本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Organizations 標籤策略
標籤原則是您在其中建立的一種原則類型 AWS Organizations。 您可以使用標籤政策來協助標準化組織帳戶中資源的標籤。若要使用標籤原則,建議您遵循中的標籤原則入門中所述的工作流程 AWS Organizations 使用者指南。如該頁面所述,建議的工作流程包括尋找和更正不符合標籤。若要完成這些工作,請使用「標籤編輯器」主控台。
先決條件和許可
您必須符合需求並設定必要權限,才能在「標籤編輯器」中評估標籤原則的符合性。
評估標籤原則符合性的先決條件
評估標籤原則的符合性需要下列事項:
-
您必須先啟用中的功能 AWS Organizations,以及建立和附加標籤原則。如需詳細資訊,請參閱中的下列頁面 AWS Organizations 用戶指南:
-
若要尋找帳戶資源上的不符合標籤,您需要該帳戶的登入認證以及中評估帳戶合規性的權限列出的權限。
-
若要評估整個組織的合規性,您需要組織管理帳戶的登入認證以及中列出的權限。評估整個組織合規性的權限 您只能要求符合性報告 AWS 區域 美國東部 (維吉尼亞北部)。
評估帳戶合規性的權限
在帳號的資源上尋找不符合標籤需要下列權限:
-
organizations:DescribeEffectivePolicy— 取得帳號有效標籤政策的內容。 -
tag:GetResources— 取得不符合附加標籤原則的資源清單。 -
tag:TagResources— 新增或更新標籤。您也需要服務特定權限才能建立標籤。例如,若要在 Amazon 彈性運算雲端 (AmazonEC2) 中標記資源,您需要的許可ec2:CreateTags。 -
tag:UnTagResources— 移除標籤。您也需要服務特定權限才能移除標記。例如,若要取消標記 Amazon 中的資源EC2,您需要的ec2:DeleteTags許可。
下面的例子 AWS Identity and Access Management (IAM) 策略提供評估帳號標籤符合性的權限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
如需有關IAM策略和權限的詳細資訊,請參閱《使IAM用者指南》。
評估整個組織合規性的權限
評估整個組織是否符合標籤原則需要下列權限:
-
organizations:DescribeEffectivePolicy— 取得附加至組織、組織單位 (OU) 或帳戶之標籤原則的內容。 -
tag:GetComplianceSummary— 取得組織中所有帳號中不合規資源的摘要。 -
tag:StartReportCreation— 將最近相容性評估的結果匯出至檔案。每 48 小時評估一次全組織的合規性。 -
tag:DescribeReportCreation— 檢查報告建立的狀態。 -
s3:ListAllMyBuckets— 協助存取整個組織的合規報告。 -
s3:GetBucketAcl— 檢查接收合規報告之 Amazon S3 儲存貯體的存取控制清單 (ACL)。 -
s3:GetObject— 從服務擁有的 Amazon S3 儲存貯體擷取合規報告。 -
s3:PutObject— 將合規報告放置在指定的 Amazon S3 儲存貯體中。
下列範例IAM原則提供評估整個組織合規性的權限。替換每個 placeholder 使用您自己的信息:
-
bucket_name -
organization_id
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:StartReportCreation", "tag:DescribeReportCreation", "tag:GetComplianceSummary", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GetBucketAclForReportDelivery", "Effect": "Allow", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "GetObjectForReportDelivery", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "PutObjectForReportDelivery", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" }, "StringLike": { "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*" } } } ] }
如需有關IAM策略和權限的詳細資訊,請參閱《使IAM用者指南》。
報告儲存的 Amazon S3 儲存貯體政策
若要建立整個組織的合規報告,您用來呼叫的身分StartReportCreationAPI必須能夠存取美國東部 (維吉尼亞北部) 區域中的 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體,才能存放報告。標籤原則會使用呼叫身分識別的認證,將符合性報告傳送至指定值區。
如果用於呼叫的儲存貯體和身分StartReportCreationAPI屬於同一個帳戶,則此使用案例不需要額外的 Amazon S3 儲存貯體政策。
如果與用來呼叫的身分相關聯的帳戶與擁有 Amazon S3 儲存貯體的帳戶不同,則必須將下列儲存貯體政策附加至儲存貯體。StartReportCreation API替換每個 placeholder 使用您自己的信息:
-
bucket_name -
organization_id -
身份 _ ARNStartReportCreationAPI
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTagPolicyACL", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" }, { "Sid": "CrossAccountTagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*" } ] }
