成本分配或屬性型存取控制 (ABAC) 的標記

AWS 標籤是存放中繼資料的鍵/值對。您可以將標籤連接至 Amazon S3 資源，例如儲存貯體。您可以在建立資源或管理現有資源上的標籤時標記資源。使用超過標準 S3 API 請求率的標籤無需額外費用。如需詳細資訊，請參閱 Simple Storage Service (Amazon S3) 定價。

標籤的運作方式

Amazon S3 支援兩種類型的標籤：

• AWS產生的標籤： AWS 會自動套用這些標籤，您無法修改或移除它們。若要進一步了解 AWS產生的標籤，請參閱使用 AWS產生的標籤。

• 使用者定義的標籤：您可以將這些標籤套用至 S3 資源並加以管理。

使用者定義的標籤

使用者定義的標籤是您用來標記資源的標籤鍵/值對。使用者定義的標籤包含必要的金鑰和選用值。這些是使用者定義標籤的主要元件：

標籤索引鍵

標籤金鑰是標籤必要的名稱。例如， project是下列標籤鍵值對中的標籤鍵：

金鑰	值
project	Trinity

標籤索引鍵是區分大小寫的字串，必須包含 1 到 128 個 Unicode 字元。金鑰只能包含 Unicode 字母或數字、空格和下列符號：

• _ - 底線

• . - 期間

• : - 冒號

• / - 正斜線

• = - 等號

• + - 加號

• @ - 簽署時

• - - 破折號

標籤值

標籤值是選用字串。例如， Trinity是此標籤鍵值對中的標籤值：

金鑰	值
project	Trinity

標籤值是區分大小寫的字串，可包含 0 到 256 個 Unicode 字元。值只能包含 Unicode 字母或數字、空格和下列符號：

• _ - 底線

• . - 期間

• : - 冒號

• / - 正斜線

• = - 等號

• + - 加號

• @ - 簽署時

• - - 破折號

如需使用者定義標籤中允許的字元和其他限制的詳細資訊，請參閱AWS 帳單與成本管理 《 使用者指南》中的使用者定義標籤限制。

標籤集

每個 S3 資源都有一個標籤集，其中包含指派給該儲存貯體的所有標籤索引鍵和值對。標籤集可以是空的，也可以包含多達 50 個使用者定義的標籤，但標記物件的情況除外。物件最多只能有 10 個標籤。

雖然每個金鑰在標籤集中必須是唯一的，但您可以多次使用相同的值。例如，對於下列兩個標籤索引鍵Trinity，您可以具有相同的值 ：

金鑰	值
project	Trinity
cost-center	Trinity

當您新增與現有標籤具有相同索引鍵的標籤時，新值會覆寫舊值。

AWS 不會將任何語意意義套用至您的標籤。我們會將標籤嚴格解譯為字元字串。

若要新增、列出、修改或刪除標籤，您可以使用 Amazon S3 主控台、 AWS 命令列界面 (AWS CLI) 或 Amazon S3 API。

使用標籤的常見方法

將標籤用於您的 S3 資源：

1. 成本分配 – 依儲存貯體標籤追蹤儲存成本 AWS 帳單與成本管理。

2. 屬性型存取控制 (ABAC) – 擴展存取許可，並根據其標籤授予對 S3 資源的存取。

注意

您可以針對成本分配和存取控制使用相同的標籤。

使用標籤進行成本分配

將標籤套用至 Amazon S3 S3 儲存成本。

若要開始追蹤成本：

1. 將標籤新增至 S3 資源或使用現有的標籤。例如，您可以使用識別專案或一組專案的標籤來標記儲存貯體。

2. 在 AWS 帳單與成本管理 主控台中啟用成本分配的標籤。請參閱AWS 帳單與成本管理 《 使用者指南》中的啟用使用者定義的成本分配標籤。您可以啟用使用者定義或 AWS產生的標籤。如需詳細資訊，請參閱使用成本分配標籤組織和追蹤 AWS 成本。

AWS 使用啟用的標籤，在各種帳單和成本管理工具中組織您的資源成本，例如：

• 成本分配報告

  提供啟動標籤所組織成本的高階檢視。如需詳細資訊，請參閱《 AWS 帳單使用者指南》中的使用每月成本分配報告。

• 成本和用量報告 (CUR)

  提供一組最詳細的 AWS 成本和用量資料，包括標籤型成本明細。如需詳細資訊，請參閱 AWS Data Export 使用者指南中的什麼是 AWS 成本和用量報告？。

支援使用標籤追蹤成本的 Amazon S3 資源

下列 Amazon S3 資源支援使用標籤追蹤儲存成本。

• 目錄儲存貯體

  如需詳細資訊，請參閱管理目錄儲存貯體的標籤。

• 一般用途儲存貯體

  如需詳細資訊，請參閱管理一般用途儲存貯體的標籤。

使用屬性型存取控制 (ABAC) 的標籤

屬性型存取控制 (ABAC) 是一種授權策略，可根據屬性定義許可，即標籤。您可以將標籤連接至 AWS Identity and Access Management (IAM) 實體 （使用者或角色） 和 AWS 資源，例如 Amazon S3 存取點和目錄儲存貯體。然後，您可以使用存取控制政策中的標籤型條件來控制這些資源的許可，以便在符合這些條件時允許或拒絕操作。

透過 ABAC，您可以在 AWS 組織、IAM 和 S3 資源政策中使用標籤型條件金鑰。對於企業，Amazon S3 中的 ABAC 支援跨多個 AWS 帳戶進行授權。

在 IAM 政策中，您可以使用條件索引鍵，根據儲存貯體的標籤來控制對 S3 資源的存取。

支援的條件金鑰

您可以針對支援 ABAC 的所有 Amazon S3 資源使用下列 AWS 條件金鑰。

• aws:ResourceTag/key-name

• aws:RequestTag/key-name

• aws:TagKeys

有些資源支援其他 Amazon S3 條件金鑰。如需可用於 ABAC 和範例政策之條件金鑰的完整清單，請參閱 資源的下列標記主題。

支援 ABAC 的 Amazon S3 資源

下列 Amazon S3 資源支援使用標籤的屬性型存取控制 (ABAC)。

• 存取點

  如需詳細資訊，請參閱針對一般用途儲存貯體搭配 S3 存取點使用標籤及將標籤與目錄儲存貯體的 S3 存取點搭配使用。

• 批次操作任務

  如需詳細資訊，請參閱使用標籤控制存取和標記任務。

• 目錄儲存貯體

  如需詳細資訊，請參閱搭配 S3 目錄儲存貯體使用標籤。

• 物件

  如需詳細資訊，請參閱使用標籤分類物件。

• S3 存取授權

  如需詳細資訊，請參閱管理 S3 Access Grants 的標籤。

• S3 Storage Lens 群組

  如需詳細資訊，請參閱使用 Storage Lens 群組管理 AWS 資源標籤。

規劃您的標記策略

我們建議您為每種資源類型建立符合您需求的標籤金鑰。使用一致的標籤金鑰組可讓您更輕鬆管理您的 資源。您可以根據您新增的標籤搜尋和篩選資源。如需如何實作有效資源標記策略的詳細資訊，請參閱標記最佳實務 AWS 白皮書。

標記 Amazon S3 資源的最佳實務

當您使用標籤時，建議您遵守下列最佳實務：

• 記錄您組織中所有團隊遵循的標籤使用慣例。特別是，確保名稱具有描述性和一致性。例如，將 格式標準化，environment:prod而不是使用 標記一些資源env:production。

  重要

  請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。

• 自動化標記以確保一致性。例如，您可以在 AWS CloudFormation 範本中包含標籤。當您使用範本建立資源時，會自動標記資源。

• 僅在必要時使用標籤。避免不必要的標籤擴散和複雜性。

• 定期檢閱標籤的相關性和準確性。視需要移除或修改過時的標籤。

• 請考慮在 AWS 管理主控台中使用標籤編輯器建立 AWS 標籤。您可以使用標籤編輯器，同時將標籤新增至多個支援 AWS 的資源，包括 Amazon S3 資源。如需詳細資訊，請參閱 AWS Resource Groups 使用者指南中的標籤編輯器。

管理 Amazon S3 資源的標籤

如需如何管理 Amazon S3 資源標籤的詳細資訊，請參閱下列內容：

• 管理一般用途儲存貯體存取點的標籤

• 管理目錄儲存貯體存取點的標籤

• 使用標籤控制存取和標記任務

• 管理目錄儲存貯體的標籤

• 管理一般用途儲存貯體的標籤

• 使用標籤分類物件

• 管理 S3 Access Grants 的標籤

• 使用 Storage Lens 群組管理 AWS 資源標籤