本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視有效的標籤政策
在您開始檢查帳戶中已標記資源的合規狀態之前,最好先決定帳戶的有效標籤政策。
什麼是有效的標籤政策?
有效的標籤政策指定套用至帳戶的標記規則。帳戶繼承的任何標籤政策,加上直接連接至帳戶的任何標籤政策,聚集而成有效的標籤政策。當您將標籤政策連接至組織根時,該標籤政策會套用至組織中的所有帳戶。當您將標籤政策連接至 OU 時,該標籤政策會套用至屬於此 OU 的所有帳戶和 OU。
例如,連接至組織根的標籤政策,可能定義具有四個合規值的 CostCenter
標籤。連接至帳戶的另一個標籤政策,可能限制 CostCenter
索引鍵只能有四個合規值之中的兩個。這些標籤政策的組合構成有效的標籤政策。結果是組織根標籤政策中定義的四個合規標籤值之中,只有兩個是帳戶的合規值。
如需有關如何產生有效標籤政策的詳細資訊,以及其他進階範例,請參閱理解管理政策繼承。
如何檢視有效的標籤政策
您可以從 AWS Management Console、AWS API 或 AWS Command Line Interface 檢視帳戶的有效標籤政策。
若要檢視帳戶的有效標籤政策,您必須具有執行下列動作的許可:
- AWS Management Console
-
檢視帳戶的有效標籤政策
-
登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
-
在 AWS 帳戶 頁面上,選擇您要檢視其有效標籤政策的帳戶名稱。您可能需要展開 OU (選擇
),以尋找您想要的帳戶。
-
在 Policies (政策) 索引標籤的 Tag policies (標籤政策) 區段中,選擇 View the effective tag policy for this AWS 帳戶 (檢視此 AWS 帳戶 帳戶的有效標籤政策)。
主控台會顯示套用至指定帳戶的有效政策。
在沒有重大變更的情況下,您無法複製並貼上有效政策作為另一個標籤政策的 JSON。標籤政策文件必須包含繼承運算子,以指定如何將每一項設定合併成最終有效政策。
- AWS CLI & AWS SDKs
-
檢視帳戶的有效標籤政策
您可以使用下列其中一項來檢視有效的標籤政策:
-
AWS CLI: describe-effective-policy
若要找出哪些標記規則繼承自或連接至帳戶,請從帳戶執行下列命令,並將結果儲存為檔案:
$
aws organizations describe-effective-policy \
--policy-type TAG_POLICY
{
"EffectivePolicy": {
"PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
"LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
"TargetId": "123456789012",
"PolicyType": "TAG_POLICY"
}
}
如果標籤政策連接至該帳戶及根或任何 OU,則這所有繼承的政策共同定義該帳戶的有效標籤政策。在這些情況下,從該帳戶執行 describe-effective-policy
會傳回該帳戶階層中所有標籤政策的合併內容。
-
AWS SDKs: DescribeEffectivePolicy