Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
„Erforderlicher Tag-Schlüssel“ mit IaC erzwingen
Tag-Richtlinien helfen Ihnen dabei, in Ihren Infrastructure-as-Code-Bereitstellungen (IaC) ein einheitliches Tagging aufrechtzuerhalten. Mit „Erforderliche Tag-Schlüssel“ können Sie sicherstellen, dass alle Ressourcen, die mit IaC-Tools wie Terraform und Pulumi erstellt wurden CloudFormation, die von Ihrer Organisation definierten obligatorischen Tags enthalten.
Diese Funktion überprüft Ihre IaC-Bereitstellungen anhand der Tag-Richtlinien Ihrer Organisation, bevor Ressourcen erstellt werden. Wenn in einer Bereitstellung erforderliche Tags fehlen, können Sie Ihre IaC-Einstellungen so konfigurieren, dass entweder Ihre Entwicklungsteams gewarnt werden oder die Bereitstellung vollständig verhindert wird. Dieser proaktive Ansatz gewährleistet die Einhaltung der Tagging-Vorschriften ab dem Moment, in dem Ressourcen erstellt werden, und erfordert keine spätere manuelle Korrektur. Die Durchsetzung funktioniert über mehrere IaC-Tools hinweg und verwendet eine einzige Tag-Policy-Definition, sodass Sie nicht für jedes Tool, das Ihr Unternehmen verwendet, separate Tagging-Regeln konfigurieren müssen.
Durchsetzen mit CloudFormation
Anmerkung
Um die erforderlichen Tag-Schlüssel mit durchzusetzen CloudFormation, müssen Sie in den Tag-Richtlinien die erforderlichen Tags für Ihren Ressourcentyp angeben. Weitere Details finden Sie im Abschnitt Berichterstattung für „Erforderlicher Tag-Schlüssel“.
Richten Sie die Ausführungsrolle für den AWS::TagPolicies: TaggingComplianceValidator Hook ein
Bevor Sie den AWS::TagPolicies::TaggingComplianceValidator Hook aktivieren, müssen Sie eine Ausführungsrolle erstellen, die der Hook für den Zugriff auf AWS Dienste verwendet. Der Rolle muss die folgende Vertrauensrichtlinie zugeordnet sein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "resources.cloudformation.amazonaws.com", "hooks.cloudformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }
Der Ausführungsrolle muss außerdem eine Rollenrichtlinie mit mindestens den folgenden Berechtigungen zugewiesen werden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:ListRequiredTags" ], "Resource": "*" } ] }
Weitere Informationen zum Einrichten von Ausführungsrollen für öffentliche Erweiterungen finden Sie im CloudFormation Benutzerhandbuch unter Konfigurieren einer Ausführungsrolle mit IAM-Berechtigungen und einer Vertrauensrichtlinie für den Zugriff auf öffentliche Erweiterungen.
Aktivieren Sie den AWS::TagPolicies: Hook TaggingComplianceValidator
Wichtig
Bevor Sie fortfahren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um mit Hooks zu arbeiten und proaktive Steuerelemente von der CloudFormation Konsole aus anzuzeigen. Weitere Informationen finden Sie unter Erteilen von IAM-Berechtigungen für CloudFormation Hooks.
Nach der Aktualisierung Ihrer Tag-Richtlinie müssen Sie den AWS::TagPolicies::TaggingComplianceValidator Hook in allen AWS Konten und Regionen aktivieren, in denen Sie die Einhaltung der erforderlichen Tagging-Anforderungen durchsetzen möchten.
Dieser AWS verwaltete Hook kann in zwei Modi konfiguriert werden:
-
Warnmodus: Ermöglicht das Fortfahren von Bereitstellungen, generiert jedoch Warnungen, wenn erforderliche Tags fehlen
-
Fehlermodus: Blockiert Bereitstellungen, denen die erforderlichen Tags fehlen
Um den Hook mit der AWS CLI zu aktivieren:
aws cloudformation activate-type \ --type HOOK \ --type-name AWS::TagPolicies::TaggingComplianceValidator \ --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \ --publisher-id aws-hooks \ --region us-east-1
aws cloudformation set-type-configuration \ --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \ --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \ --region us-east-1
regionErsetzen Sie es durch Ihre AWS Zielregion und wechseln Sie in "FailureMode":"FAIL" den Warnmodus, "FailureMode":"WARN" wenn Sie den Warnmodus bevorzugen.
Aktiviere den AWS:TagPolicies:: TaggingComplianceValidator Hook für mehrere Konten und Regionen mit CloudFormation StackSets
Für Organisationen mit mehreren AWS Konten können Sie AWS CloudFormation StackSets damit den Tagging-Compliance-Hook für all Ihre Konten und Regionen gleichzeitig aktivieren.
CloudFormation StackSets ermöglicht es Ihnen, dieselbe CloudFormation Vorlage mit einem einzigen Vorgang für mehrere Konten und Regionen bereitzustellen. Dieser Ansatz gewährleistet eine konsistente Durchsetzung der Kennzeichnung in Ihrem gesamten AWS Unternehmen, ohne dass für jedes Konto eine manuelle Konfiguration erforderlich ist.
Zu diesem CloudFormation StackSets Zweck verwenden Sie:
-
Erstellen Sie eine CloudFormation Vorlage, die den Tagging-Compliance-Hook aktiviert
-
Stellen Sie die Vorlage bereit, CloudFormation StackSets um Ihre Organisationseinheiten oder bestimmte Konten gezielt anzusprechen
-
Geben Sie alle Regionen an, in denen die Durchsetzung aktiviert werden soll
Bei der CloudFormation StackSets Implementierung wird der Aktivierungsprozess automatisch für alle angegebenen Konten und Regionen abgewickelt, sodass eine einheitliche Einhaltung der Tagging-Vorschriften in Ihrem gesamten Unternehmen gewährleistet ist. In diesem AWS Blog erfahren Sie, wie Sie CloudFormation Hooks in einer Organisation mit Service-Managed CloudFormation StackSets bereitstellen können.
Stellen Sie die folgende CloudFormation Vorlage bereit CloudFormation StackSets , um den AWS::TagPolicies: TaggingComplianceValidator Hook für Konten in Ihrer Organisation zu aktivieren.
Wichtig
Dieser Hook funktioniert nur als StackHook. Er hat keine Wirkung, wenn er als Ressourcen-Hook verwendet wird.
Resources: # Activate the AWS-managed hook type HookTypeActivation: Type: AWS::CloudFormation::TypeActivation Properties: AutoUpdate: True PublisherId: "AWS" TypeName: "AWS::TagPolicies::TaggingComplianceValidator" # Configure the hook HookTypeConfiguration: Type: AWS::CloudFormation::HookTypeConfig DependsOn: HookTypeActivation Properties: TypeName: "AWS::TagPolicies::TaggingComplianceValidator" TypeArn: !GetAtt HookTypeActivation.Arn Configuration: !Sub | { "CloudFormationConfiguration": { "HookConfiguration": { "TargetStacks": "ALL", "TargetOperations": ["STACK"], "Properties": {}, "FailureMode": "Warn", "TargetFilters": { "Actions": [ "CREATE", "UPDATE" ]} } } }
Anmerkung
Weitere Informationen zum Ausführen von CloudFormation Hooks finden Sie unter Aktivieren eines proaktiven, steuerungsbasierten Hooks in Ihrem Konto.
Mit Terraform durchsetzen
Um die erforderlichen Tag-Schlüssel mit Terraform durchzusetzen, müssen Sie Ihren AWS Terraform-Anbieter auf 6.22.0 oder höher aktualisieren und die Validierung der Tag-Richtlinien in Ihrer Anbieterkonfiguration aktivieren. Implementierungsdetails und Konfigurationsbeispiele finden Sie in der AWS Terraform
Mit Pulumi durchsetzen
Um die erforderlichen Tag-Schlüssel mit Pulumi durchzusetzen, müssen Sie das Tag Policy Reporting Policy Pack in Pulumi Cloud aktivieren und Ihre IAM-Rolle mit den Leseberechtigungen für Tag-Richtlinien konfigurieren. Implementierungsdetails und Konfigurationsbeispiele finden Sie in der Pulumi-Dokumentation
