Casos de uso de Resource Tagger en AMS Accelerate - Guía del usuario de AMS Accelerate
Visualización de las etiquetas aplicadas por Resource TaggerUso de Resource Tagger para crear etiquetasImpedir que Resource Tagger modifique los recursosEjemplo de perfil de configuraciónFusión de la configuración predeterminadaDeshabilitar la configuración predeterminadaEliminar las etiquetas aplicadas por Resource TaggerVer o realizar cambios en la configuración del etiquetador de recursosImplementación de cambios de configuraciónConfigurar Terraform para ignorar las etiquetas de Resource TaggerVisualización del número de recursos gestionados por Resource Tagger

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Casos de uso de Resource Tagger en AMS Accelerate

En esta sección se enumeran las acciones que se realizan con más frecuencia con Resource Tagger.

Visualización de las etiquetas aplicadas por Resource Tagger

Todas las etiquetas aplicadas por Resource Tagger tienen el key prefijo ams:rt:. Por ejemplo, la siguiente definición de etiqueta da como resultado una etiqueta con la clave ams:rt:SampleKey y el valor sampleValue. Todas las etiquetas con este prefijo se consideran parte de Resource Tagger.

{
	"Key": "sampleKey",
	"Value": "sampleValue"
}
importante

Si creas tu propia etiqueta manualmente con el prefijo ams:rt:, Resource Tagger la considerará gestionada. Esto significa que si el recurso lo administra Resource Tagger, pero los perfiles de configuración no indican que se deba aplicar la etiqueta, Resource Tagger eliminará la etiqueta agregada manualmente. Si etiqueta manualmente los recursos gestionados por Resource Tagger, no utilice el prefijo ams:rt: para etiquetar las claves.

Uso de Resource Tagger para crear etiquetas

El etiquetador de recursos AMS Accelerate es un componente que se implementa en su cuenta durante la incorporación de AMS Accelerate. Resource Tagger tiene un conjunto de reglas configurables que definen cómo deben etiquetarse los recursos y, a continuación, hace cumplir esas reglas y agrega y elimina automáticamente etiquetas en los recursos para garantizar que cumplan con sus reglas.

Si desea utilizar el etiquetador de recursos para etiquetar sus recursos, consulte. Acelere el etiquetador de recursos

A continuación, se muestra un ejemplo de un fragmento de configuración de Resource Tagger que añade la etiqueta ams:rt:ams-managed con el valor true a todas las instancias de Amazon. EC2 La etiqueta ams:rt:ams-managed permite que AMS Accelerate supervise sus recursos.

{
    "AWS::EC2::Instance": {
        "SampleConfigurationBlock": {
            "Enabled": true,
            "Filter": {
                "Platform": "*"
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
aviso

Tenga cuidado al especificar el nombre de la nueva configuración (SampleConfigurationBlocken el ejemplo proporcionado), ya que podría anular inadvertidamente la configuración gestionada por AMS con el mismo nombre.

Impedir que Resource Tagger modifique los recursos

El etiquetador de recursos se puede configurar en un modo de solo lectura, lo que impide añadir o eliminar etiquetas en los recursos. Esto resulta útil si desea proporcionar su propio mecanismo de etiquetado.

En el modo de solo lectura, Resource Tagger sigue examinando las reglas de etiquetado que se especifican en los perfiles de configuración gestionados y del cliente, y busca los recursos que no cumplen estas reglas de etiquetado. Aparece cualquier recurso que no cumpla con los requisitos. AWS Config Los Reglas de AWS Config que puede buscar tienen el AMSResourceTagger- prefijo. Por ejemplo, la AMSResourceTagger-EC2Instance AWS Config regla evalúa si se crean las etiquetas adecuadas para AWS::EC2::Instance los recursos en función del perfil de configuración.

El etiquetador de recursos se detiene en este punto y no realiza ningún cambio en los recursos (no añade ni elimina etiquetas).

Puede activar el modo de solo lectura modificando el perfil de configuración del cliente para incluir la ReadOnlyclave en el bloque de opciones. Por ejemplo, el siguiente fragmento de perfil de configuración muestra cómo se vería esto:

{
    "Options": {
        "ReadOnly": true
    },
    "AWS::EC2::Instance": {
        [... the rest of your configuration ...]
    }
}

Resource Tagger reaccionaría ante esta nueva configuración en cuanto terminara de implementarse y dejaría de añadir y eliminar etiquetas en los recursos.

nota

Para volver a habilitar la modificación de etiquetas, cambie el ReadOnlyvalor a false o elimine la clave por completo, ya que el valor predeterminado es false.

Para obtener más información sobre la configuración de las opcionesSintaxis y estructura, consulte a continuación.

Ejemplo de perfil de configuración

El siguiente documento de perfil de ejemplo especifica que AMS Accelerate administre todas las EC2 instancias de Windows que forman parte de una CloudFormation pila de stack-*; sin embargo, excluye explícitamente una EC2 instancia concreta con el ID i-00000000000000001.

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {  
                "Fn::AND": [
                    {
                        "Platform": "Windows"
                    },
                    {
                        "Tag": {
                            "Key": "aws:cloudformation:stack-name",
                            "Value": "stack-*"
                        }
                    },
                    {
                        "Fn::NOT": {
                            "InstanceId": "i-00000000000000001"
                        }
                    }
                ]
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
aviso

Tenga cuidado al especificar el nombre de la nueva configuración (SampleConfigurationBlocken el ejemplo proporcionado), ya que podría anular inadvertidamente la configuración administrada por AMS con el mismo nombre.

Fusión de la configuración predeterminada

AMS Accelerate proporciona el perfil de configuración predeterminado en el momento de la incorporación de la cuenta. Este perfil proporciona las reglas predeterminadas que se implementan en su cuenta.

Si bien no puede modificar el perfil de configuración predeterminado, puede anular los valores predeterminados especificando un bloque de configuración en el perfil de configuración de personalización con el mismo ID de configuración que el bloque de configuración predeterminado. Si lo hace, el bloque de configuración sobrescribe el bloque de configuración predeterminado.

Por ejemplo, considere el siguiente documento de configuración predeterminado:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Para cambiar el valor de la etiqueta que se aplica aquí de SampleValueA a SampleValueB y hacer que la etiqueta se aplique a todas las instancias, no solo a las de Windows, debe proporcionar el siguiente perfil de configuración de personalización:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "*"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueB"
			}]
		}
	}
}
importante

Recuerde implementar los cambios de configuración después de haberlos realizado. Para obtener más información, consulte Implementación de cambios de configuración. En SSM AppConfig, debe implementar una nueva versión de la configuración después de crearla.

Deshabilitar la configuración predeterminada

Para deshabilitar una regla de configuración predeterminada, añada un bloque de configuración con el mismo ID de configuración a su perfil de configuración de personalización y asigne al campo Activado un valor de false.

Por ejemplo, si la siguiente configuración estuviera presente en el perfil de configuración predeterminado:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Puede deshabilitar esta regla de etiquetado si incluye lo siguiente en su perfil de configuración de personalización:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": false
		}
	}
}
importante

Recuerde implementar los cambios de configuración después de haberlos realizado; para obtener más información, consulteImplementación de cambios de configuración. En SSM AppConfig, debe implementar una nueva versión de la configuración después de crearla.

Eliminar las etiquetas aplicadas por Resource Tagger

Resource Tagger elimina todas las etiquetas con el prefijo ams:rt si las etiquetas no existen en los perfiles de configuración o, si existen, si el filtro no coincide. Esto significa que puede eliminar las etiquetas aplicadas por Resource Tagger de una de las siguientes maneras:

  • Modificar la sección de configuración de personalización que define la etiqueta.

  • Añadir una excepción para los recursos específicos para que ya no coincidan con el filtro.

Por ejemplo: si una instancia de Linux tiene las siguientes etiquetas:

"Tags": [{
    "Key": "ams:rt:MyOwnTag",
    "Value": true
},{
    "Key": "myTag",
    "Value": true
}]

Y despliega el siguiente perfil de configuración de Resource Tagger:

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {
                "Platform": "Windows"
            },
            "Tags": [{
                "Key": "ams:rt:ams-managed",
                "Value": "true"
            }]
        }
    }
}

Resource Tagger reacciona a los nuevos cambios de configuración y la única etiqueta de la instancia es:

 "Tags": [{
     "Key": "myTag",
     "Value": true
 }]
aviso

Tenga cuidado al especificar el nombre de la nueva configuración (SampleConfigurationBlocken el ejemplo proporcionado), ya que podría anular inadvertidamente la configuración administrada por AMS con el mismo nombre.

importante

Recuerde implementar los cambios de configuración después de haberlos realizado; para obtener más información, consulte. Implementación de cambios de configuración En SSM AppConfig, debe implementar una nueva versión de la configuración después de crearla.

Ver o realizar cambios en la configuración del etiquetador de recursos

Los dos perfiles de configuración de JSON, AMSManagedTags y CustomerManagedTags, implementados en su cuenta en AWS AppConfig al incorporarse y residir en la aplicación AMSResource Tagger, y en el AMSInfrastructureentorno, se pueden revisar a través AppConfig de la GetConfigurationAPI.

El siguiente es un ejemplo de esta GetConfiguration llamada:

aws appconfig get-configuration 
 --application AMSResourceTagger 
 --environment AMSInfrastructure 
 --configuration AMSManagedTags 
 --client-id ANY_STRING
 outfile.json

Aplicación: unidad AppConfig lógica para proporcionar capacidades, para el etiquetador de recursos, es el AMSResource etiquetador.

  • Entorno:. AMSInfrastructure

  • Configuración: para ver las definiciones de etiquetas predeterminadas de AMS Accelerate, el valor es AMSManaged Etiquetas, mientras que para ver las definiciones de etiquetas de clientes, el valor es CustomerManagedTags.

  • ID de cliente: el identificador único de la instancia de la aplicación, que puede ser cualquier cadena.

  • A continuación, las definiciones de etiquetas se pueden ver en el archivo de salida especificado, en este caso, outfile.json.

Luego, las definiciones de alarmas se pueden ver en el archivo de salida especificado, en este caso, outfile.json.

Para ver qué versión de la configuración está implementada en su cuenta, consulte las implementaciones anteriores en el entorno. AMSInfrastructure

Para anular las reglas de etiquetas:

Se puede anular cualquiera de las reglas de etiquetas existentes actualizando el perfil de personalización con la API de AWS CloudFormation by, Implementación de un perfil de configuración con AWS CloudFormation for Accelerate o directamente mediante AppConfig la API del usuario. CreateHostedConfigurationVersion Si se utiliza el mismo ID de configuración como regla de etiquetas de configuración predeterminada, se anula la regla predeterminada y se aplica la regla personalizada en su lugar.

Para implementar los cambios realizados en el documento: CustomerManagedTags

Después de realizar cambios en el perfil de configuración de personalización, debe implementar los cambios para ellos. Para implementar los nuevos cambios, AppConfig la StartDeploymentAPI debe ejecutarse mediante la AWS AppConfig consola o la CLI.

Implementación de cambios de configuración

Una vez completada la personalización, estos cambios se deben implementar a través de la AWS AppConfig StartDeploymentAPI. En las siguientes instrucciones se muestra cómo realizar la implementación mediante AWS CLI. Además, puede utilizar el AWS Management Console para realizar estos cambios. Para obtener más información, consulte el paso 5: Implementar una configuración.

aws appconfig start-deployment
--application-id <application_id>
--environment-id <environment_id>
--deployment-strategy-id <deployment_strategy_id>
--configuration-profile-id <configuration_profile_id>
--configuration-version 1

  • ID de aplicación: el ID de aplicación del AMSResource etiquetador de aplicaciones. Consíguelo con la llamada a la ListApplicationsAPI.

  • ID de entorno: el ID de entorno; consíguelo con la llamada a la ListEnvironmentsAPI.

  • ID de la estrategia de despliegue: el ID de la estrategia de despliegue; consíguelo con la llamada a la ListDeploymentStrategiesAPI.

  • ID del perfil de configuración: el ID del perfil de configuración de CustomerManagedTags; consíguelo con la llamada a la ListConfigurationProfilesAPI.

  • Versión de configuración: la versión del perfil de configuración que pretende implementar.

importante

Resource Tagger aplica las etiquetas tal como se especifica en los perfiles de configuración. Cualquier modificación manual que realices (con la AWS Management Console CloudWatch CLI o el SDK) en las etiquetas de recursos se revierte automáticamente, así que asegúrate de que los cambios estén definidos mediante Resource Tagger. Para saber qué etiquetas crea el etiquetador de recursos, busca las claves de etiquetas con el prefijo. ams:rt:

Limite el acceso a la implementación con las acciones StartDeploymenty las de la StopDeploymentAPI a los usuarios de confianza que entiendan las responsabilidades y las consecuencias de implementar una nueva configuración en sus objetivos.

Para obtener más información sobre cómo usar AWS AppConfig las características para crear e implementar una configuración, consulte la documentación en Trabajar con AWS AppConfig.

Configurar Terraform para ignorar las etiquetas de Resource Tagger

Si utilizas Terraform para aprovisionar tus recursos y quieres usar Resource Tagger para etiquetarlos, Terraform podría identificar las etiquetas Resource Tagger como Drift.

Puede configurar Terraform para que ignore todas las etiquetas de Resource Tagger mediante el bloque de configuración del ciclo de vida o el bloque de configuración global ignore_tags. Para obtener más información, consulte la documentación de Terraform sobre el etiquetado de recursos en Resource Tagging.

El siguiente ejemplo muestra cómo crear una configuración global para ignorar todas las etiquetas que comiencen por el prefijo de etiqueta Resource Tagger: ams:rt:

provider "aws" {
  # ... potentially other configuration ...

  ignore_tags {
    key_prefixes = ["ams:rt:"]
  }
}

Visualización del número de recursos gestionados por Resource Tagger

Resource Tagger envía métricas cada hora a Amazon CloudWatch, en el AMS/ResourceTagger espacio de nombres. Las métricas se emiten solo para los tipos de recursos compatibles con Resource Tagger.

Nombre de métrica Dimensiones Descripción
ResourceCount Componente, ResourceType

Número de recursos (del tipo de recurso especificado) desplegados en esta región.

Unidades: recuento

ResourcesMissingManagedTags Componente, ResourceType

Número de recursos (del tipo de recurso especificado) que requieren etiquetas administradas, según los perfiles de configuración, pero que Resource Tagger aún no los ha etiquetado.

Unidades: recuento

UnmanagedResources Componente, ResourceType

Número de recursos (del tipo de recurso especificado) a los que Resource Tagger no ha aplicado etiquetas administradas. Por lo general, estos recursos no coincidían con ningún bloque de configuración de Resource Tagger o se excluyen explícitamente de los bloques de configuración.

Unidades: recuento

MatchingResourceCount Componente, ResourceType ConfigClauseName

Número de recursos (del tipo de recurso especificado) que coinciden con el bloque de configuración del etiquetador de recursos. Para que un recurso coincida con el bloque de configuración, el bloque debe estar habilitado y el recurso debe coincidir con el filtro del bloque.

Unidades: recuento

Estas métricas también se pueden ver en forma de gráficos en el panel de control de informes de AMS-Resource-Tagger-Reporting. Para ver el panel, desde la consola de CloudWatch administración de Amazon, selecciona AMS-Resource-Tagger-Reporting-Dashboard. De forma predeterminada, los gráficos de este panel muestran los datos del período anterior de 12 horas.

AMS Accelerate despliega CloudWatch alarmas en su cuenta para detectar un aumento significativo en la cantidad de recursos no gestionados, por ejemplo, los recursos que AMS Resource Tagger excluye de la gestión. AMS Operations investigará los aumentos de recursos no gestionados que superen: tres recursos del mismo tipo o un aumento del 50% con respecto a todos los recursos del mismo tipo. Si el cambio no parece ser deliberado, AMS Operations podría ponerse en contacto con usted para revisar el cambio.