标签,请对每个要删除的其他标签重复上述步骤。
-
完成删除标签后,选择 保存。
- API
-
要以编程方式从资源中删除一个或多个标签,请使用 Amazon Macie API 的 UntagResource 操作。在您的请求中,使用 resourceArn 参数指定要删除标签的资源的 Amazon 资源名称(ARN)。使用 tagKeys 参数指定要删除的标签的标签键。如果仅从资源中删除特定的标签值(而不是标签键),请编辑标签而不是删除标签。
如果您使用的是 AWS Command Line Interface (AWS CLI),请运行 untag-resource 命令并使用 resource-arn 参数指定要删除标签的资源的 ARN。使用 tag-keys 参数指定要删除的标签的标签键。例如,以下命令从指定的敏感数据发现作业中删除 Stack 标签(标签键和标签值):
C:\> aws macie2 untag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tag-keys Stack
其中,resource-arn 指定要删除标签的作业的 ARN,Stack
要从资源中删除多个标签,请添加每个额外的标签键作为 tag-keys 参数的参数。例如:
C:\> aws macie2 untag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tag-keys Stack Owner
其中,resource-arn 指定要删除标签的作业的 ARN,StackOwner
如果操作成功,Macie 将返回一个空的 HTTP 204 响应。否则,Macie 会返回一个 HTTP 4xx 或 500 响应,说明操作失败的原因。
