本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解強制
標籤政策可以指定在指定的資源類型上,強制執行不合規的標記操作。換句話說,防止完成指定的資源類型上不合規的標記請求。
重要
強制對於未使用標籤來建立的資源沒有影響。
若要強制要求符合標籤政策,請在建立標籤政策時執行下列其中一項動作:
-
從 Visual editor (視覺化編輯器) 索引標籤中,選取 Prevent noncompliant operations for this tag (防止對此標籤執行不合規操作)。
-
從 JSON 索引標籤中,使用
enforced_for
欄位。如需標籤政策語法的相關資訊,請參閱標籤政策語法和範例。
遵循以下最佳實務來強制符合標籤政策:
-
強制合規性時請小心 – 確定您了解使用標籤政策的效果,並遵循 開始使用標籤政策 中所述的建議工作流程。在擴大強制更多帳戶之前,請先在測試帳戶上測試強制的效果。否則,可能會使組織帳戶中的使用者無法標記他們所需的資源。
-
注意您可以強制的資源類型 – 您只能在支援的資源類型上強制符合標籤政策。當您使用視覺化編輯器建置標籤政策時,將會列出支援強制合規的資源類型。
-
了解與某些服務的互動 — 某些 AWS 服務具有類似容器的資源分組,可以自動為您建立資源,而標籤可以從一個服務中的資源傳播到另一個服務。例如,Amazon EC2 Auto Scaling 群組和 Amazon EMR 叢集上的標籤可自動傳播至包含的 Amazon EC2 執行個體。相較於 Auto Scaling 群組或 EMR 叢集,您對於 Amazon EC2 的標籤政策可能更嚴格。如果您啟用強制,標籤政策會防止標記資源,還可能禁止動態擴展和佈建。
下列各節說明如何尋找不符合規資源,並將其修正為合規。
搜尋帳戶的不合規資源
針對每個帳戶,您可以取得不合規資源的相關資訊。您應該從帳戶資源所在的每個區域執行此命令。
若要尋找具有標籤策略之帳號的不相容資源,請執行下列命令,將結果儲存至檔案:
$
aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources >
outputfile.txt
更正資源中的不合規標籤
找到不合規標籤後,請使用下列任何方法來更正。您登入的帳戶中,資源必須有不合規標籤:
-
使用主控台或標記建立不合規資源之 AWS 服務的 API 作業。
-
使用 AWS Resource Groups TagResources和UntagResources作業可新增符合有效策略的標記,或移除不相容的標記。
搜尋並更正其他不合規問題
尋找和更正合規問題是反覆的程序。重複上述兩節中的步驟,直至您關注的資源符合標籤政策。
產生組織整體合規報告
您可以隨時產生一份報告,列出組織中所有已標記的資源。 AWS 帳戶 此報告顯示每個資源是否符合有效標籤政策。請注意,您對標籤政策或資源所做的變更,可能需要經過長達 48 小時,才會反映在組織整體合規報告中。例如,假設您有一個標籤政策為某個資源類型定義新的標準化標籤。如果該類型的資源沒有此標籤,則在報告中會顯示為合規,時間長達 48 小時。
只要組織的管理帳戶具有 Amazon S3 儲存貯體的存取權,您可以在 us-east-1
區域中從該帳戶產生報告。儲存貯體必須具有連接的儲存貯體政策,如用於存放報告的 Amazon S3 儲存貯體政策中所示。若要產生報告,請執行下列命令:
$
aws resourcegroupstaggingapi get-compliance-summary --region us-east-1{ "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ] }
您每次可以產生一個報告。
此報告可能需要一些時間才能完成。您可以執行下列命令來檢查狀態:
$
aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED" }
當上述命令傳回 SUCCEEDED
時,您可以從 Amazon S3 儲存貯體開啟報告。