Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Appliquer la « clé de balise requise » avec IaC
Les politiques de balises vous aident à maintenir un balisage cohérent dans l'ensemble de vos déploiements d'infrastructure sous forme de code (IaC). Avec les « clés de balise requises », vous pouvez vous assurer que toutes les ressources créées via des outils IaC tels CloudFormation que Terraform et Pulumi incluent les balises obligatoires définies par votre organisation.
Cette fonctionnalité vérifie vos déploiements iAc par rapport aux politiques de tag de votre organisation avant de créer des ressources. Lorsqu'un déploiement ne contient pas les balises requises, vous pouvez configurer vos paramètres iAc pour avertir vos équipes de développement ou empêcher complètement le déploiement. Cette approche proactive garantit la conformité du balisage dès la création des ressources, au lieu de nécessiter une correction manuelle ultérieure. L'application fonctionne sur plusieurs outils IaC à l'aide d'une seule définition de politique de balises, ce qui élimine le besoin de configurer des règles de balisage distinctes pour chaque outil utilisé par votre organisation.
Renforcez avec CloudFormation
Note
Pour appliquer les clés de balise requises CloudFormation, vous devez spécifier les balises requises pour votre type de ressource dans les politiques de balises. Pour en savoir plus, consultez la section Signaler une « clé de balise requise ».
Configurer le rôle d'exécution pour le TaggingComplianceValidator crochet AWS : TagPolicies : : :
Avant d'activer le AWS::TagPolicies::TaggingComplianceValidator hook, vous devez créer un rôle d'exécution que le hook utilise pour accéder aux AWS services. Le rôle doit être associé à la politique de confiance suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "resources.cloudformation.amazonaws.com", "hooks.cloudformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }
Le rôle d'exécution doit également disposer d'une politique de rôle avec au moins les autorisations suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:ListRequiredTags" ], "Resource": "*" } ] }
Pour plus d'informations sur la configuration des rôles d'exécution pour les extensions publiques, voir Configurer un rôle d'exécution avec des autorisations IAM et une politique de confiance pour l'accès aux extensions publiques dans le Guide de l' CloudFormation utilisateur.
Activez le TaggingComplianceValidator crochet AWS TagPolicies : : :
Important
Avant de continuer, vérifiez que vous disposez des autorisations requises pour utiliser les Hooks et consulter les contrôles proactifs depuis la CloudFormation console. Pour plus d'informations, consultez la section Accorder des autorisations IAM pour les CloudFormation Hooks.
Après avoir mis à jour votre politique en matière de balises, vous devez activer le AWS::TagPolicies::TaggingComplianceValidator hook dans tous les AWS comptes et régions où vous souhaitez faire respecter les exigences en matière de balisage.
Ce hook AWS géré peut être configuré selon deux modes :
-
Mode d'avertissement : autorise les déploiements mais génère des avertissements lorsque les balises requises sont manquantes
-
Mode échec : bloque les déploiements auxquels il manque les balises requises
Pour activer le hook à l'aide de la AWS CLI :
aws cloudformation activate-type \ --type HOOK \ --type-name AWS::TagPolicies::TaggingComplianceValidator \ --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \ --publisher-id aws-hooks \ --region us-east-1
aws cloudformation set-type-configuration \ --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \ --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \ --region us-east-1
regionRemplacez-le par votre AWS région cible et passez "FailureMode":"FAIL" au mode d'avertissement "FailureMode":"WARN" si vous préférez.
Activez le lien AWS TagPolicies : : : TaggingComplianceValidator : sur plusieurs comptes et régions avec CloudFormation StackSets
Pour les organisations possédant plusieurs AWS comptes, vous pouvez AWS CloudFormation StackSets activer le crochet de conformité en matière de balisage pour tous vos comptes et régions simultanément.
CloudFormation StackSets vous permettent de déployer le même CloudFormation modèle sur plusieurs comptes et régions en une seule opération. Cette approche garantit une application cohérente du balisage dans AWS l'ensemble de votre organisation sans nécessiter de configuration manuelle pour chaque compte.
À utiliser CloudFormation StackSets à cette fin :
-
Créez un CloudFormation modèle qui active le crochet de conformité en matière de balisage
-
Déployez le modèle en utilisant CloudFormation StackSets pour cibler vos unités organisationnelles ou des comptes spécifiques
-
Spécifiez toutes les régions dans lesquelles vous souhaitez activer l'application
Le CloudFormation StackSets déploiement gérera automatiquement le processus d'activation pour tous les comptes et régions spécifiés, garantissant ainsi une conformité uniforme en matière de balisage dans l'ensemble de votre organisation. Pour savoir comment déployer des CloudFormation Hooks dans une organisation avec un service géré CloudFormation StackSets, consultez ce AWS blog.
Déployez le CloudFormation modèle ci-dessous en utilisant CloudFormation StackSets pour activer le AWS : TagPolicies : : TaggingComplianceValidator Hook pour les comptes de votre organisation.
Important
Ce crochet ne fonctionne que comme un StackHook. Il n'a aucun effet lorsqu'il est utilisé comme crochet de ressources.
Resources: # Activate the AWS-managed hook type HookTypeActivation: Type: AWS::CloudFormation::TypeActivation Properties: AutoUpdate: True PublisherId: "AWS" TypeName: "AWS::TagPolicies::TaggingComplianceValidator" # Configure the hook HookTypeConfiguration: Type: AWS::CloudFormation::HookTypeConfig DependsOn: HookTypeActivation Properties: TypeName: "AWS::TagPolicies::TaggingComplianceValidator" TypeArn: !GetAtt HookTypeActivation.Arn Configuration: !Sub | { "CloudFormationConfiguration": { "HookConfiguration": { "TargetStacks": "ALL", "TargetOperations": ["STACK"], "Properties": {}, "FailureMode": "Warn", "TargetFilters": { "Actions": [ "CREATE", "UPDATE" ]} } } }
Note
Pour plus d'informations sur l'utilisation CloudFormation des hooks, voir Activer un hook basé sur le contrôle proactif dans votre compte.
Appliquer avec Terraform
Pour appliquer les clés de balise requises avec Terraform, vous devez mettre à jour votre AWS fournisseur Terraform vers la version 6.22.0 ou supérieure et activer la validation des politiques de balises dans la configuration de votre fournisseur. Pour plus de détails sur la mise en œuvre et des exemples de configuration, consultez la documentation du AWS fournisseur Terraform sur l'application de la politique en matière de balises
Renforcez avec Pulumi
Pour appliquer les clés de balise requises avec Pulumi, vous devez activer le pack de politiques Tag Policy Reporting dans Pulumi Cloud et configurer votre rôle IAM avec des autorisations de lecture des politiques de balises. Pour plus de détails sur la mise en œuvre et des exemples de configuration, consultez la documentation de Pulumi sur l'application de la politique en matière de balises
