Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Organizations Tag-Richtlinien
Eine [https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) ist eine Art von Richtlinie, die Sie in erstellen AWS Organizations. Mithilfe von Tag-Richtlinien können Sie Tags für alle Ressourcen in den Konten Ihrer Organisation standardisieren. Um Tag-Richtlinien zu verwenden, empfehlen wir Ihnen, die unter [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) im *AWS Organizations Benutzerhandbuch* beschriebenen Workflows zu befolgen. Wie auf dieser Seite erwähnt, umfassen die empfohlenen Workflows das Auffinden und Korrigieren nicht konformer Tags. Um diese Aufgaben auszuführen, verwenden Sie die Tag Editor-Konsole.
## Voraussetzungen und Berechtigungen
Bevor Sie die Einhaltung der Tag-Richtlinien im Tag Editor bewerten können, müssen Sie die Anforderungen erfüllen und die erforderlichen Berechtigungen einrichten.
**Topics**
+ [Voraussetzungen für die Bewertung der Einhaltung der Tag-Richtlinien](#tag-policies-prereqs-overview)
+ [Berechtigungen zur Bewertung der Einhaltung der Vorschriften für ein Konto](#tag-policies-permissions-account)
+ [Berechtigungen für die Bewertung der unternehmensweiten Einhaltung](#tag-policies-permissions-org)
+ [Amazon S3 S3-Bucket-Richtlinie für die Berichtsspeicherung](#bucket-policy)
### Voraussetzungen für die Bewertung der Einhaltung der Tag-Richtlinien
Für die Bewertung der Einhaltung der Tag-Richtlinien ist Folgendes erforderlich:
+ Sie müssen die Funktion zunächst in AWS Organizations Tag-Richtlinien aktivieren und Tag-Richtlinien erstellen und anhängen. Weitere Informationen finden Sie auf den folgenden Seiten des *AWS Organizations Benutzerhandbuchs*:
+ [Voraussetzungen und Berechtigungen für die Verwaltung von Tag-Richtlinien](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [Aktivieren von Tag-Richtlinien](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ Um [**unzulässige Tags auf den Ressourcen eines Kontos zu finden**](tag-policies-orgs-finding-noncompliant-tags.md), benötigen Sie die Anmeldedaten für dieses Konto und die unter aufgeführten Berechtigungen. [Berechtigungen zur Bewertung der Einhaltung der Vorschriften für ein Konto](#tag-policies-permissions-account)
+ Um die [**unternehmensweite Einhaltung der Vorschriften beurteilen**](tag-policies-orgs-evaluating-org-wide-compliance.md) zu können, benötigen Sie die Anmeldedaten für das Verwaltungskonto der Organisation und die unter aufgeführten Berechtigungen. [Berechtigungen für die Bewertung der unternehmensweiten Einhaltung](#tag-policies-permissions-org) Sie können den Konformitätsbericht nur im Osten der AWS-Region USA (Nord-Virginia) anfordern.
### Berechtigungen zur Bewertung der Einhaltung der Vorschriften für ein Konto
Für die Suche nach nicht konformen Tags auf den Ressourcen eines Kontos sind die folgenden Berechtigungen erforderlich:
+ `organizations:DescribeEffectivePolicy`— Um den Inhalt der aktuellen Tag-Richtlinie für das Konto abzurufen.
+ `tag:GetResources`— Um eine Liste von Ressourcen zu erhalten, die nicht der beigefügten Tag-Richtlinie entsprechen.
+ `tag:TagResources`— Um Tags hinzuzufügen oder zu aktualisieren. Sie benötigen außerdem dienstspezifische Berechtigungen, um Tags zu erstellen. Um beispielsweise Ressourcen in Amazon Elastic Compute Cloud (Amazon EC2) zu taggen, benötigen Sie Berechtigungen für`ec2:CreateTags`.
+ `tag:UnTagResources`— Um ein Tag zu entfernen. Sie benötigen außerdem dienstspezifische Berechtigungen, um Tags zu entfernen. Um beispielsweise Ressourcen in Amazon EC2 zu entkennzeichnen, benötigen Sie Berechtigungen für. `ec2:DeleteTags`
Die folgende Beispielrichtlinie AWS Identity and Access Management (IAM) bietet Berechtigungen zur Bewertung der Tag-Konformität für ein Konto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu IAM-Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Berechtigungen für die Bewertung der unternehmensweiten Einhaltung
Für die Bewertung der unternehmensweiten Einhaltung der Tag-Richtlinien sind die folgenden Berechtigungen erforderlich:
+ `organizations:DescribeEffectivePolicy`— Um den Inhalt der Tag-Richtlinie abzurufen, die der Organisation, Organisationseinheit (OU) oder dem Konto zugeordnet ist.
+ `tag:GetComplianceSummary`— Um eine Zusammenfassung der nicht konformen Ressourcen in allen Konten der Organisation abzurufen.
+ `tag:StartReportCreation`— Um die Ergebnisse der letzten Konformitätsprüfung in eine Datei zu exportieren. Organization-wide Die Einhaltung der Vorschriften wird alle 48 Stunden bewertet.
+ `tag:DescribeReportCreation`— Um den Status der Berichtserstellung zu überprüfen.
+ `s3:ListAllMyBuckets`— Zur Unterstützung beim Zugriff auf den unternehmensweiten Compliance-Bericht.
+ `s3:GetBucketAcl`— Um die Access Control List (ACL) des Amazon S3 S3-Buckets zu überprüfen, der den Konformitätsbericht erhält.
+ `s3:GetObject`— Um den Compliance-Bericht aus dem service-eigenen Amazon S3 S3-Bucket abzurufen.
+ `s3:PutObject`— Um den Konformitätsbericht im angegebenen Amazon S3 S3-Bucket zu platzieren.
Wenn der Amazon S3 S3-Bucket SSE-KMS, über den der Bericht zugestellt wird, verschlüsselt ist, benötigen Sie auch die `kms:GenerateDataKey` Erlaubnis für diesen Bucket.
Das folgende Beispiel für eine IAM-Richtlinie bietet Berechtigungen für die Bewertung der unternehmensweiten Einhaltung. Ersetzen Sie jede durch Ihre {{placeholder}} eigenen Informationen:
+ {{`bucket_name`}}— Ihr Amazon S3 S3-Bucket-Name
+ {{`organization_id`}}— Die ID Ihrer Organisation
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
},
{
"Sid": "PutObjectCreateMultipartUpload",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"Null": {
"s3:x-amz-copy-source": "true"
}
}
}
]
}
```
------
Weitere Informationen zu IAM-Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Amazon S3 S3-Bucket-Richtlinie für die Berichtsspeicherung
Um einen unternehmensweiten Compliance-Bericht zu erstellen, muss die Identität, mit der Sie die `StartReportCreation` API aufrufen, Zugriff auf einen Amazon Simple Storage Service (Amazon S3) -Bucket in der Region USA Ost (Nord-Virginia) haben, um den Bericht zu speichern. Tag Policies verwendet die Anmeldeinformationen der aufrufenden Identität, um den Compliance-Bericht an den angegebenen Bucket zu senden.
Wenn der Bucket und die Identität, die zum Aufrufen der `StartReportCreation` API verwendet werden, *zu demselben Konto gehören*, sind für diesen Anwendungsfall keine zusätzlichen Amazon S3 S3-Bucket-Richtlinien erforderlich.
Wenn sich das Konto, das mit der für den `StartReportCreation` API-Aufruf verwendeten Identität verknüpft ist, von dem Konto *unterscheidet*, das den Amazon S3 S3-Bucket besitzt, muss die folgende Bucket-Richtlinie an den Bucket angehängt werden. Ersetzen Sie jede {{placeholder}} durch Ihre eigenen Informationen:
+ {{`bucket_name`}}— Ihr Amazon S3 S3-Bucket-Name
+ {{`organization_id`}}— Die ID Ihrer Organisation
+ {{`identity_ARN`}}— Der ARN der IAM-Identität, die zum Aufrufen der `StartReportCreation` API verwendet wurde
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
}
]
}
```
------