AWS Organizations 标签政策

标签策略是您在 AWS Organizations中创建的一种策略。您可以使用标签策略帮助在组织账户中跨资源标准化标签。要使用标签策略，我们建议您按照AWS Organizations 用户指南中的标签策略入门所述的工作流程来进行操作。如该页面所述，建议的工作流程包括查找和更正不合规标签。要完成这些任务，您需要使用标签编辑器控制台。

先决条件和权限

在标签编辑器中评估标签策略的合规性之前，必须满足相应要求并设置必要的权限。

评估标签策略合规性的先决条件

评估标签策略合规性要求以下内容：

• 您必须先在中启用该功能 AWS Organizations，然后创建和附加标签策略。有关更多信息，请参阅 AWS Organizations 《用户指南》中的以下页面：

  • 管理标签策略的先决条件和权限

  • 启用标签策略

  • 标签策略入门

• 要查找账户资源上的不合规标签，您需要该账户的登录凭证以及 评估账户合规性的权限 中所列权限。

• 要评估组织范围的合规性，您需要组织管理账户的登录凭证以及 评估组织范围合规性的权限 中所列权限。您只能向 AWS 区域 美国东部（弗吉尼亚北部）索取合规报告。

评估账户合规性的权限

在账户资源上查找不合规标签需要以下权限：

• organizations:DescribeEffectivePolicy – 获取账户的有效标签策略的内容。

• tag:GetResources – 获取不符合附加标签策略的资源列表。

• tag:TagResources – 添加或更新标签。您还需要特定于服务的权限才能创建标签。例如，要在亚马逊弹性计算云 (AmazonEC2) 中为资源添加标签，您需要权限ec2:CreateTags。

• tag:UnTagResources – 删除标签。您还需要特定于服务的权限才能移除标签。例如，要取消标记 Amazon 中的资源EC2，您需要权限。ec2:DeleteTags

以下示例 AWS Identity and Access Management (IAM) 策略提供了评估账户标签合规性的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

有关IAM策略和权限的更多信息，请参阅《IAM用户指南》。

评估组织范围合规性的权限

评估组织范围的标签策略合规性需要以下权限：

• organizations:DescribeEffectivePolicy – 获取附加到组织、组织单位 (OU) 或账户的标签策略内容。

• tag:GetComplianceSummary – 获取组织中所有账户中不合规资源的摘要。

• tag:StartReportCreation – 将最近的合规性评估结果导出到文件中。组织级的合规性每隔 48 小时评估一次。

• tag:DescribeReportCreation – 检查报告创建的状态。

以下示例IAM策略提供了评估组织范围合规性的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateOrgCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetComplianceSummary",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation"
            ],
            "Resource": "*"
        }
    ]
}

有关IAM策略和权限的更多信息，请参阅《IAM用户指南》。

使用 Amazon S3 存储桶策略以存储报告

要创建组织范围的合规性报告，您必须向标签策略服务主体授予权限，使其得以访问美国东部（弗吉尼亚州北部）区域中的 Amazon Simple Storage Service (Amazon S3) 存储桶存储报告。此 Amazon S3 存储桶必须位于请求生成合规报告的同一账户中。您使用的角色还必须拥有GetBucketAcl存储桶的s3:PutObject权限。

将以下存储桶策略附加到存储桶，替换每项策略 placeholder 用你自己的信息：

• 您的 S3 存储桶名称

• 组织的 ID 号

• 您应用策略的组织管理账户的账户 ID 号

{
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "TagPolicyACL", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::<your-bucket-name>",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            } 
         }, 
         { 
            "Sid": "TagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": [ 
                "s3:PutObject", 
                "s3:PutObjectAcl"
            ], 
            "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            }
         } 
    ] 
}