本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立、更新和刪除標籤政策
建立標籤政策
在 AWS Management Console 中有兩種方式建立標記政策:
視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子,完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。
- AWS Management Console
-
建立標籤政策
-
登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
-
在 Tag policies (標籤政策) 頁面上,選擇 Create policy (建立政策)。
-
在 Create policy (建立政策) 頁面上,輸入政策的 Policy name (政策名稱) 與選用的 Policy description (政策描述)。
-
(選用) 您可以將一個或多個標籤新增至政策物件本身。這些標籤不是政策的一部分。若要執行此操作,請選擇 Add tag (新增標籤),然後輸入一個鍵和一個選用值。將值留空會將其設定為空白字串;而不是 null
。您可以在政策中連接最多 50 個標籤。如需更多詳細資訊,請參閱 標記 AWS Organizations 資源。
-
您可以使用 Visual editor (視覺化編輯器) 建立標籤政策,如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上標籤政策。如需標籤政策語法的相關資訊,請參閱標籤政策語法。
針對 New Tag Key 1(新標籤鍵 1),指定要新增的標籤鍵名稱。
-
對於 Tag key capitalization compliance (標籤鍵大寫合規),維持不選取此選項 (預設),以指定父標籤政策應該定義標籤鍵的大小寫處理。
如果您要使用此政策來強制標籤鍵的特定大寫,請啟用此選項。如果您選取此選項,您為 Tag Key (標籤鍵) 指定的大寫,將覆寫父政策中指定的大小寫處理。
如果父政策不存在且您未選取此選項,則只有完全小寫字元的標籤鍵才視為合規。如需父政策中有關繼承的詳細資訊,請參閱理解管理政策繼承。
在建立標籤政策來定義標籤鍵及其大小寫處理時,請考慮使用範例 1:定義整個組織的標籤鍵大小寫中顯示的範例標籤政策作為指南。將此標籤政策連接至組織根目錄。稍後,您可以建立額外的標籤政策,並連接至 OU 或帳戶,以建立其他標記規則。
-
適用於標籤值合規,如果您要將此標籤鍵的允許值新增到從父政策繼承的任何值,請啟用此選項。
依預設會清除此選項,這表示只有從父政策定義和繼承的那些值才視為合規。如果父政策不存在或未指定標籤值,則任何值 (包括完全沒有值) 都視為合規。
若要更新可接受的標籤值清單,請選取 Specify allowed values for this tag key (指定此標籤鍵的允許值),然後選取 Specify values (指定值)。出現提示時,輸入新的值 (每個方塊一個值),然後選擇 Save changes (儲存變更)。
-
對於 Prevent noncompliant operations for this tag (防止對此標籤執行不合規操作),建議除非您使用標籤政策很有經驗,否則請維持不選取此選項 (預設)。請確定您已檢閱了解強制中的建議,並全面測試。否則,可能會使組織帳戶中的使用者無法標記他們所需的資源。
如果您確實想要強制此標籤鍵合規,請選取此核取方塊,然後選取 Specify resource types (指定資源類型)。提示後,請選取要包含在政策中的資源類型。接著選擇 Save changes (儲存變更)。
選取此選項後,任何操縱指定類型資源標籤的操作,僅在操作使標籤符合政策時才會成功。
-
(選用) 若要將另一個標籤鍵新增至此標籤政策,請選擇 Add tag key (新增標籤鍵)。然後執行步驟 6–9 來定義標籤鍵。
-
標籤政策建置完成時,請選擇 Save Changes (儲存變更)。
- AWS CLI & AWS SDKs
-
建立標籤政策
您可以使用下列其中一項來建立標籤政策:
後續作業
建立標籤政策後,您可以使標記規則生效。若要這樣做,請連接政策至組織根、組織單位 (OU)、組織內的 AWS 帳戶,或組織實體的組合。
更新標籤策略
- AWS Management Console
-
更新標籤政策
-
登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
-
在 Tag policies (標籤政策) 頁面上,選擇您要更新的標籤政策。
-
選擇 Edit Policy (編輯政策)。
-
您可以輸入新的政策名稱、政策描述。可以使用視覺化編輯器或直接編輯 JSON,來變更政策內容。
-
標籤政策更新完成時,請選擇 Save Changes (儲存變更)。
- AWS CLI & AWS SDKs
-
更新政策
您可以使用下列其中一項來更新政策:
-
AWS CLI: update-policy
下列範例會重新命名標籤政策。
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed tag policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
下列範例會新增或變更標籤政策的描述。
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new tag policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
下列範例會變更連接至 AI 服務選擇退出政策的 JSON 政策文件。在此範例中,內容擷取自名稱為 policy.json
的檔案,其中包含以下文字:
{
"tags": {
"Stage": {
"tag_key": {
"@@assign": "Stage"
},
"tag_value": {
"@@assign": [
"Production",
"Test"
]
}
}
}
}
$
aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}
-
AWS SDKs: UpdatePolicy
編輯連接至標籤政策的標籤
登入您的組織的管理帳戶時,您可以新增或移除連接至標籤政策的標籤。若要執行此動作,請執行下列步驟。
若要編輯連接至您 AWS 組織的標籤政策標籤,您必須擁有以下許可︰
-
organizations:DescribeOrganization
(僅限主控台 – 導覽至政策)
-
organizations:DescribePolicy
(僅限主控台 – 導覽至政策)
-
organizations:TagResource
-
organizations:UntagResource
- AWS Management Console
-
編輯連接至 AI 服務選擇退出政策的標籤
-
登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
-
在 Tag policies (標籤政策) 頁面上,選擇您要編輯的附有標籤的政策名稱。
-
在所選政策的詳細資訊頁面上,選擇 Tags (標籤) 索引標籤,然後選擇 Manage tags (管理標籤)。
-
您可以在此頁面上執行任一動作:
-
在您完成所有要進行的新增、移除和編輯之後,選擇 Save changes (儲存變更)。
- AWS CLI & AWS SDKs
-
編輯連接至標籤政策的標記
您可以使用下列其中一項命令來編輯連接至標籤政策的標籤:
刪除標籤政策
登入到您的組織的管理帳戶時,您可以刪除在您的組織中不再需要的政策。
您必須先將政策從所有連接的實體分離,才能刪除政策。
- AWS Management Console
-
刪除標籤政策
-
登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
-
-
在 Tag policies (標籤政策) 頁面上,選擇您要刪除的政策。
-
您必須先將您要刪除的政策從所有根、OU 和帳戶分離。選擇 Targets (目標) 索引標籤,再選擇每個根、OU 或顯示於 Targets (目標) 清單中帳戶旁邊的選項按鈕,然後選擇 Detach (分離)。在確認對話方塊中,選擇 Detach (分離)。
-
在頁面頂端,選擇 Delete (刪除)。
-
在確認對話方塊中,輸入政策的名稱,然後選擇 Delete (刪除)。
- AWS CLI & AWS SDKs
-
刪除標籤政策
您可以使用下列其中一項來刪除政策: