Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC) - Amazon Simple Storage Service
Fonctionnement des balisesMéthodes courantes d’utilisation des balisesPlanification de votre stratégie de balisageGestion des balises pour les ressources Amazon S3

Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC)

Une balise AWS est une paire clé-valeur qui contient des métadonnées. Vous attachez des balises à vos ressources Amazon S3, par exemple des compartiments. Vous pouvez baliser vos ressources lorsque vous les créez ou gérer les balises de ressources existantes. L’utilisation de balises n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez Tarification Amazon S3.

Fonctionnement des balises

Amazon S3 prend en charge deux types de balises :

  • Balises générées par AWS : AWS applique automatiquement ces balises. Vous ne pouvez ni les modifier ni les supprimer. Pour en savoir plus sur les balises générées par AWS, consultez Utilisation des balises générées par AWS.

  • Balises définies par l’utilisateur : vous appliquez ces balises à vos ressources S3 et vous les gérez.

Balises définies par l’utilisateur

Une balise définie par l’utilisateur est une paire clé-valeur que vous utilisez pour baliser vos ressources. Les balises définies par l’utilisateur se composent d’une clé obligatoire et d’une valeur facultative. Voici les principaux composants d’une balise définie par l’utilisateur :

Clé de balise

La clé de balise correspond au nom obligatoire de la balise. Par exemple, project est la clé de balise dans la paire clé-valeur de balise suivante :

Clé Valeur
project Trinity

La clé de balise est sensible à la casse et doit contenir entre 1 et 128 caractères Unicode. Les clés ne peuvent contenir que des lettres ou des chiffres Unicode, des espaces blancs et les symboles suivants :

  • _ : trait de soulignement

  • . : point

  • : : deux-points

  • / : barre oblique

  • = : signe égal

  • + : signe plus

  • @ : signe arobase

  • - : tiret

Valeur de balise

La valeur de la balise est une chaîne facultative. Par exemple, Trinity est la valeur de balise dans cette paire clé-valeur de balise :

Clé Valeur
project Trinity

La valeur de clé est sensible à la casse et doit contenir entre 0 et 256 caractères Unicode. Les valeurs ne peuvent contenir que des lettres ou des chiffres Unicode, des espaces blancs et les symboles suivants :

  • _ : trait de soulignement

  • . : point

  • : : deux-points

  • / : barre oblique

  • = : signe égal

  • + : signe plus

  • @ : signe arobase

  • - : tiret

Pour connaître les caractères autorisés dans les balises définies par l’utilisateur et les autres restrictions, consultez Restrictions encadrant les balises définies par l’utilisateur du Guide de l’utilisateur AWS Billing and Cost Management.

Ensemble de balises

Chaque ressource S3 possède un ensemble de balises qui contient toutes les paires clé-valeur de balise attribuées à ce compartiment. Un ensemble de balises peut être vide ou contenir jusqu’à 50 balises définies par l’utilisateur, sauf dans le cas des objets de balisage. Vous pouvez avoir jusqu’à 10 balises par objet.

Bien que chaque clé doive être unique dans un ensemble de balises, vous pouvez utiliser la même valeur plusieurs fois. Par exemple, vous pouvez utiliser une valeur identique, Trinity, pour les deux clés de balise suivantes :

Clé Valeur
project Trinity
cost-center Trinity

Si vous ajoutez une balise ayant la même clé qu’une balise existante, la nouvelle valeur remplace l’ancienne valeur.

AWS n'applique aucune signification sémantique à vos balises. Nous interprétons les balises de façon stricte, en tant que chaîne de caractères.

Pour ajouter, répertorier, modifier ou supprimer des balises, vous pouvez utiliser la console Amazon S3, l’interface de ligne de commande AWS (AWS CLI) ou l’API Amazon S3.

Méthodes courantes d’utilisation des balises

Utilisez des balises sur vos ressources S3 aux fins suivantes :

  1. Répartition des coûts : suivez vos coûts de stockage par balise de compartiment dans AWS Billing and Cost Management.

  2. Contrôle d’accès par attributs (ABAC) : mettez à l’échelle les autorisations d’accès et autorisez l’accès aux ressources S3 en fonction de leurs balises.

Note

Vous pouvez utiliser les mêmes balises pour la répartition des coûts et le contrôle d’accès.

Utilisation de balises pour la répartition des coûts

Suivez vos coûts de stockage Amazon S3 en appliquant des balises aux ressources S3 et en activant ces balises pour la répartition des coûts.

Pour commencer à suivre vos coûts :

  1. Ajoutez des balises à vos ressources S3 ou utilisez des balises existantes. Par exemple, vous pouvez baliser des compartiments avec une balise qui identifie un projet ou un groupe de projets.

  2. Activez les balises de répartition des coûts dans la console AWS Billing and Cost Management. Consultez Activation des balises de répartition des coûts définies par l’utilisateur dans le Guide de l’utilisateur AWS Billing and Cost Management. Vous pouvez activer des balises définies par l’utilisateur ou générées par AWS. Pour plus d’informations, consultez Organisation et suivi des coûts à l’aide des balises de répartition des coûts AWS.

AWS utilise les balises activées pour organiser les coûts de vos ressources dans divers outils de facturation et de gestion des coûts, tels que :

  • Rapport de répartition des coûts

    Fournit une vue d’ensemble des coûts organisés par les balises que vous avez activées. Pour plus d’informations, consultez Utilisation du rapport de répartition des coûts mensuel dans le Guide de l’utilisateur AWS Billing.

  • Rapport d’utilisation et de coût

    Fournit les données les plus détaillées sur les coûts et l’utilisation d’AWS, y compris les ventilations des coûts par balise. Pour plus d’informations, consultez Que sont les rapports d’utilisation et de coût AWS ? dans le Guide de l’utilisateur AWS Data Export.

Ressources Amazon S3 prenant en charge le suivi des coûts à l’aide de balises

Les ressources Amazon S3 suivantes prennent en charge le suivi des coûts de stockage à l’aide de balises.

Utilisation de balises pour le contrôle d’accès par attributs (ABAC)

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit des autorisations en fonction des attributs (balises). Vous pouvez attacher des balises à des entités Gestion des identités et des accès AWS (IAM) (utilisateurs ou rôles) et à des ressources AWS, telles que des points d’accès Amazon S3 et des compartiments de répertoires. Vous contrôlez ensuite les autorisations d’accès à ces ressources à l’aide de conditions basées sur des balises dans les stratégies de contrôle d’accès afin d’autoriser ou de refuser les opérations lorsque ces conditions sont remplies.

Avec l’ABAC, vous utilisez des clés de condition basées sur des balises dans vos organisations AWS, politiques IAM et stratégies de ressources S3. Pour les entreprises, l’ABAC d’Amazon S3 prend en charge les autorisations sur plusieurs comptes AWS.

Dans vos politiques IAM, vous pouvez contrôler l’accès aux ressources S3 en fonction des balises du compartiment à l’aide de clés de condition globale.

Clés de condition prises en charge

Vous pouvez utiliser les clés de condition AWS suivantes pour toutes les ressources Amazon S3 prenant en charge l’ABAC.

  • aws:ResourceTag/key-name

  • aws:RequestTag/key-name

  • aws:TagKeys

Certaines ressources prennent en charge d’autres clés de condition Amazon S3. Pour obtenir la liste complète des clés de condition pouvant être utilisées pour l’ABAC et des exemples de politiques, consultez les rubriques suivantes sur le balisage des ressources.

Ressources Amazon S3 prenant en charge l’ABAC

Les ressources Amazon S3 suivantes prennent en charge le contrôle d’accès par attributs (ABAC) à l’aide de balises.

Planification de votre stratégie de balisage

Nous vous recommandons de concevoir un ensemble de clés d’étiquette répondant à vos besoins pour chaque type de ressource. L’utilisation d’un ensemble de clés de balise cohérent facilite la gestion de vos ressources. Vous pouvez rechercher et filtrer les ressources en fonction des étiquettes que vous ajoutez. Pour plus d’informations sur la mise en œuvre d’une stratégie efficace de balisage des ressources, consultez le Livre blanc AWS sur les bonnes pratiques en matière de balisage.

Bonnes pratiques de balisage des ressources Amazon S3

Lorsque vous utilisez des balises, nous vous recommandons de respecter les bonnes pratiques ci-dessous :

  • Documentez les conventions relatives à l’utilisation des balises qui sont suivies par toutes les équipes de votre organisation. En particulier, assurez-vous que les noms sont à la fois descriptifs et cohérents. Par exemple, normalisez le format environment:prod plutôt que de baliser certaines ressources avec env:production.

    Important

    Ne stockez pas d’informations personnelles identifiables (PII) ou d’autres informations confidentielles ou sensibles dans des balises.

  • Automatisez le balisage pour garantir la cohérence. Par exemple, vous pouvez inclure des balises dans un modèle CloudFormation. Lorsque vous créez des ressources à l’aide du modèle, elles sont balisées automatiquement.

  • Utilisez des balises uniquement lorsque cela est nécessaire. Évitez toute prolifération et complexité inutiles des balises.

  • Vérifiez régulièrement la pertinence et l’exactitude des balises. Supprimez ou modifiez les balises obsolètes selon vos besoins.

  • Envisagez de créer des balises à l’aide d’AWS Tag Editor dans la console de gestion AWS. Vous pouvez utiliser Tag Editor pour ajouter des balises à plusieurs ressources AWS prises en charge, y compris des ressources Amazon S3, simultanément. Pour plus d'informations, consultez la section Tag Editor dans le Guide de l'utilisateur d'AWS Resource Groups.

Gestion des balises pour les ressources Amazon S3

Pour plus d’informations sur la gestion des balises pour les ressources Amazon S3, consultez ce qui suit :