本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估组织级的合规性
您可以评估您的组织是否遵守资源的生效标签策略。您能够生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。
重要
未标记的资源不会在结果中显示为不合规。
要在您的账户中查找未标记的资源,请 AWS 资源探索器 与使用的查询一起使用tag:none。有关更多信息,请参阅《AWS 资源探索器
用户指南》中的搜索未标记的资源。
您us-east-1 AWS 区域 只能通过组织的管理账户生成报告。生成报告的账户必须能够访问美国东部(弗吉尼亚州北部)区域中的 Amazon S3 存储桶。存储桶必须具有附加的存储桶策略,如用于存储报告的 Amazon S3 存储桶策略中所示。
要生成组织级的合规性报告,您必须拥有以下权限:
-
organizations:DescribeEffectivePolicy -
tag:StartReportCreation -
tag:DescribeReportCreation -
tag:GetComplianceSummary
生成组织级的合规性报告(控制台)
-
打开标签策略控制台
。 -
选择此组织根标签,选择生成报告。
-
在生成报告屏幕上,指定报告的存储位置。
-
选择开始导出。
报告完成后,您可以从组织根目录选项卡上的不合规报告部分下载报告。
注意
组织级的合规性每隔 48 小时评估一次。这将产生以下结果:
-
对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织级的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。
-
尽管您可以随时生成报告,但报告结果要等到下一次评估完成后才会更新。
-
该NoncompliantKeys列列出了资源上不符合有效标签策略的标签密钥。
-
该KeysWithNonCompliantValues列列出了资源上有效策略中定义的具有错误案例处理或不合规值的密钥。
-
如果您关闭了曾经是 AWS 账户 该组织成员的,则它可以在标签合规性报告中持续显示长达 90 天。
生成组织范围的合规报告 (AWS CLI, AWS API)
使用以下命令和操作生成组织级的合规性报告、检查其状态并查看报告:
-
AWS Command Line Interface AWS CLI):
有关使用标签策略的完整过程 AWS CLI,请参阅《AWS Organizations 用户指南》 AWS CLI中的使用标签策略。
-
AWS API:
