建立、更新和刪除標籤政策 - AWS Organizations
建立標籤政策更新標籤策略編輯連接至標籤政策的標籤刪除標籤政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立、更新和刪除標籤政策

在本主題中:
重要

未標記的資源由於不合規而無法出現在結果中。

建立標籤政策

最低許可

若要建立標籤政策,您需要具有執行下列動作的許可:

  • organizations:CreatePolicy

在 AWS Management Console 中有兩種方式建立標記政策:

  • 視覺化編輯器,可讓您選擇選項,然後為您產生 JSON 政策文字。

  • 文字編輯器,可讓您直接建立 JSON 政策文字。

視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子,完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。

AWS Management Console
建立標籤政策

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. Tag policies (標籤政策) 頁面上,選擇 Create policy (建立政策)。

  3. Create policy (建立政策) 頁面上,輸入政策的 Policy name (政策名稱) 與選用的 Policy description (政策描述)。

  4. (選用) 您可以將一個或多個標籤新增至政策物件本身。這些標籤不是政策的一部分。若要執行此操作,請選擇 Add tag (新增標籤),然後輸入一個鍵和一個選用值。將值留空會將其設定為空白字串;而不是 null。您可以在政策中連接最多 50 個標籤。如需更多詳細資訊,請參閱 標記 AWS Organizations 資源

  5. 您可以使用 Visual editor (視覺化編輯器) 建立標籤政策,如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上標籤政策。如需標籤政策語法的相關資訊,請參閱標籤政策語法

    針對 New Tag Key 1(新標籤鍵 1),指定要新增的標籤鍵名稱。

  6. 對於 Tag key capitalization compliance (標籤鍵大寫合規),維持不選取此選項 (預設),以指定父標籤政策應該定義標籤鍵的大小寫處理。

    如果您要使用此政策來強制標籤鍵的特定大寫,請啟用此選項。如果您選取此選項,您為 Tag Key (標籤鍵) 指定的大寫,將覆寫父政策中指定的大小寫處理。

    如果父政策不存在且您未選取此選項,則只有完全小寫字元的標籤鍵才視為合規。如需父政策中有關繼承的詳細資訊,請參閱理解管理政策繼承

    提示

    在建立標籤政策來定義標籤鍵及其大小寫處理時,請考慮使用範例 1:定義整個組織的標籤鍵大小寫中顯示的範例標籤政策作為指南。將此標籤政策連接至組織根目錄。稍後,您可以建立額外的標籤政策,並連接至 OU 或帳戶,以建立其他標記規則。

  7. 適用於標籤值合規,如果您要將此標籤鍵的允許值新增到從父政策繼承的任何值,請啟用此選項。

    依預設會清除此選項,這表示只有從父政策定義和繼承的那些值才視為合規。如果父政策不存在或未指定標籤值,則任何值 (包括完全沒有值) 都視為合規。

    若要更新可接受的標籤值清單,請選取 Specify allowed values for this tag key (指定此標籤鍵的允許值),然後選取 Specify values (指定值)。出現提示時,輸入新的值 (每個方塊一個值),然後選擇 Save changes (儲存變更)。

  8. 對於 Prevent noncompliant operations for this tag (防止對此標籤執行不合規操作),建議除非您使用標籤政策很有經驗,否則請維持不選取此選項 (預設)。請確定您已檢閱了解強制中的建議,並全面測試。否則,可能會使組織帳戶中的使用者無法標記他們所需的資源。

    如果您確實想要強制此標籤鍵合規,請選取此核取方塊,然後選取 Specify resource types (指定資源類型)。提示後,請選取要包含在政策中的資源類型。接著選擇 Save changes (儲存變更)

    重要

    選取此選項後,任何操縱指定類型資源標籤的操作,僅在操作使標籤符合政策時才會成功。

  9. (選用) 若要將另一個標籤鍵新增至此標籤政策,請選擇 Add tag key (新增標籤鍵)。然後執行步驟 6–9 來定義標籤鍵。

  10. 標籤政策建置完成時,請選擇 Save Changes (儲存變更)

AWS CLI & AWS SDKs
建立標籤政策

您可以使用下列其中一項來建立標籤政策:

  • AWS CLI: create-policy

    您可以使用任何文字編輯器來建立標籤政策。使用 JSON 語法,並在您選擇的位置中,以任何名稱和副檔名將標籤政策儲存為檔案。標籤政策最多可包含 2,500 個字元,包括空格。如需標籤政策語法的相關資訊,請參閱標籤政策語法

    建立標籤政策

    1. 文字檔案中建立看起來類似下列內容的標籤政策︰

      testpolicy.json 的內容:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      此標籤政策定義 CostCenter 標籤鍵。標籤可以接受或不接受任何值。這樣的政策表示,帶有CostCenter 標籤的資源 (無論是否連接任何值) 都符合規定。

    2. 建立包含檔案中政策內容的政策。為了便於閱讀,輸出中的額外空白字元已被截斷。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
後續作業

建立標籤政策後,您可以使標記規則生效。若要這樣做,請連接政策至組織根、組織單位 (OU)、組織內的 AWS 帳戶,或組織實體的組合。

更新標籤策略

最低許可

若要更新標籤政策,您必須具有執行下列動作的許可:

  • organizations:UpdatePolicy,並在包含指定政策 (或 "*") 的 ARN 的相同政策陳述式中具有 Resource 元素

  • organizations:DescribePolicy,並在包含指定政策 (或 "*") 的 ARN 的相同政策陳述式中具有 Resource 元素

AWS Management Console
更新標籤政策

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. Tag policies (標籤政策) 頁面上,選擇您要更新的標籤政策。

  3. 選擇 Edit Policy (編輯政策)。

  4. 您可以輸入新的政策名稱政策描述。可以使用視覺化編輯器或直接編輯 JSON,來變更政策內容。

  5. 標籤政策更新完成時,請選擇 Save Changes (儲存變更)

AWS CLI & AWS SDKs
更新政策

您可以使用下列其中一項來更新政策:

  • AWS CLI: update-policy

    下列範例會重新命名標籤政策。

    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed tag policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

    下列範例會新增或變更標籤政策的描述。

    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new tag policy description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Description": "My new tag policy description",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
       "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

    下列範例會變更連接至 AI 服務選擇退出政策的 JSON 政策文件。在此範例中,內容擷取自名稱為 policy.json 的檔案,其中包含以下文字:

    {
  "tags": {
    "Stage": {
      "tag_key": {
        "@@assign": "Stage"
      },
      "tag_value": {
        "@@assign": [
          "Production",
          "Test"
        ]
      }
    }
  }
}
    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Description": "My new tag policy description",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}

  • AWS SDKs: UpdatePolicy

編輯連接至標籤政策的標籤

登入您的組織的管理帳戶時,您可以新增或移除連接至標籤政策的標籤。若要執行此動作,請執行下列步驟。

最低許可

若要編輯連接至您 AWS 組織的標籤政策標籤,您必須擁有以下許可︰

  • organizations:DescribeOrganization (僅限主控台 – 導覽至政策)

  • organizations:DescribePolicy (僅限主控台 – 導覽至政策)

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console
編輯連接至 AI 服務選擇退出政策的標籤

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. Tag policies (標籤政策) 頁面上,選擇您要編輯的附有標籤的政策名稱。

  3. 在所選政策的詳細資訊頁面上,選擇 Tags (標籤) 索引標籤,然後選擇 Manage tags (管理標籤)。

  4. 您可以在此頁面上執行任一動作:

    • 透過在舊值上輸入新值來編輯任何標籤的值。您無法修改標籤鍵。若要變更標籤鍵,您必須刪除含有舊標籤鍵的標籤,並新增含有新標籤鍵的標籤。

    • 選擇 Remove (移除) 以移除現有的標籤。

    • 新增標籤鍵值組。選擇 Add tag (新增標籤),然後在提供的方塊中輸入新的標籤鍵名稱和選用值。如果您將 Value (值) 方塊保留空白,則值為空白字串;而不是 null

  5. 在您完成所有要進行的新增、移除和編輯之後,選擇 Save changes (儲存變更)。

AWS CLI & AWS SDKs
編輯連接至標籤政策的標記

您可以使用下列其中一項命令來編輯連接至標籤政策的標籤:

刪除標籤政策

登入到您的組織的管理帳戶時,您可以刪除在您的組織中不再需要的政策。

您必須先將政策從所有連接的實體分離,才能刪除政策。

最低許可

若要刪除標籤政策,您必須具有執行下列動作的許可:

  • organizations:DeletePolicy

AWS Management Console
刪除標籤政策

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  3. Tag policies (標籤政策) 頁面上,選擇您要刪除的政策。

  4. 您必須先將您要刪除的政策從所有根、OU 和帳戶分離。選擇 Targets (目標) 索引標籤,再選擇每個根、OU 或顯示於 Targets (目標) 清單中帳戶旁邊的選項按鈕,然後選擇 Detach (分離)。在確認對話方塊中,選擇 Detach (分離)。

  5. 在頁面頂端,選擇 Delete (刪除)。

  6. 在確認對話方塊中,輸入政策的名稱,然後選擇 Delete (刪除)。

AWS CLI & AWS SDKs
刪除標籤政策

您可以使用下列其中一項來刪除政策:

  • AWS CLI: delete-policy

    以下範例會刪除指定的政策。只有在政策未連接至任何根、OU 或帳戶時才有效。

    $ aws organizations delete-policy \
    --policy-id p-i9j8k7l6m5

    此命令成功後就不會產生輸出。

  • AWS SDKs: DeletePolicy