在 Service Quotas 中标记资源

标签 是自定义的属性标签，您将其添加到 AWS 资源以便更轻松地确定、组织和搜索资源。每个标签具有两个部分：

• 一个标签键之外的压缩算法（例如CostCenter、Environment，或者Project. 标签键区分大小写。

• 一个标签值之外的压缩算法（例如111122223333要么Production. 您可以将标签的值设为空的字符串，但是不能将其设为空值。省略标签值与使用空字符串相同。与标签键一样，标签值区分大小写。

您可使用标签，按用途、所有者、环境或其他标准对资源进行分类。

标签可帮助您：

• 标识和整理您的 AWS 资源。许多 Amazon Web Services 支持标记，因此，您可以将同一标签分配给来不同服务的资源，以指示这些资源是相关的。

• 跟踪您的 AWS 成本。您可以在 AWS Billing and Cost Management 控制面板上激活这些标签。AWS 使用标签对您的成本进行分类，并向您提供每月成本分配报告。有关更多信息，请参阅《AWS Billing 用户指南》https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/中的使用成本分配标签。

• 控制对 AWS 资源的访问。有关更多信息，请参阅《IAM 用户指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/中的使用标签控制访问。

支持在 Service Quotas 中标记的资源

用于标记支持的 Service Quotas 资源应用配额，之前申请的增加配额获得批准AWS Support.

重要

只有当配额具有应用的配额值时，才能对配额进行标记。无法标记具有默认配额值的配额。

请勿在标签中存储个人身份信息 (PII) 或其他机密或敏感信息。标签不适合用于私有或敏感数据。

标签限制

以下限制应用到 Service Quotas 资源的标签：

• 您可以分配给资源的最大标签数量 - 50

• 最大密钥长度 – 128 个 Unicode 字符

• 最大值长度 – 256 个 Unicode 字符

• 键和值的有效字符 - a-z、A-Z、0-9、空格和以下字符：_ . : / = + - 和 @

• 键和值区分大小写。

• 请勿使用aws:作为键的前缀，因为它保留为AWS使用。

标记 Service Quotas 资源所需的权限

您必须配置权限以允许用户或角色管理 Service Quotas 中的标签。管理标签所需的权限通常与该任务的 API 操作相对应。

为确保用户和角色可以使用 Service Quotas 控制台进行标记操作，请附加ServiceQuotasReadOnlyAccess AWS托管策略到实体。有关更多信息，请参阅 IAM 用户指南中的为用户添加权限。

• 要将标签添加到应用的配额，您必须拥有以下权限：

  servicequotas:ListTagsForResource

  servicequotas:TagResource

• 要查看应用配额的标签，您必须拥有以下权限：

  servicequotas:ListTagsForResource

• 要从应用配额中删除现有标签，您必须拥有以下权限：

  servicequotas:UntagResource

• 要编辑应用配额的现有标签值，您必须拥有以下权限：

  servicequotas:ListTagsForResource

  servicequotas:TagResource

  servicequotas:UntagResource

管理 Service Quotas 标签（控制台）

您可 Service Quotas 过使用AWS Management Console.

1. 登录到AWS Management Console然后在打开 Service Quotas 控制台https://console.aws.amazon.com/servicequotas/home.

2. 在导航页面中，选择AWS服务.

3. 选择一个AWS 服务从列表中输入，或在搜索框中键入服务名称。

4. 选择一项在应用配额值column.

5. 在 Tags (标签) 部分中，选择 Manage tags (管理标签)。此选项不适用于没有应用配额值的配额。

6. 您可以添加或删除标签，也可以编辑现有标签的标签值。在中输入标签的名称密钥. 您可以在 Value (值) 中添加可选的标签值。

7. 对标签进行所有更改后，选择保存更改.

如果操作成功，您将返回配额详细信息页面，您可以在其中验证更改。如果操作失败，请按照错误消息中的说明解决。

管理 Service Quotas 标签 (AWS CLI）

您可 Service Quotas 过使用AWS Command Line Interface(AWS CLI)。

• 向应用的配额添加标签

  aws service-quotas tag-resource

• 查看已应用配额的标签

  aws service-quotas list-tags-for-resource

• 删除已应用配额的现有标签值

  aws service-quotas untag-resource

管理 Service Quotas 标签 (AWSAPI)

您可以使用 Service Quotas API 管理 Service Quotas 标签。

• 向应用的配额添加标签

  TagResource

• 查看已应用配额的标签

  ListTagsForResource

• 删除已应用配额的现有标签值

  UntagResource

使用 Service Quotas 标签控制访问

要根据标签控制对 Service Quotas 资源的访问，您需要在条件元素使用策略aws:ResourceTag/key-name、aws:RequestTag/key-name，或者aws:TagKeys条件键。有关这些条件键的更多信息，请参阅控制对 的访问AWS使用资源标签的资源中的IAM 用户指南.

例如，将以下策略附加到AWS Identity and Access Management(IAM) 用户或角色，该实体可以请求增加Amazon Athena使用标签键标记的已应用配额Owner和标记值admin.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["servicequotas:RequestServiceQuotaIncrease"],
            "Resource": "arn:aws:servicequotas:*:*:athena/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "admin"}
            }
        }
    ]
}

您还可以将标签附加到 IAM 实体（用户或角色）以使用基于属性的访问控制 (ABAC)。ABAC 是一种授权策略，该策略基于属性来定义权限。标记实体和资源是 ABAC 的第一步。然后设计 ABAC 策略，以在主体的标签与他们尝试访问的资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用，并在策略管理变得繁琐的情况下可以提供帮助。

有关 ABAC 的更多信息,请参阅《IAM 用户指南》中的什么是 ABAC？。要查看包含设置 ABAC 步骤的教程，请参阅IAM 教程：定义访问权限AWS根据标签资源中的IAM 用户指南.