AWS a déplacé la fonctionnalité de gestion des balises Tag Editor de la AWS Resource Groups console vers la Explorateur de ressources AWS console. Avec Resource Explorer, vous pouvez rechercher et filtrer des ressources, puis gérer les balises de ressources à partir d'une console unique. Pour en savoir plus sur la gestion des balises de ressources dans l'explorateur de ressources, consultez la section Gestion des ressources dans le guide de l'utilisateur de l'explorateur de ressources.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Organizations politiques relatives aux balises
Une politique de balises est un type de politique que vous créez dans AWS Organizations. Vous pouvez utiliser les politiques relatives aux balises pour normaliser les balises entre les ressources des comptes de votre organisation. Pour utiliser les politiques de balises, nous vous recommandons de suivre les flux de travail décrits dans la section Commencer à utiliser les politiques de balises du Guide de AWS Organizations l'utilisateur. Comme indiqué sur cette page, les flux de travail recommandés incluent la recherche et la correction des balises non conformes. Pour effectuer ces tâches, vous devez utiliser la console Tag Editor.
Conditions préalables et autorisations
Avant de pouvoir évaluer la conformité aux politiques de balises dans l'éditeur de balises, vous devez satisfaire aux exigences et définir les autorisations nécessaires.
Rubriques
Conditions préalables à l'évaluation de la conformité aux politiques relatives aux balises
L'évaluation de la conformité aux politiques relatives aux balises nécessite les éléments suivants :
-
Vous devez d'abord activer la fonctionnalité dans AWS Organizations, puis créer et joindre des politiques de balises. Pour plus d'informations, consultez les pages suivantes du guide de l'AWS Organizations utilisateur :
-
Pour détecter des balises non conformes sur les ressources d'un compte, vous avez besoin des informations de connexion associées à ce compte et des autorisations répertoriées dans. Autorisations pour évaluer la conformité d'un compte
-
Pour évaluer la conformité à l'échelle de l'organisation, vous avez besoin d'informations d'identification pour le compte de gestion de l'organisation et des autorisations répertoriées dans. Autorisations pour évaluer la conformité à l'échelle de l'organisation Vous ne pouvez demander le rapport de conformité qu'à l'est des Région AWS États-Unis (Virginie du Nord).
Autorisations pour évaluer la conformité d'un compte
La détection de balises non conformes sur les ressources d'un compte nécessite les autorisations suivantes :
-
organizations:DescribeEffectivePolicy
— Pour obtenir le contenu de la politique de balises en vigueur pour le compte. -
tag:GetResources
— Pour obtenir une liste des ressources qui ne sont pas conformes à la politique en matière de balises ci-jointe. -
tag:TagResources
— Pour ajouter ou mettre à jour des balises. Vous avez également besoin d'autorisations spécifiques au service pour créer des balises. Par exemple, pour baliser des ressources dans Amazon Elastic Compute Cloud (Amazon EC2), vous avez besoin d'autorisations pourec2:CreateTags
. -
tag:UnTagResources
— Pour supprimer un tag. Vous devez également disposer d'autorisations spécifiques au service pour supprimer des balises. Par exemple, pour supprimer le balisage des ressources sur Amazon EC2, vous avez besoin d'autorisations pourec2:DeleteTags
.
L'exemple de politique AWS Identity and Access Management (IAM) suivant fournit des autorisations pour évaluer la conformité des balises d'un compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ] }
Pour plus d'informations sur les politiques et les autorisations IAM, consultez le Guide de l'utilisateur IAM.
Autorisations pour évaluer la conformité à l'échelle de l'organisation
L'évaluation de la conformité à l'échelle de l'organisation avec les politiques relatives aux balises nécessite les autorisations suivantes :
-
organizations:DescribeEffectivePolicy
— Pour obtenir le contenu de la politique de balises attachée à l'organisation, à l'unité organisationnelle (UO) ou au compte. -
tag:GetComplianceSummary
— Pour obtenir un résumé des ressources non conformes dans tous les comptes de l'organisation. -
tag:StartReportCreation
— Exporter les résultats de l'évaluation de conformité la plus récente vers un fichier. La conformité à l'échelle de l'organisation est évaluée toutes les 48 heures. -
tag:DescribeReportCreation
— Pour vérifier l'état de la création du rapport. -
s3:ListAllMyBuckets
— Pour faciliter l'accès au rapport de conformité à l'échelle de l'organisation. -
s3:GetBucketAcl
— Pour inspecter la liste de contrôle d'accès (ACL) du compartiment Amazon S3 recevant le rapport de conformité. -
s3:GetObject
— Pour récupérer le rapport de conformité depuis le compartiment Amazon S3 appartenant au service. -
s3:PutObject
— Pour placer le rapport de conformité dans le compartiment Amazon S3 spécifié.
Si le compartiment Amazon S3 dans lequel le rapport est livré est chiffré via SSE-KMS, vous devez également disposer de l'kms:GenerateDataKey
autorisation pour ce compartiment.
L'exemple de politique IAM suivant fournit des autorisations pour évaluer la conformité à l'échelle de l'organisation. Remplacez chacune placeholder
par vos propres informations :
-
— Le nom de votre compartiment Amazon S3bucket_name
-
— L'identifiant de votre organisationorganization_id
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:StartReportCreation", "tag:DescribeReportCreation", "tag:GetComplianceSummary", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GetBucketAclForReportDelivery", "Effect": "Allow", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
bucket_name
", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "GetObjectForReportDelivery", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" } } }, { "Sid": "PutObjectForReportDelivery", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name
/AwsTagPolicies/organization_id
/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com" }, "StringLike": { "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*" } } } ] }
Pour plus d'informations sur les politiques et les autorisations IAM, consultez le Guide de l'utilisateur IAM.
Politique relative aux compartiments Amazon S3 pour le stockage des rapports
Pour créer un rapport de conformité à l'échelle de l'organisation, l'identité que vous utilisez pour appeler l'StartReportCreation
API doit avoir accès à un bucket Amazon Simple Storage Service (Amazon S3) dans la région USA Est (Virginie du Nord) pour stocker le rapport. Tag Policies utilise les informations d'identification de l'identité appelante pour transmettre le rapport de conformité au compartiment spécifié.
Si le compartiment et l'identité utilisés pour appeler l'StartReportCreation
API appartiennent au même compte, des politiques de compartiment Amazon S3 supplémentaires ne sont pas nécessaires pour ce cas d'utilisation.
Si le compte associé à l'identité utilisée pour appeler l'StartReportCreation
API est différent du compte propriétaire du compartiment Amazon S3, la politique de compartiment suivante doit être attachée au compartiment. Remplacez chacune placeholder
par vos propres informations :
-
— Le nom de votre compartiment Amazon S3bucket_name
-
— L'identifiant de votre organisationorganization_id
-
— L'ARN de l'identité IAM utilisée pour appeler l'APIidentity_ARN
StartReportCreation
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTagPolicyACL", "Effect": "Allow", "Principal": { "AWS": "
identity_ARN
" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name
" }, { "Sid": "CrossAccountTagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN
" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name
/AwsTagPolicies/organization_id
/*" } ] }