Cas d'utilisation de Resource Tagger dans AMS Accelerate - Guide de l'utilisateur d'AMS Accelerate
Afficher les balises appliquées par Resource TaggerUtilisation de Resource Tagger pour créer des balisesEmpêcher le Resource Tagger de modifier les ressourcesExemple de profil de configurationFusion de la configuration par défautDésactivation de la configuration par défautSuppression des balises appliquées par Resource TaggerAfficher ou modifier la configuration du Resource TaggerDéploiement des modifications de configurationConfiguration de Terraform pour ignorer les balises Resource TaggerAfficher le nombre de ressources gérées par Resource Tagger

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cas d'utilisation de Resource Tagger dans AMS Accelerate

Cette section répertorie les actions fréquemment effectuées avec Resource Tagger.

Afficher les balises appliquées par Resource Tagger

Toutes les balises appliquées par Resource Tagger ont le préfixe de clé ams:rt :. Par exemple, la définition de balise suivante génère une balise avec la clé AMS:RT:SampleKey et la valeur SampleValue. Toutes les balises portant ce préfixe sont considérées comme faisant partie de Resource Tagger.

{
	"Key": "sampleKey",
	"Value": "sampleValue"
}
Important

Si vous créez manuellement votre propre tag avec le préfixe ams:rt :, il est considéré comme géré par Resource Tagger. Cela signifie que si la ressource est gérée par Resource Tagger, mais que les profils de configuration n'indiquent pas que la balise doit être appliquée, Resource Tagger supprime votre balise ajoutée manuellement. Si vous balisez manuellement des ressources gérées par Resource Tagger, n'utilisez pas le préfixe ams:rt : pour les clés de balise.

Utilisation de Resource Tagger pour créer des balises

Le tagger de ressources AMS Accelerate est un composant qui est déployé dans votre compte lors de l'intégration d'AMS Accelerate. Resource Tagger dispose d'un ensemble de règles configurables qui définissent la manière dont vos ressources doivent être étiquetées, puis il applique ces règles, en ajoutant et en supprimant automatiquement des balises sur les ressources pour garantir leur conformité à vos règles.

Si vous souhaitez utiliser le Resource Tagger pour étiqueter vos ressources, consultezAccélérez Resource Tagger.

Voici un exemple d'extrait de configuration de Resource Tagger qui ajoute la balise ams:rt:ams-managed avec la valeur true à toutes les instances Amazon. EC2 La balise ams:rt:ams-managed vous permet de faire surveiller vos ressources par AMS Accelerate.

{
    "AWS::EC2::Instance": {
        "SampleConfigurationBlock": {
            "Enabled": true,
            "Filter": {
                "Platform": "*"
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Avertissement

Soyez prudent lorsque vous spécifiez le nom de votre nouvelle configuration (SampleConfigurationBlockdans l'exemple fourni) car vous risquez de remplacer par inadvertance la configuration gérée par AMS par le même nom.

Empêcher le Resource Tagger de modifier les ressources

Le Resource Tagger peut être configuré sur un mode lecture seule qui l'empêche d'ajouter ou de supprimer des balises sur vos ressources. Cela est utile si vous souhaitez fournir votre propre mécanisme de balisage.

En mode lecture seule, Resource Tagger examine toujours les règles de balisage spécifiées dans les profils de configuration gérés et clients, et recherche les ressources qui ne respectent pas ces règles de balisage. Toutes les ressources non conformes sont signalées. AWS Config Celui AWS Config Rules que vous pouvez rechercher a le AMSResourceTagger- préfixe. Par exemple, la AMSResourceTagger-EC2Instance AWS Config règle évalue si des balises appropriées sont créées pour les AWS::EC2::Instance ressources en fonction du profil de configuration.

Resource Tagger s'arrête à ce stade et n'apporte aucune modification à vos ressources (il n'ajoute ni ne supprime de balises).

Vous pouvez activer le mode lecture seule en modifiant le profil de configuration client pour inclure la ReadOnlyclé dans le bloc Options. Par exemple, l'extrait de profil de configuration suivant montre à quoi cela pourrait ressembler :

{
    "Options": {
        "ReadOnly": true
    },
    "AWS::EC2::Instance": {
        [... the rest of your configuration ...]
    }
}

Resource Tagger réagira à cette nouvelle configuration dès la fin du déploiement et cessera d'ajouter et de supprimer des balises sur les ressources.

Note

Pour réactiver la modification des balises, remplacez la ReadOnlyvaleur par false ou supprimez complètement la clé, car la valeur par défaut est false.

Pour en savoir plus sur le paramètre OptionsSyntaxe et structure, reportez-vous à la section suivante.

Exemple de profil de configuration

L'exemple de document de profil suivant indique que toutes les EC2 instances Windows faisant partie d'une CloudFormation pile stack-* doivent être gérées par AMS Accelerate ; il exclut toutefois explicitement une EC2 instance particulière portant l'ID i-00000000000000001.

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {  
                "Fn::AND": [
                    {
                        "Platform": "Windows"
                    },
                    {
                        "Tag": {
                            "Key": "aws:cloudformation:stack-name",
                            "Value": "stack-*"
                        }
                    },
                    {
                        "Fn::NOT": {
                            "InstanceId": "i-00000000000000001"
                        }
                    }
                ]
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Avertissement

Soyez prudent lorsque vous spécifiez le nom de votre nouvelle configuration (SampleConfigurationBlockdans l'exemple fourni) car vous risquez de remplacer par inadvertance la configuration gérée par AMS par le même nom.

Fusion de la configuration par défaut

Le profil de configuration par défaut est fourni par AMS Accelerate au moment de l'enregistrement du compte. Ce profil fournit des règles par défaut qui sont déployées dans votre compte.

Bien que vous ne puissiez pas modifier le profil de configuration par défaut, vous pouvez remplacer les paramètres par défaut en spécifiant un bloc de configuration dans votre profil de configuration personnalisé avec le même identifiant de configuration que le bloc de configuration par défaut. Dans ce cas, votre bloc de configuration remplace le bloc de configuration par défaut.

Par exemple, considérez le document de configuration par défaut suivant :

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Pour modifier la valeur de balise appliquée ici de SampleValueA à SampleValueB et appliquer la balise à toutes les instances, et pas uniquement aux instances Windows, vous devez fournir le profil de configuration de personnalisation suivant :

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "*"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueB"
			}]
		}
	}
}
Important

N'oubliez pas de déployer vos modifications de configuration une fois que vous les avez apportées. Pour de plus amples informations, veuillez consulter Déploiement des modifications de configuration. Dans SSM AppConfig, vous devez déployer une nouvelle version de la configuration après l'avoir créée.

Désactivation de la configuration par défaut

Vous pouvez désactiver une règle de configuration par défaut en ajoutant un bloc de configuration avec le même identifiant de configuration à votre profil de configuration personnalisé et en attribuant au champ Enabled la valeur false.

Par exemple, si la configuration suivante était présente dans le profil de configuration par défaut :

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Vous pouvez désactiver cette règle de balisage en incluant les éléments suivants dans votre profil de configuration de personnalisation :

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": false
		}
	}
}
Important

N'oubliez pas de déployer vos modifications de configuration une fois que vous les avez apportées ; pour plus d'informations, consultezDéploiement des modifications de configuration. Dans SSM AppConfig, vous devez déployer une nouvelle version de la configuration après l'avoir créée.

Suppression des balises appliquées par Resource Tagger

Toutes les balises préfixées par ams:rt sont supprimées par Resource Tagger si elles n'existent pas dans les profils de configuration ou, si elles existent, si le filtre ne correspond pas. Cela signifie que vous pouvez supprimer les balises appliquées par Resource Tagger en effectuant l'une des opérations suivantes :

  • Modification de la section de configuration de personnalisation qui définit le tag.

  • Ajout d'une exception pour les ressources spécifiques afin qu'elles ne correspondent plus au filtre.

Par exemple : si une instance Linux possède les balises suivantes :

"Tags": [{
    "Key": "ams:rt:MyOwnTag",
    "Value": true
},{
    "Key": "myTag",
    "Value": true
}]

Et vous déployez le profil de configuration de Resource Tagger suivant :

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {
                "Platform": "Windows"
            },
            "Tags": [{
                "Key": "ams:rt:ams-managed",
                "Value": "true"
            }]
        }
    }
}

Resource Tagger réagit aux nouvelles modifications de configuration et la seule balise de l'instance devient :

 "Tags": [{
     "Key": "myTag",
     "Value": true
 }]
Avertissement

Soyez prudent lorsque vous spécifiez le nom de votre nouvelle configuration (SampleConfigurationBlockdans l'exemple fourni) car vous risquez de remplacer par inadvertance la configuration gérée par AMS par le même nom.

Important

N'oubliez pas de déployer vos modifications de configuration une fois que vous les avez apportées ; pour plus d'informations, consultezDéploiement des modifications de configuration. Dans SSM AppConfig, vous devez déployer une nouvelle version de la configuration après l'avoir créée.

Afficher ou modifier la configuration du Resource Tagger

Les deux profils de configuration JSON, AMSManagedTags et CustomerManagedTags, déployés sur votre compte dans AWS AppConfig lors de l'intégration et du stockage dans l'application AMSResource Tagger, ainsi que dans l'AMSInfrastructureenvironnement, peuvent être consultés via AppConfig l'GetConfigurationAPI.

Voici un exemple de cet GetConfiguration appel :

aws appconfig get-configuration 
 --application AMSResourceTagger 
 --environment AMSInfrastructure 
 --configuration AMSManagedTags 
 --client-id ANY_STRING
 outfile.json

Application : unité AppConfig logique fournissant des fonctionnalités, pour le Resource Tagger, il s'agit de AMSResource Tagger.

  • Environnement : AMSInfrastructure.

  • Configuration : pour afficher les définitions de balises par défaut d'AMS Accelerate, la valeur est AMSManaged Tags, tandis que pour afficher les définitions des balises client, la valeur est CustomerManagedTags.

  • ID client : identifiant unique de l'instance d'application, il peut s'agir de n'importe quelle chaîne.

  • Les définitions des balises peuvent ensuite être consultées dans le fichier de sortie spécifié, dans ce cas, outfile.json.

Les définitions des alarmes peuvent ensuite être consultées dans le fichier de sortie spécifié, dans ce cas, outfile.json.

Vous pouvez voir quelle version de configuration est déployée sur votre compte en consultant les déploiements antérieurs dans l'AMSInfrastructureenvironnement.

Pour contourner les règles relatives aux balises, procédez comme suit :

Toutes les règles de balise existantes peuvent être remplacées en mettant à jour le profil de personnalisation avec AWS CloudFormation Déploiement d'un profil de configuration avec AWS CloudFormation for Accelerate ou directement à l'aide de l'API AppConfig d'CreateHostedConfigurationVersionutilisation. L'utilisation du même identifiant de configuration comme règle de balise de configuration par défaut remplace la règle par défaut et applique la règle personnalisée à sa place.

Pour déployer les modifications apportées au CustomerManagedTagsdocument :

Après avoir apporté des modifications au profil de configuration de personnalisation, vous devez déployer les modifications correspondantes. Pour déployer les nouvelles modifications, AppConfig l'StartDeploymentAPI doit être exécutée à l'aide de la AWS AppConfig console ou de la CLI.

Déploiement des modifications de configuration

Une fois la personnalisation terminée, ces modifications doivent être déployées via l' AWS AppConfig StartDeploymentAPI. Les instructions suivantes indiquent comment effectuer un déploiement à l'aide du AWS CLI. Vous pouvez également utiliser le AWS Management Console pour effectuer ces modifications. Pour plus d'informations, voir Étape 5 : Déploiement d'une configuration.

aws appconfig start-deployment
--application-id <application_id>
--environment-id <environment_id>
--deployment-strategy-id <deployment_strategy_id>
--configuration-profile-id <configuration_profile_id>
--configuration-version 1

  • ID de l'application : ID de l'application AMSResource Tagger. Obtenez-le avec l'appel ListApplicationsd'API.

  • ID d'environnement : ID d'environnement ; obtenez-le avec l'appel ListEnvironmentsd'API.

  • ID de stratégie de déploiement : ID de stratégie de déploiement ; obtenez-le avec l'appel ListDeploymentStrategiesd'API.

  • ID du profil de configuration : ID du profil de configuration de CustomerManagedTags ; obtenez-le avec l'appel ListConfigurationProfilesd'API.

  • Version de configuration : version du profil de configuration que vous souhaitez déployer.

Important

Resource Tagger applique les balises comme indiqué dans les profils de configuration. Toutes les modifications manuelles que vous apportez (avec le AWS Management Console CloudWatch CLI/SDK) aux balises de ressources sont automatiquement annulées. Assurez-vous donc que vos modifications sont définies via Resource Tagger. Pour savoir quelles balises sont créées par le Resource Tagger, recherchez les clés de balise préfixées par. ams:rt:

Limitez l'accès au déploiement StartDeploymentet aux actions de l'StopDeploymentAPI aux utilisateurs de confiance qui comprennent les responsabilités et les conséquences du déploiement d'une nouvelle configuration sur vos cibles.

Pour en savoir plus sur l'utilisation AWS AppConfig des fonctionnalités pour créer et déployer une configuration, consultez la documentation sur Travailler avec AWS AppConfig.

Configuration de Terraform pour ignorer les balises Resource Tagger

Si vous utilisez Terraform pour approvisionner vos ressources et que vous souhaitez utiliser Resource Tagger pour étiqueter vos ressources, les balises Resource Tagger peuvent être identifiées comme dérivées par Terraform.

Vous pouvez configurer Terraform pour ignorer toutes les balises Resource Tagger à l'aide du bloc de configuration du cycle de vie ou du bloc de configuration global ignore_tags. Pour plus d'informations, consultez la documentation Terraform sur le balisage des ressources lors du balisage des ressources.

L'exemple suivant montre comment créer une configuration globale pour ignorer toutes les balises commençant par le préfixe ams:rt: de balise Resource Tagger :

provider "aws" {
  # ... potentially other configuration ...

  ignore_tags {
    key_prefixes = ["ams:rt:"]
  }
}

Afficher le nombre de ressources gérées par Resource Tagger

Resource Tagger envoie des métriques toutes les heures à Amazon CloudWatch, dans l'espace de AMS/ResourceTagger noms. Les métriques sont émises uniquement pour les types de ressources pris en charge par Resource Tagger.

Nom de la métrique Dimensions Description
ResourceCount Composant, ResourceType

Nombre de ressources (du type de ressource spécifié) déployées dans cette région.

Unités : nombre

ResourcesMissingManagedTags Composant, ResourceType

Nombre de ressources (du type de ressource spécifié) qui nécessitent des balises gérées, selon les profils de configuration, mais qui n'ont pas encore été étiquetées par Resource Tagger.

Unités : nombre

UnmanagedResources Composant, ResourceType

Nombre de ressources (du type de ressource spécifié) auxquelles aucune balise gérée n'est appliquée par Resource Tagger. Généralement, ces ressources ne correspondent à aucun bloc de configuration Resource Tagger ou sont explicitement exclues des blocs de configuration.

Unités : nombre

MatchingResourceCount Composant ResourceType, ConfigClauseName

Nombre de ressources (du type de ressource spécifié) correspondant au bloc de configuration Resource Tagger. Pour qu'une ressource corresponde au bloc de configuration, le bloc doit être activé et la ressource doit correspondre au filtre du bloc.

Unités : nombre

Ces statistiques sont également consultables sous forme de graphiques, dans le tableau de bord AMS-Resource-Tagger-Reporting-Dashboard. Pour voir le tableau de bord, depuis la console de CloudWatch gestion Amazon, sélectionnez AMS-Resource-Tagger-Reporting-Dashboard. Par défaut, les graphiques de ce tableau de bord affichent les données de la période de 12 heures précédente.

AMS Accelerate déploie des CloudWatch alarmes sur votre compte pour détecter les augmentations significatives du nombre de ressources non gérées, par exemple les ressources exclues de la gestion par AMS Resource Tagger. AMS Operations étudiera les augmentations des ressources non gérées qui dépassent : soit trois ressources du même type, soit une augmentation de 50 % par rapport à toutes les ressources du même type. Si le changement ne semble pas être délibéré, AMS Operations peut vous contacter pour examiner le changement.