Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Aplique la «clave de etiqueta requerida» con iAC
Las políticas de etiquetado le ayudan a mantener un etiquetado coherente en todas sus implementaciones de infraestructura como código (IaC). Con las «claves de etiquetas obligatorias», puede asegurarse de que todos los recursos creados a través de herramientas de IaC CloudFormation, como Terraform y Pulumi, incluyan las etiquetas obligatorias definidas por su organización.
Esta función compara sus despliegues de iAc con las políticas de etiquetas de su organización antes de crear los recursos. Cuando a una implementación le faltan las etiquetas obligatorias, puede configurar los ajustes de iAc para avisar a sus equipos de desarrollo o impedir por completo la implementación. Este enfoque proactivo mantiene el cumplimiento del etiquetado desde el momento en que se crean los recursos, en lugar de requerir una corrección manual más adelante. La aplicación se aplica a varias herramientas de IaC mediante una única definición de política de etiquetas, lo que elimina la necesidad de configurar reglas de etiquetado independientes para cada herramienta que utilice su organización.
Haga cumplir con CloudFormation
nota
Para hacer cumplir las claves de etiquetas CloudFormation obligatorias, debe especificar las etiquetas obligatorias para su tipo de recurso en las políticas de etiquetas. Consulte la sección Informar sobre la «clave de etiqueta obligatoria» para obtener más información.
Configura la función de ejecución para el AWS:TagPolicies:: TaggingComplianceValidator Hook
Antes de activar el AWS::TagPolicies::TaggingComplianceValidator enlace, debe crear un rol de ejecución que el enlace utilice para acceder a AWS los servicios. El rol debe tener la siguiente política de confianza adjunta:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "resources.cloudformation.amazonaws.com", "hooks.cloudformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }
La función de ejecución también debe tener una política de funciones con al menos los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:ListRequiredTags" ], "Resource": "*" } ] }
Para obtener más información sobre la configuración de las funciones de ejecución para las extensiones públicas, consulte Configurar una función de ejecución con permisos de IAM y una política de confianza para el acceso a las extensiones públicas en la Guía del CloudFormation usuario.
Activa el AWS::TagPolicies: Hook TaggingComplianceValidator
importante
Antes de continuar, compruebe que tiene los permisos necesarios para trabajar con Hooks y ver los controles proactivos desde la CloudFormation consola. Para obtener más información, consulte Otorgar permisos de IAM para CloudFormation Hooks.
Tras actualizar tu política de etiquetas, debes activar el AWS::TagPolicies::TaggingComplianceValidator enlace en todas las AWS cuentas y regiones en las que quieras hacer cumplir los requisitos de etiquetado.
Este enlace AWS gestionado se puede configurar de dos modos:
-
Modo de advertencia: permite que las implementaciones continúen, pero genera advertencias cuando faltan las etiquetas requeridas
-
Modo de error: bloquea las implementaciones a las que les faltan las etiquetas obligatorias
Para activar el enlace mediante la AWS CLI:
aws cloudformation activate-type \ --type HOOK \ --type-name AWS::TagPolicies::TaggingComplianceValidator \ --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \ --publisher-id aws-hooks \ --region us-east-1
aws cloudformation set-type-configuration \ --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \ --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \ --region us-east-1
regionReemplácelo por su AWS región objetivo y "FailureMode":"FAIL" cámbielo al modo de advertencia "FailureMode":"WARN" si lo prefiere.
Activa AWS:::TagPolicies: TaggingComplianceValidator Conéctate a varias cuentas y regiones con CloudFormation StackSets
En el caso de las organizaciones con varias AWS cuentas, puede utilizar AWS CloudFormation StackSets esta función para activar el sistema de etiquetado en todas sus cuentas y regiones de forma simultánea.
CloudFormation StackSets le permiten implementar la misma CloudFormation plantilla en varias cuentas y regiones con una sola operación. Este enfoque garantiza una aplicación uniforme del etiquetado en toda AWS la organización sin necesidad de configurar manualmente cada cuenta.
CloudFormation StackSets Para usarlo con este propósito:
-
Cree una CloudFormation plantilla que active el gancho de conformidad con el etiquetado
-
Implementa la plantilla CloudFormation StackSets para adaptarla a tus unidades organizativas o cuentas específicas
-
Especifica todas las regiones en las que deseas activar la aplicación
La CloudFormation StackSets implementación gestionará automáticamente el proceso de activación en todas las cuentas y regiones especificadas, lo que garantizará el cumplimiento uniforme del etiquetado en toda la organización. Para obtener información sobre cómo implementar CloudFormation Hooks en una organización con un servicio gestionado CloudFormation StackSets, consulta este blog.AWS
Implemente la siguiente CloudFormation plantilla CloudFormation StackSets para activar el AWS::TagPolicies: TaggingComplianceValidator Hook para las cuentas de su organización.
importante
Este gancho solo funciona como StackHook. No tiene ningún efecto cuando se usa como un gancho de recursos.
Resources: # Activate the AWS-managed hook type HookTypeActivation: Type: AWS::CloudFormation::TypeActivation Properties: AutoUpdate: True PublisherId: "AWS" TypeName: "AWS::TagPolicies::TaggingComplianceValidator" # Configure the hook HookTypeConfiguration: Type: AWS::CloudFormation::HookTypeConfig DependsOn: HookTypeActivation Properties: TypeName: "AWS::TagPolicies::TaggingComplianceValidator" TypeArn: !GetAtt HookTypeActivation.Arn Configuration: !Sub | { "CloudFormationConfiguration": { "HookConfiguration": { "TargetStacks": "ALL", "TargetOperations": ["STACK"], "Properties": {}, "FailureMode": "Warn", "TargetFilters": { "Actions": [ "CREATE", "UPDATE" ]} } } }
nota
Para obtener más información sobre cómo ejecutar CloudFormation Hooks, consulta Cómo activar un Hook proactivo basado en el control en tu cuenta.
Haga cumplir con Terraform
Para hacer cumplir las claves de etiquetas requeridas con Terraform, debe actualizar su AWS proveedor de Terraform a la versión 6.22.0 o superior y habilitar la validación de la política de etiquetas en la configuración de su proveedor. Para obtener detalles sobre la implementación y ejemplos de configuración, consulta la documentación de Terraform AWS Provider sobre
Haga cumplir con Pulumi
Para hacer cumplir las claves de etiquetas requeridas con Pulumi, debes habilitar el paquete de políticas de informes de políticas de etiquetas en Pulumi Cloud y configurar tu función de IAM con permisos de lectura de la política de etiquetas. Para obtener detalles sobre la implementación y ejemplos de configuración, consulta la documentación de Pulumi sobre la aplicación de la política
