檢視有效的標籤政策 - AWS Organizations
什麼是有效的標籤政策?如何檢視有效的標籤政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視有效的標籤政策

在您開始檢查帳戶中已標記資源的合規狀態之前,最好先決定帳戶的有效標籤政策。

什麼是有效的標籤政策?

有效的標籤政策指定套用至帳戶的標記規則。帳戶繼承的任何標籤政策,加上直接連接至帳戶的任何標籤政策,聚集而成有效的標籤政策。當您將標籤政策連接至組織根時,該標籤政策會套用至組織中的所有帳戶。當您將標籤政策連接至 OU 時,該標籤政策會套用至屬於此 OU 的所有帳戶和 OU。

例如,連接至組織根的標籤政策,可能定義具有四個合規值的 CostCenter 標籤。連接至帳戶的另一個標籤政策,可能限制 CostCenter 索引鍵只能有四個合規值之中的兩個。這些標籤政策的組合構成有效的標籤政策。結果是組織根標籤政策中定義的四個合規標籤值之中,只有兩個是帳戶的合規值。

如需有關如何產生有效標籤政策的詳細資訊,以及其他進階範例,請參閱理解管理政策繼承

如何檢視有效的標籤政策

您可以從 AWS Management Console、AWS API 或 AWS Command Line Interface 檢視帳戶的有效標籤政策。

最低許可

若要檢視帳戶的有效標籤政策,您必須具有執行下列動作的許可:

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization

AWS Management Console
檢視帳戶的有效標籤政策

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. AWS 帳戶 頁面上,選擇您要檢視其有效標籤政策的帳戶名稱。您可能需要展開 OU (選擇 ),以尋找您想要的帳戶。

  3. Policies (政策) 索引標籤的 Tag policies (標籤政策) 區段中,選擇 View the effective tag policy for this AWS 帳戶 (檢視此 AWS 帳戶 帳戶的有效標籤政策)。

    主控台會顯示套用至指定帳戶的有效政策。

    注意

    在沒有重大變更的情況下,您無法複製並貼上有效政策作為另一個標籤政策的 JSON。標籤政策文件必須包含繼承運算子,以指定如何將每一項設定合併成最終有效政策。

AWS CLI & AWS SDKs
檢視帳戶的有效標籤政策

您可以使用下列其中一項來檢視有效的標籤政策:

  • AWS CLI: describe-effective-policy

    若要找出哪些標記規則繼承自或連接至帳戶,請從帳戶執行下列命令,並將結果儲存為檔案:

    $ aws organizations describe-effective-policy \
    --policy-type TAG_POLICY
{
    "EffectivePolicy": {
        "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
        "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
        "TargetId": "123456789012",
        "PolicyType": "TAG_POLICY"
    }
}

    如果標籤政策連接至該帳戶及根或任何 OU,則這所有繼承的政策共同定義該帳戶的有效標籤政策。在這些情況下,從該帳戶執行 describe-effective-policy 會傳回該帳戶階層中所有標籤政策的合併內容。

  • AWS SDKs: DescribeEffectivePolicy