Resource Tagger-Anwendungsfälle in AMS Accelerate - AMS Accelerate-Benutzerhandbuch
Anzeige der von Resource Tagger angewendeten TagsVerwenden Sie Resource Tagger, um Tags zu erstellenVerhindern, dass Resource Tagger Ressourcen verändertBeispiel für ein KonfigurationsprofilZusammenführen der StandardkonfigurationDeaktivierung der StandardkonfigurationEntfernen von Tags, die von Resource Tagger angewendet wurdenDie Resource Tagger-Konfiguration anzeigen oder Änderungen daran vornehmenKonfigurationsänderungen werden bereitgestelltTerraform so konfigurieren, dass Resource Tagger-Tags ignoriert werdenDie Anzahl der von Resource Tagger verwalteten Ressourcen anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Resource Tagger-Anwendungsfälle in AMS Accelerate

In diesem Abschnitt werden häufig mit Resource Tagger ausgeführte Aktionen aufgeführt.

Anzeige der von Resource Tagger angewendeten Tags

Alle von Resource Tagger angewendeten Tags haben das key prefix ams:rt:. Die folgende Tag-Definition führt beispielsweise zu einem Tag mit dem Schlüssel ams:rt:SampleKey und dem Wert SampleValue. Alle Tags mit diesem Präfix werden als Teil von Resource Tagger behandelt.

{
	"Key": "sampleKey",
	"Value": "sampleValue"
}
Wichtig

Wenn Sie manuell ein eigenes Tag mit dem Präfix ams:rt: erstellen, gilt es als von Resource Tagger verwaltet. Das heißt, wenn die Ressource von Resource Tagger verwaltet wird, die Konfigurationsprofile aber nicht angeben, dass das Tag angewendet werden sollte, dann entfernt Resource Tagger Ihr manuell hinzugefügtes Tag. Wenn Sie Ressourcen, die von Resource Tagger verwaltet werden, manuell taggen, verwenden Sie nicht das ams:rt: -Präfix für Tag-Schlüssel.

Verwenden Sie Resource Tagger, um Tags zu erstellen

Der AMS Accelerate Resource Tagger ist eine Komponente, die während des AMS Accelerate-Onboardings in Ihrem Konto bereitgestellt wird. Resource Tagger verfügt über ein konfigurierbares Regelwerk, das definiert, wie Ihre Ressourcen gekennzeichnet werden sollen. Anschließend setzt es diese Regeln durch und fügt automatisch Tags zu Ressourcen hinzu und entfernt sie, um sicherzustellen, dass sie Ihren Regeln entsprechen.

Wenn Sie den Resource Tagger verwenden möchten, um Ihre Ressourcen zu taggen, finden Sie weitere Informationen unter. Beschleunigen Sie Resource Tagger

Im Folgenden finden Sie ein Beispiel für einen Resource Tagger-Konfigurationsausschnitt, der allen Amazon-Instances das Tag ams:rt:ams-managed mit dem Wert true hinzufügt. EC2 Mit dem ams:rt:ams-managed Tag stimmen Sie der Überwachung Ihrer Ressourcen durch AMS Accelerate zu.

{
    "AWS::EC2::Instance": {
        "SampleConfigurationBlock": {
            "Enabled": true,
            "Filter": {
                "Platform": "*"
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Warnung

Seien Sie vorsichtig, wenn Sie den Namen für Ihre neue Konfiguration angeben (SampleConfigurationBlockim bereitgestellten Beispiel), da Sie versehentlich die AMS-verwaltete Konfiguration mit demselben Namen überschreiben könnten.

Verhindern, dass Resource Tagger Ressourcen verändert

Resource Tagger kann in einen schreibgeschützten Modus versetzt werden, der verhindert, dass Tags zu Ihren Ressourcen hinzugefügt oder entfernt werden. Dies ist nützlich, wenn Sie Ihren eigenen Tagging-Mechanismus bereitstellen möchten.

Im schreibgeschützten Modus untersucht Resource Tagger weiterhin die Tagging-Regeln, die in den Konfigurationsprofilen für Verwaltung und Kunden angegeben sind, und sucht nach Ressourcen, die diese Tagging-Regeln nicht erfüllen. Alle Ressourcen, die den Anforderungen nicht entsprechen, werden angezeigt. AWS Config Die AWS-Config-Regeln , nach denen Sie suchen können, haben das AMSResourceTagger- Präfix. Die AMSResourceTagger-EC2Instance AWS Config Regel bewertet beispielsweise, ob auf der Grundlage des Konfigurationsprofils geeignete Tags für AWS::EC2::Instance Ressourcen erstellt wurden.

Resource Tagger stoppt an diesem Punkt und nimmt keine Änderungen an Ihren Ressourcen vor (fügt keine Tags hinzu oder entfernt sie).

Sie können den Nur-Lese-Modus aktivieren, indem Sie das Kundenkonfigurationsprofil so ändern, dass der ReadOnlySchlüssel in den Optionsblock aufgenommen wird. Der folgende Ausschnitt aus dem Konfigurationsprofil zeigt beispielsweise, wie das aussehen könnte:

{
    "Options": {
        "ReadOnly": true
    },
    "AWS::EC2::Instance": {
        [... the rest of your configuration ...]
    }
}

Resource Tagger würde auf diese neue Konfiguration reagieren, sobald die Bereitstellung abgeschlossen ist, und das Hinzufügen und Entfernen von Tags zu Ressourcen beenden.

Anmerkung

Um die Tag-Änderung wieder zu aktivieren, ändern Sie den ReadOnlyWert auf False oder entfernen Sie den Schlüssel ganz, da der Standardwert False ist.

Weitere Informationen zur Einstellung „Optionen“ finden Sie im nächsten Syntax und Struktur Abschnitt.

Beispiel für ein Konfigurationsprofil

Das folgende Beispiel-Profildokument gibt an, dass alle EC2 Windows-Instanzen, die Teil eines CloudFormation Stack-*-Stacks sind, von AMS Accelerate verwaltet werden. Eine bestimmte EC2 Instanz mit der ID i-00000000000000001 wird jedoch explizit ausgeschlossen.

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {  
                "Fn::AND": [
                    {
                        "Platform": "Windows"
                    },
                    {
                        "Tag": {
                            "Key": "aws:cloudformation:stack-name",
                            "Value": "stack-*"
                        }
                    },
                    {
                        "Fn::NOT": {
                            "InstanceId": "i-00000000000000001"
                        }
                    }
                ]
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Warnung

Seien Sie vorsichtig, wenn Sie den Namen für Ihre neue Konfiguration angeben (SampleConfigurationBlockim bereitgestellten Beispiel), da Sie versehentlich die von AMS verwaltete Konfiguration mit demselben Namen überschreiben könnten.

Zusammenführen der Standardkonfiguration

Das Standardkonfigurationsprofil wird von AMS Accelerate zum Zeitpunkt der Kontoeröffnung bereitgestellt. Dieses Profil enthält Standardregeln, die in Ihrem Konto bereitgestellt werden.

Sie können das Standardkonfigurationsprofil zwar nicht ändern, aber Sie können die Standardeinstellungen überschreiben, indem Sie in Ihrem Anpassungskonfigurationsprofil einen Konfigurationsblock mit derselben ConfigurationID wie der Standardkonfigurationsblock angeben. Wenn Sie dies tun, überschreibt Ihr Konfigurationsblock den Standardkonfigurationsblock.

Betrachten Sie zum Beispiel das folgende Standardkonfigurationsdokument:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Um den hier angewendeten Tagwert von SampleValueA bis zu zu SampleValueB ändern und das Tag auf alle Instanzen, nicht nur auf Windows-Instanzen, anzuwenden, würden Sie das folgende Anpassungskonfigurationsprofil angeben:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "*"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueB"
			}]
		}
	}
}
Wichtig

Denken Sie daran, Ihre Konfigurationsänderungen zu implementieren, nachdem Sie sie vorgenommen haben. Weitere Informationen finden Sie unter Konfigurationsänderungen werden bereitgestellt. In SSM AppConfig müssen Sie nach der Erstellung eine neue Version der Konfiguration bereitstellen.

Deaktivierung der Standardkonfiguration

Sie können eine Standardkonfigurationsregel deaktivieren, indem Sie Ihrem Anpassungskonfigurationsprofil einen Konfigurationsblock mit derselben ConfigurationID hinzufügen und dem Feld Enabled den Wert false zuweisen.

Zum Beispiel, wenn die folgende Konfiguration im Standardkonfigurationsprofil vorhanden wäre:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Sie könnten diese Tagging-Regel deaktivieren, indem Sie Folgendes in Ihr Anpassungskonfigurationsprofil aufnehmen:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": false
		}
	}
}
Wichtig

Denken Sie daran, Ihre Konfigurationsänderungen zu implementieren, nachdem Sie sie vorgenommen haben. Weitere Informationen finden Sie unterKonfigurationsänderungen werden bereitgestellt. In SSM AppConfig müssen Sie nach der Erstellung eine neue Version der Konfiguration bereitstellen.

Entfernen von Tags, die von Resource Tagger angewendet wurden

Alle Tags mit dem Präfix ams:rt werden von Resource Tagger entfernt, wenn die Tags nicht in den Konfigurationsprofilen vorhanden sind oder, falls sie existieren, wenn der Filter nicht übereinstimmt. Das bedeutet, dass Sie von Resource Tagger angewendete Tags entfernen können, indem Sie einen der folgenden Schritte ausführen:

  • Ändern Sie den Abschnitt mit der Anpassungskonfiguration, der das Tag definiert.

  • Es wurde eine Ausnahme für die spezifischen Ressourcen hinzugefügt, sodass sie nicht mehr dem Filter entsprechen.

Zum Beispiel: Wenn eine Linux-Instanz die folgenden Tags hat:

"Tags": [{
    "Key": "ams:rt:MyOwnTag",
    "Value": true
},{
    "Key": "myTag",
    "Value": true
}]

Und Sie stellen das folgende Resource Tagger-Konfigurationsprofil bereit:

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {
                "Platform": "Windows"
            },
            "Tags": [{
                "Key": "ams:rt:ams-managed",
                "Value": "true"
            }]
        }
    }
}

Resource Tagger reagiert auf die neuen Konfigurationsänderungen, und das einzige Tag auf der Instanz lautet:

 "Tags": [{
     "Key": "myTag",
     "Value": true
 }]
Warnung

Seien Sie vorsichtig, wenn Sie den Namen für Ihre neue Konfiguration angeben (SampleConfigurationBlockim bereitgestellten Beispiel), da Sie versehentlich die von AMS verwaltete Konfiguration mit demselben Namen überschreiben könnten.

Wichtig

Denken Sie daran, Ihre Konfigurationsänderungen zu implementieren, nachdem Sie sie vorgenommen haben. Weitere Informationen finden Sie unter. Konfigurationsänderungen werden bereitgestellt In SSM AppConfig müssen Sie nach der Erstellung eine neue Version der Konfiguration bereitstellen.

Die Resource Tagger-Konfiguration anzeigen oder Änderungen daran vornehmen

Die beiden JSON-Konfigurationsprofile, AMSManagedTags und CustomerManagedTags, die AppConfig beim Onboarding für Ihr Konto in AWS bereitgestellt werden und sich in der AMSResource Tagger-Anwendung und in der AMSInfrastructureUmgebung befinden, können über AppConfig die API überprüft werden. GetConfiguration

Im Folgenden finden Sie ein Beispiel für diesen Aufruf: GetConfiguration 

aws appconfig get-configuration 
 --application AMSResourceTagger 
 --environment AMSInfrastructure 
 --configuration AMSManagedTags 
 --client-id ANY_STRING
 outfile.json

Anwendung: AppConfig logische Einheit zur Bereitstellung von Funktionen, für den Resource Tagger ist dies AMSResource Tagger.

  • Umgebung:. AMSInfrastructure

  • Konfiguration: Um die Standard-Tag-Definitionen von AMS Accelerate anzuzeigen, lautet der Wert AMSManaged Tags. Für die Anzeige von Kunden-Tag-Definitionen lautet der Wert CustomerManagedTags.

  • Client-ID: Die eindeutige Kennung der Anwendungsinstanz, dies kann eine beliebige Zeichenfolge sein.

  • Die Tag-Definitionen können dann in der angegebenen Ausgabedatei angezeigt werden, in diesem Fall outfile.json.

Die Alarmdefinitionen können dann in der angegebenen Ausgabedatei angezeigt werden, in diesem Fall outfile.json.

Sie können anhand der vergangenen Bereitstellungen in der Umgebung sehen, welche Version der Konfiguration für Ihr Konto bereitgestellt wurde. AMSInfrastructure

So überschreiben Sie Tag-Regeln:

Jede der vorhandenen Tag-Regeln kann außer Kraft gesetzt werden, indem das Anpassungsprofil entweder mit AWS CloudFormation by Bereitstellen eines Konfigurationsprofils mit AWS CloudFormation for Accelerate oder oder oder direkt über die API AppConfig von CreateHostedConfigurationVersionusing aktualisiert wird. Die Verwendung derselben ConfigurationID als Standardregel für Konfigurations-Tags überschreibt die Standardregel und wendet stattdessen die benutzerdefinierte Regel an.

So stellen Sie die am Dokument vorgenommenen Änderungen bereit: CustomerManagedTags

Nachdem Sie Änderungen am Anpassungskonfigurationsprofil vorgenommen haben, müssen Sie die Änderungen für sie bereitstellen. Um die neuen Änderungen bereitzustellen, AppConfig muss die StartDeploymentAPI über die AWS AppConfig Konsole oder die CLI ausgeführt werden.

Konfigurationsänderungen werden bereitgestellt

Sobald die Anpassung abgeschlossen ist, müssen diese Änderungen über die AWS AppConfig StartDeploymentAPI bereitgestellt werden. Die folgenden Anweisungen zeigen, wie die Bereitstellung mit dem erfolgt AWS CLI. Darüber hinaus können Sie die verwenden AWS Management Console , um diese Änderungen vorzunehmen. Weitere Informationen finden Sie unter Schritt 5: Bereitstellen einer Konfiguration.

aws appconfig start-deployment
--application-id <application_id>
--environment-id <environment_id>
--deployment-strategy-id <deployment_strategy_id>
--configuration-profile-id <configuration_profile_id>
--configuration-version 1

  • Anwendungs-ID: Die Anwendungs-ID des AMSResource Anwendungs-Taggers. Holen Sie sich das mit dem ListApplicationsAPI-Aufruf.

  • Umgebungs-ID: Die Umgebungs-ID; diese erhalten Sie mit dem ListEnvironmentsAPI-Aufruf.

  • Bereitstellungsstrategie-ID: Die ID der Bereitstellungsstrategie; diese erhalten Sie mit dem ListDeploymentStrategiesAPI-Aufruf.

  • Konfigurationsprofil-ID: Die Konfigurationsprofil-ID von CustomerManagedTags; diese erhalten Sie mit dem ListConfigurationProfilesAPI-Aufruf.

  • Konfigurationsversion: Die Version des Konfigurationsprofils, das Sie bereitstellen möchten.

Wichtig

Resource Tagger wendet die in den Konfigurationsprofilen angegebenen Tags an. Alle manuellen Änderungen, die Sie (mit dem AWS Management Console, oder CloudWatch CLI/SDK) an den Resource Tags vornehmen, werden automatisch rückgängig gemacht. Stellen Sie also sicher, dass Ihre Änderungen über Resource Tagger definiert sind. Um zu wissen, welche Tags vom Resource Tagger erstellt wurden, suchen Sie nach Tag-Schlüsseln mit dem Präfix. ams:rt:

Beschränken Sie den Zugriff auf die Bereitstellung mit den StartDeploymentund den StopDeploymentAPI-Aktionen auf vertrauenswürdige Benutzer, die sich mit den Verantwortlichkeiten und Konsequenzen der Implementierung einer neuen Konfiguration für Ihre Ziele auskennen.

Weitere Informationen zur Verwendung von AWS AppConfig Funktionen zum Erstellen und Bereitstellen einer Konfiguration finden Sie in der Dokumentation unter Working with AWS AppConfig.

Terraform so konfigurieren, dass Resource Tagger-Tags ignoriert werden

Wenn Sie Terraform für die Bereitstellung Ihrer Ressourcen verwenden und Resource Tagger verwenden möchten, um Ihre Ressourcen zu taggen, können die Resource Tagger-Tags von Terraform als Drift identifiziert werden.

Sie können Terraform so konfigurieren, dass alle Resource Tagger-Tags ignoriert werden, indem Sie den Lebenszyklus-Konfigurationsblock oder den globalen Konfigurationsblock ignore_tags verwenden. Weitere Informationen finden Sie in der Terraform-Dokumentation zum Resource Tagging unter Resource Tagging.

Das folgende Beispiel zeigt, wie Sie eine globale Konfiguration erstellen, um alle Tags zu ignorieren, die mit dem Resource Tagger-Tag-Präfix beginnen: ams:rt:

provider "aws" {
  # ... potentially other configuration ...

  ignore_tags {
    key_prefixes = ["ams:rt:"]
  }
}

Die Anzahl der von Resource Tagger verwalteten Ressourcen anzeigen

Resource Tagger sendet jede Stunde Metriken im AMS/ResourceTagger Namespace an Amazon CloudWatch. Metriken werden nur für Ressourcentypen ausgegeben, die von Resource Tagger unterstützt werden.

Metrikname Dimensionen Beschreibung
ResourceCount Komponente, ResourceType

Anzahl der Ressourcen (des angegebenen Ressourcentyps), die in dieser Region bereitgestellt wurden.

Einheiten: Anzahl

ResourcesMissingManagedTags Komponente, ResourceType

Anzahl der Ressourcen (des angegebenen Ressourcentyps), für die gemäß den Konfigurationsprofilen verwaltete Tags erforderlich sind, die jedoch noch nicht von Resource Tagger markiert wurden.

Einheiten: Anzahl

UnmanagedResources Komponente, ResourceType

Anzahl der Ressourcen (des angegebenen Ressourcentyps) ohne verwaltete Tags, die vom Resource Tagger angewendet wurden. In der Regel entsprachen diese Ressourcen keinem Resource Tagger-Konfigurationsblock oder sind ausdrücklich aus Konfigurationsblöcken ausgeschlossen.

Einheiten: Anzahl

MatchingResourceCount Komponente, ResourceType ConfigClauseName

Anzahl der Ressourcen (des angegebenen Ressourcentyps), die dem Resource Tagger-Konfigurationsblock entsprechen. Damit eine Ressource dem Konfigurationsblock entspricht, muss der Block aktiviert sein und die Ressource muss dem Filter des Blocks entsprechen.

Einheiten: Anzahl

Diese Metriken können auch als Grafiken im AMS-Resource-Tagger-Reporting-Dashboard angezeigt werden. Um das Dashboard aufzurufen, wählen Sie in der Amazon CloudWatch Management Console AMS-Resource-Tagger-Reporting-Dashboard aus. In den Diagrammen in diesem Dashboard werden standardmäßig die Daten für den Zeitraum der letzten 12 Stunden angezeigt.

AMS Accelerate sendet CloudWatch Alarme an Ihr Konto, um einen deutlichen Anstieg der Anzahl nicht verwalteter Ressourcen zu erkennen, z. B. Ressourcen, die durch AMS Resource Tagger von der Verwaltung ausgeschlossen wurden. AMS Operations untersucht die Zunahme nicht verwalteter Ressourcen, die Folgendes übersteigen: entweder drei Ressourcen desselben Typs oder einen Anstieg von 50% gegenüber allen Ressourcen desselben Typs. Wenn die Änderung nicht beabsichtigt zu sein scheint, wird AMS Operations Sie möglicherweise kontaktieren, um die Änderung zu überprüfen.