Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC) - Amazon Simple Storage Service
Wie Tags funktionierenTypische Verwendungsweisen von TagsPlanung Ihrer Tagging-StrategieVerwalten von Tags für Amazon S3-Ressourcen

Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC)

Ein AWS Tag ist ein Schlüssel/Wert-Paar, das Metadaten enthält. Sie hängen die Tags an Ihre Amazon S3-Ressourcen, z. B. Buckets, an. Sie können Ressourcen markieren, wenn Sie sie erstellen, oder Markierungen für vorhandene Ressourcen verwalten. Für die Verwendung von Tags fallen keine zusätzlichen Kosten an, die über die Standardgebühren für S3-API-Anfragen hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Wie Tags funktionieren

Amazon S3 unterstützt zwei Arten von Tags:

  • AWS-generierte Tags: AWS wendet diese Tags automatisch an, und Sie können sie nicht ändern oder entfernen. Um mehr über AWS-generierte Tags zu erfahren, siehe Verwendung von AWS-generierten Tags.

  • Benutzerdefinierte Tags: Sie wenden diese Tags auf Ihre S3-Ressourcen an und verwalten sie.

Benutzerdefinierte Tags

Ein benutzerdefiniertes Tag ist ein Tag-Schlüssel-Wert-Paar, das Sie zur Kennzeichnung Ihrer Ressourcen verwenden. Benutzerdefinierte Tags bestehen aus einem erforderlichen Schlüssel und einem optionalen Wert. Dies sind die wichtigsten Bestandteile eines benutzerdefinierten Tags:

Der Tag-Schlüssel

Der Tag-Schlüssel ist der erforderliche Name des Tags. Zum Beispiel ist project der Tag-Schlüssel im folgenden Tag-Schlüssel-Wert-Paar:

Schlüssel Wert
project Trinity

Der Tag-Schlüssel ist eine Zeichenfolge, in der zwischen Groß- und Kleinschreibung unterschieden wird und die 1 bis 128 Unicode-Zeichen enthalten muss. Schlüssel können nur Unicode-Buchstaben oder -Zahlen, Leerzeichen und die folgenden Symbole enthalten:

  • _ – Unterstrich

  • . – Zeitraum

  • : – Doppelpunkt

  • / – (Schrägstrich)

  • = – Gleichheitszeichen

  • + – Pluszeichen

  • @ – At-Zeichen

  • - – Bindestrich

Der Tag-Wert

Der Tag-Wert ist eine optionale Zeichenfolge. Zum Beispiel ist Trinity der Tag-Wert in diesem Tag-Schlüssel-Wert-Paar:

Schlüssel Wert
project Trinity

Der Tag-Wert ist eine Zeichenfolge, in der zwischen Groß- und Kleinschreibung unterschieden wird und die 0 bis 256 Unicode-Zeichen enthalten kann. Werte können nur Unicode-Buchstaben oder -Zahlen, Leerzeichen und die folgenden Symbole enthalten:

  • _ – Unterstrich

  • . – Zeitraum

  • : – Doppelpunkt

  • / – (Schrägstrich)

  • = – Gleichheitszeichen

  • + – Pluszeichen

  • @ – At-Zeichen

  • - – Bindestrich

Weitere Informationen zu den zulässigen Zeichen in benutzerdefinierten Tags und anderen Einschränkungen finden Sie unter Einschränkungen benutzerdefinierter Tags im AWS Fakturierung und Kostenmanagement-Benutzerhandbuch.

Der Tag-Satz

Jede S3-Ressource hat einen Tag-Satz, der alle Schlüssel-Werte-Paare von Tags enthält, die diesem Bucket zugewiesen sind. Ein Tag-Set kann leer sein oder bis zu 50 benutzerdefinierte Tags enthalten, außer im Fall von Tag-Objekten. Für Objekte werden maximal 10 Tags unterstützt.

Obwohl jeder Schlüssel in einem Tag-Satz eindeutig sein muss, können Sie denselben Wert mehrfach verwenden. Sie können zum Beispiel den gleichen Wert, Trinity, für die folgenden zwei Tag-Schlüssel haben:

Schlüssel Wert
project Trinity
cost-center Trinity

Wenn Sie ein Tag hinzufügen, das denselben Schlüssel hat wie ein vorhandenes Tag, überschreibt der neue Wert den alten.

AWS ordnet Ihren Tags keine semantische Bedeutung zu. Wir interpretieren Markierungen streng als Zeichenfolgen.

Um Tags hinzuzufügen, zu bearbeiten oder zu löschen, können Sie die Amazon-S3-Konsole, die AWS-Befehlszeilenschnittstelle (AWS-CLI) oder die Amazon-S3-API verwenden.

Typische Verwendungsweisen von Tags

Verwenden Sie Tags für Ihre S3-Ressourcen:

  1. Kostenzuweisung – Verfolgen Sie die Speicherkosten anhand des Bucket-Tags. AWS Fakturierung und Kostenmanagement

  2. Attributbasierte Zugriffskontrolle (ABAC) - Skalieren Sie die Zugriffsberechtigungen und gewähren Sie den Zugriff auf S3-Ressourcen auf der Grundlage ihrer Tags.

Anmerkung

Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.

Verwendung von Tags für die Kostenzuweisung

Verfolgen Sie Ihre Amazon S3-Speicherkosten, indem Sie Tags auf S3-Ressourcen anwenden und diese Tags für die Kostenzuweisung aktivieren.

Um mit der Kostenverfolgung zu beginnen:

  1. Fügen Sie Ihren S3-Ressourcen Tags hinzu oder verwenden Sie vorhandene Tags. Sie können Buckets zum Beispiel mit einer Markierung versehen, die ein Projekt oder eine Gruppe von Projekten kennzeichnet.

  2. Aktivieren der Tags für die Kostenzuordnung in der AWS Fakturierung und Kostenmanagement-Konsole. Siehe Aktivieren von benutzerdefinierten Kostenzuordnungs-Tags im AWS Fakturierung und Kostenmanagement Benutzerhandbuch. Sie können benutzerdefinierte oder AWS-generierte Tags aktivieren. Weitere Informationen finden Sie unter Organisieren und Verfolgen von Kosten mit AWS Kostenzuordnungs-Tags.

AWS verwendet die aktivierten Tags, um Ihre Ressourcenkosten in verschiedenen Fakturierungs- und Kostenmanagement-Tools zu organisieren, wie z. B.:

  • Kostenzuordnungsberichte

    Bietet einen Überblick über die Kosten, geordnet nach den von Ihnen aktivierten Tags. Weitere Informationen finden Sie unter Verwendung des monatlichen Kostenverteilungsberichts im AWS Billing User Guide.

  • Kosten- und Verwendungsbericht (CUR)

    Bietet den detailliertesten Satz von AWS Kosten- und Nutzungsdaten, einschließlich tagbasierter Kostenaufschlüsselungen. Weitere Informationen finden Sie unter Was sind AWS Kosten- und Nutzungsberichte? im AWS Benutzerhandbuch für den Datenexport.

Amazon S3-Ressourcen, die die Kostenverfolgung mit Tags unterstützen

Die folgenden Amazon S3-Ressourcen unterstützen die Erfassung von Speicherkosten mithilfe von Tags.

Verwendung von Tags für attributbasierte Zugriffskontrolle (ABAC)

Bei der attributbasierten Zugriffskontrolle (ABAC) handelt es sich um eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen, d.h. Tags, definiert. Sie können Tags an AWS Identity and Access Management (IAM-) Entitäten (Benutzer oder Rollen) und an AWS Ressourcen anhängen, wie Amazon S3 Access Points und Verzeichnis-Buckets. Anschließend steuern Sie die Berechtigungen für diese Ressourcen mithilfe von Tag-basierten Bedingungen in Zugriffsrichtlinien, um Vorgänge zuzulassen oder zu verweigern, wenn diese Bedingungen erfüllt sind.

Mit ABAC verwenden Sie tagbasierte Bedingungsschlüssel in Ihren AWS Organisationen, IAM- und S3-Ressourcenrichtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Ressourcen auf der Grundlage der Bucket-Tags steuern, indem Sie Bedingungsschlüsselverwenden.

Unterstützte Bedingungsschlüssel

Sie können die folgenden AWS Bedingungsschlüssel für alle Amazon S3-Ressourcen verwenden, die ABAC unterstützen.

  • aws:ResourceTag/key-name

  • aws:RequestTag/key-name

  • aws:TagKeys

Einige Ressourcen unterstützen zusätzliche Amazon S3-Bedingungsschlüssel. Eine vollständige Liste der Bedingungsschlüssel, die für ABAC und Beispielrichtlinien verwendet werden können, finden Sie in den folgenden Tagging-Themen für die Ressource.

Amazon S3-Ressourcen, die ABAC unterstützen

Die folgenden Amazon S3-Ressourcen unterstützen attributbasierte Zugriffskontrolle (ABAC) unter Verwendung von Tags.

Planung Ihrer Tagging-Strategie

Wir empfehlen die Verwendung von Tag (Markierung)-Schlüsseln, die die Anforderungen der jeweiligen Ressourcentypen erfüllen. Eine Anzahl einheitlicher Tag (Markierung)-Schlüssel vereinfacht das Verwalten der Ressourcen. Sie können die Ressourcen auf Grundlage der hinzugefügten Tags (Markierungen) filtern und danach suchen. Weitere Informationen zum Implementieren einer effektiven Ressourcen-Markierungs-Strategie finden Sie im AWS-Whitepaper „Bewährte Methoden für die Markierung“.

Bewährte Verfahren für die Kennzeichnung von Amazon S3-Ressourcen

Wir empfehlen Ihnen, bei der Verwendung von Tags folgende bewährte Methode befolgen:

  • Dokumentieren Sie Konventionen für die Verwendung von Tags, die von allen Teams in Ihrem Unternehmen befolgt werden. Achten Sie insbesondere darauf, dass die Namen sowohl beschreibend als auch einheitlich sind. Zum Beispiel sollte das Format environment:prod standardisiert werden, anstatt einige Ressourcen mit env:productionzu kennzeichnen.

    Wichtig

    Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags.

  • Automatisieren Sie die Kennzeichnung, um Konsistenz zu gewährleisten. Zum Beispiel können Sie Tags in eine CloudFormation Vorlage aufnehmen. Wenn Sie Ressourcen mit der Vorlage erstellen, werden die Ressourcen automatisch mit Tags versehen.

  • Verwenden Sie Tags nur bei Bedarf. Vermeiden Sie eine unnötige Vermehrung und Komplexität von Tags.

  • Überprüfen Sie die Tags regelmäßig auf Relevanz und Genauigkeit. Entfernen oder ändern Sie veraltete Tags nach Bedarf.

  • Erwägen Sie die Erstellung von Tags mit dem AWS Tag Editor in der AWS-Managementkonsole. Sie können den Tag-Editor verwenden, um mehreren unterstützten AWS Ressourcen, einschließlich Amazon S3-Ressourcen, gleichzeitig Tags hinzuzufügen. Weitere Informationen finden Sie unter Tag Editor im Benutzerhandbuch von AWS Resource Groups.

Verwalten von Tags für Amazon S3-Ressourcen

Weitere Informationen über die Verwaltung von Tags für Amazon S3-Ressourcen finden Sie im Folgenden: