了解強制

標籤政策可以指定在指定的資源類型上，強制執行不合規的標記操作。換句話說，防止完成指定的資源類型上不合規的標記請求。

重要

強制對於未使用標籤來建立的資源沒有影響。

若要強制要求符合標籤政策，請在建立標籤政策時執行下列其中一項動作：

• 從 Visual editor (視覺化編輯器) 索引標籤中，選取 Prevent noncompliant operations for this tag (防止對此標籤執行不合規操作)。

• 從 JSON 索引標籤中，使用 enforced_for 欄位。如需標籤政策語法的相關資訊，請參閱標籤政策語法和範例。

遵循以下最佳實務來強制符合標籤政策：

• 強制合規性時請小心 – 確定您了解使用標籤政策的效果，並遵循 開始使用標籤政策 中所述的建議工作流程。在擴大強制更多帳戶之前，請先在測試帳戶上測試強制的效果。否則，可能會使組織帳戶中的使用者無法標記他們所需的資源。

• 注意您可以強制的資源類型 – 您只能在支援的資源類型上強制符合標籤政策。當您使用視覺化編輯器建置標籤政策時，將會列出支援強制合規的資源類型。

• 了解與某些服務的互動 — 某些 AWS 服務具有類似容器的資源分組，可以自動為您建立資源，而標籤可以從一個服務中的資源傳播到另一個服務。例如，Amazon EC2 Auto Scaling 群組和 Amazon EMR 叢集上的標籤可自動傳播至包含的 Amazon EC2 執行個體。相較於 Auto Scaling 群組或 EMR 叢集，您對於 Amazon EC2 的標籤政策可能更嚴格。如果您啟用強制，標籤政策會防止標記資源，還可能禁止動態擴展和佈建。

下列各節說明如何尋找不符合規資源，並將其修正為合規。

搜尋帳戶的不合規資源

針對每個帳戶，您可以取得不合規資源的相關資訊。您應該從帳戶資源所在的每個區域執行此命令。

若要尋找具有標籤策略之帳號的不相容資源，請執行下列命令，將結果儲存至檔案：

$ aws resourcegroupstaggingapi get-resources  --region us-east-1 \
    --include-compliance-details \
    --exclude-compliant-resources > outputfile.txt 

更正資源中的不合規標籤

找到不合規標籤後，請使用下列任何方法來更正。您登入的帳戶中，資源必須有不合規標籤：

• 使用主控台或標記建立不合規資源之 AWS 服務的 API 作業。

• 使用 AWS Resource Groups TagResources和UntagResources作業可新增符合有效策略的標記，或移除不相容的標記。

搜尋並更正其他不合規問題

尋找和更正合規問題是反覆的程序。重複上述兩節中的步驟，直至您關注的資源符合標籤政策。

產生組織整體合規報告

您可以隨時產生一份報告，列出組織中所有已標記的資源。 AWS 帳戶 此報告顯示每個資源是否符合有效標籤政策。請注意，您對標籤政策或資源所做的變更，可能需要經過長達 48 小時，才會反映在組織整體合規報告中。例如，假設您有一個標籤政策為某個資源類型定義新的標準化標籤。如果該類型的資源沒有此標籤，則在報告中會顯示為合規，時間長達 48 小時。

只要組織的管理帳戶具有 Amazon S3 儲存貯體的存取權，您可以在 us-east-1 區域中從該帳戶產生報告。儲存貯體必須具有連接的儲存貯體政策，如用於存放報告的 Amazon S3 儲存貯體政策中所示。若要產生報告，請執行下列命令：

$ aws resourcegroupstaggingapi get-compliance-summary --region us-east-1
{
    "SummaryList": [
        {
            "LastUpdated": "2020-06-09T18:40:46Z",
            "NonCompliantResources": 0
        }
    ]
}

您每次可以產生一個報告。

此報告可能需要一些時間才能完成。您可以執行下列命令來檢查狀態：

$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
    "Status": "SUCCEEDED"
}

當上述命令傳回 SUCCEEDED 時，您可以從 Amazon S3 儲存貯體開啟報告。