评估账户的合规性

您可以评估组织中的某个账户是否符合其生效标签策略。

重要

未标记的资源不会在结果中显示为不合规。

请将 AWS 资源探索器 与使用 tag:none 的查询结合使用，以在您的账户中查找未标记的资源。有关更多信息，请参阅《AWS 资源探索器 用户指南》中的搜索未标记的资源。

生效标签策略指定应用到账户的标记规则。账户继承的任何标签策略以及直接附加到账户的任何标签策略的聚合称为生效标签策略。将标签策略附加到组织根时，它应用到组织中的所有账户。将标签策略附加到组织部门（OU）时，它应用到属于该 OU 的所有账户和 OU。

注意

如果您尚未创建标签策略，请参阅 AWS Organizations《用户指南》中的标签策略入门。

要查找不合规标签，您必须拥有以下权限：

• organizations:DescribeEffectivePolicy

• tag:GetResources

• tag:TagResources

• tag:UntagResources

评估账户是否符合其生效标签策略（控制台）

1. 登录要检查合规性的账户后，打开标签策略控制台。

2. 生效标签策略部分显示上次策略更新的时间和定义的标签密钥。您可以展开标签密钥，查看有关标签密钥值、案例处理以及是否针对特定资源类型强制使用这些值的信息。

   注意

   如果您已登录管理账户，则需要选择一个账户才能查看其生效策略和合规信息。

3. 在带有不合规标签的资源部分中，指定 AWS 区域 要搜索哪些不合规标签。您还可以按资源类型进行搜索。然后选择搜索资源。

   实时结果显示于搜索结果部分。要更改每页返回的结果数或显示的列数，请选择设置图标 ( )。

4. 在搜索结果中，选择标签不合规的资源。

5. 在列出资源标签的对话框中，选择超链接以打开已创建资源的 AWS 服务。在该控制台上，更正不合规标签。

   提示

   如果您不确定哪些标签不合规，请前往标签策略控制台中该账户的生效标签策略部分。您可以展开标签密钥以查看其标记规则。

6. 重复查找和更正标签的过程，直至您所关注的账户资源在每个区域都合规。

要查找不合规标签（AWS CLI 和 AWS API）

使用以下命令和操作查找不合规标签：

• AWS Command Line Interface (AWS CLI):

  • aws resourcegroupstaggingapi get-resources

  • aws resourcegroupstaggingapi tag-resources

  • aws resourcegroupstaggingapi untag-resources

  有关在 AWS CLI 中使用标签策略的完整过程，请参阅AWS Organizations《用户指南》中的在 AWS CLI 中使用标签策略。

• AWS Resource Groups Tagging API:

  • GetResources

  • TagResources

  • UntagResources

后续步骤

我们建议您重复查找和纠正合规性问题。持续操作，直至您所关注的账户资源符合每个区域的生效标签策略。

查找和更正不合规标签是一个迭代过程，原因众多，其中包括：

• 您的组织对标签策略的使用可能会随着时间推移而发生变化。

• 创建资源时，在组织中进行变更需要时间。

• 每当创建新资源或为资源分配新标签时，合规性就会发生变化。

• 每当账户的标签策略被附加或分离时，该账户的生效标签策略就会更新。每当账户继承的标记策略发生变化时，生效标记策略也会更新。

如果您以组织管理账户的身份登录，还可以生成报告。此报告显示组织账户中所有已标记资源的信息。有关更多信息，请参阅 评估组织级的合规性。