Menggunakan tag dengan ember direktori S3 - Amazon Simple Storage Service
Bagaimana tag bekerjaCara umum untuk menggunakan tagBekerja dengan tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag dengan ember direktori S3

AWS Tag adalah pasangan nilai kunci yang menyimpan metadata tentang sumber daya, dalam hal ini bucket direktori Amazon S3. Anda dapat menandai bucket direktori S3 saat Anda membuatnya atau mengelola tag pada bucket direktori yang ada. Tidak ada biaya tambahan untuk menggunakan tag pada bucket direktori di luar tarif permintaan API S3 standar. Untuk informasi selengkapnya, lihat Harga Amazon S3.

Bagaimana tag bekerja

Bucket direktori Amazon S3 mendukung dua jenis tag:

  • AWS tag yang dihasilkan: AWS secara otomatis menerapkan tag ini, dan Anda tidak dapat memodifikasinya atau menghapusnya. Untuk mempelajari lebih lanjut tentang tag AWS-generated, lihat Menggunakan tag AWS-generated.

  • Tag yang ditentukan pengguna: Anda menerapkan tag ini ke bucket direktori S3 atau sumber daya lainnya dan mengelolanya.

Tag yang ditentukan pengguna

Tag yang ditentukan pengguna adalah pasangan nilai kunci tag yang Anda gunakan untuk memberi label sumber daya Anda. Tag yang ditentukan pengguna terdiri dari kunci yang diperlukan dan nilai opsional. Ini adalah komponen utama dari tag yang ditentukan pengguna:

Kunci tag

Kunci tag adalah nama tag yang wajib diisi. Misalnya, project adalah kunci tag dalam pasangan nilai kunci tag berikut:

Kunci Nilai
project Trinity

Kunci tag adalah string case-sensitive yang harus berisi antara 1 dan 128 karakter Unicode.

Nilai tag

Nilai tag adalah string opsional. Misalnya, Trinity adalah nilai tag dalam pasangan nilai kunci tag ini:

Kunci Nilai
project Trinity

Nilai tag adalah string case-sensitive yang dapat berisi antara 0 dan 256 karakter Unicode.

Untuk detail tentang karakter yang diizinkan dalam tag yang ditentukan pengguna dan batasan lainnya, lihat Pembatasan Tag yang Ditentukan Pengguna di Panduan Pengguna.AWS Manajemen Penagihan dan Biaya

Set tag

Setiap bucket direktori S3 memiliki satu set tag yang berisi semua kunci tag dan pasangan nilai yang ditetapkan ke bucket tersebut. Satu set tag dapat berisi sebanyak 50 tag yang ditentukan pengguna, atau bisa kosong.

Meskipun setiap kunci harus unik dalam satu set tag, Anda dapat menggunakan nilai yang sama beberapa kali. Misalnya, Anda dapat memiliki nilai yang sama,Trinity, untuk mengikuti dua kunci tag:

Kunci Nilai
project Trinity
cost-center Trinity

Dalam bucket, saat Anda menambahkan tag yang memiliki kunci yang sama dengan tag yang ada, nilai baru akan menimpa nilai lama.

AWS tidak menerapkan arti semantik apa pun pada tag Anda. Kami menafsirkan tanda hanya sebagai string karakter.

Untuk menambahkan, membuat daftar, memodifikasi, atau menghapus tag, Anda dapat menggunakan konsol Amazon S3, Antarmuka Baris AWS Perintah (AWS CLI), atau Amazon S3 API.

Cara umum untuk menggunakan tag

Gunakan tag pada bucket direktori S3 Anda untuk:

  1. Alokasi biaya — Lacak biaya penyimpanan dengan tag bucket in AWS Manajemen Penagihan dan Biaya.

  2. Attribute based access control (ABAC) — Skala izin akses dan berikan akses ke bucket direktori S3 berdasarkan tag mereka.

catatan

Anda dapat menggunakan tag yang sama untuk alokasi biaya dan kontrol akses.

Menggunakan tag untuk alokasi biaya

Lacak biaya penyimpanan Amazon S3 Anda dengan menerapkan tag ke bucket direktori S3 dan mengaktifkan tag ini untuk alokasi biaya.

Untuk mulai melacak biaya:

  1. Tambahkan tag ke bucket direktori S3 Anda atau gunakan tag yang ada. Untuk informasi selengkapnya tentang cara menambahkan tag yang ditentukan pengguna ke bucket direktori Anda, lihat. Bekerja dengan tag Misalnya, Anda dapat memberi label bucket dengan tag yang mengidentifikasi proyek atau grup proyek.

  2. Aktifkan tag untuk alokasi biaya di AWS Manajemen Penagihan dan Biaya konsol. Lihat Mengaktifkan tag alokasi biaya yang ditentukan pengguna di Panduan Pengguna.AWS Manajemen Penagihan dan Biaya Anda dapat mengaktifkan tag yang ditentukan pengguna atau AWS yang dihasilkan. Untuk informasi selengkapnya, lihat Mengatur dan melacak AWS biaya menggunakan tag alokasi biaya.

AWS menggunakan tag yang diaktifkan untuk mengatur biaya sumber daya Anda di berbagai alat penagihan dan manajemen biaya, seperti:

  • Laporan alokasi biaya

    Memberikan tampilan biaya tingkat tinggi yang diatur oleh tag aktif Anda. Untuk informasi selengkapnya, lihat Menggunakan laporan alokasi biaya bulanan di Panduan Pengguna AWS Penagihan.

  • Laporan Biaya dan Penggunaan (CUR)

    Menyediakan kumpulan data AWS biaya dan penggunaan yang paling rinci, termasuk rincian biaya berbasis tag. Untuk informasi selengkapnya, lihat Apa itu Laporan AWS Biaya dan Penggunaan? dalam Panduan Pengguna Ekspor AWS Data.

Menggunakan tag untuk kontrol akses berbasis atribut (ABAC)

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut, yaitu tag. Anda dapat melampirkan tag ke entitas AWS Identity and Access Management (IAM) (pengguna atau peran) dan ke AWS sumber daya, seperti bucket direktori Amazon S3. Kemudian, Anda mengontrol izin ke sumber daya ini menggunakan kondisi berbasis tag dalam kebijakan kontrol akses untuk mengizinkan atau menolak operasi saat kondisi ini terpenuhi.

ABAC untuk ember direktori S3

Bucket direktori Amazon S3 mendukung kontrol akses berbasis atribut (ABAC) menggunakan tag. Gunakan kunci kondisi berbasis tag di AWS organisasi, IAM, dan kebijakan bucket direktori S3 Anda. Untuk perusahaan, ABAC di Amazon S3 mendukung otorisasi di beberapa akun. AWS

Dalam kebijakan IAM, Anda dapat mengontrol akses ke bucket direktori S3 berdasarkan tag bucket dengan menggunakan kunci kondisi global berikut:

  • aws:ResourceTag/key-name

    • Gunakan kunci ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. Misalnya, Anda dapat meminta agar akses ke sumber daya hanya diperbolehkan jika sumber daya memiliki kunci tanda yang dilampirkan Dept dengan nilai Marketing. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya.

  • aws:RequestTag/key-name

    • Gunakan kunci ini untuk membandingkan pasangan nilai kunci tanda yang diteruskan dalam permintaan dengan pasangan tanda yang Anda sebutkan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan tersebut menyertakan kunci tanda Dept dan memiliki nilai Accounting. Untuk informasi selengkapnya, lihat Mengontrol akses selama AWS permintaan. Anda dapat menggunakan kunci kondisi ini untuk membatasi pasangan nilai kunci tag mana yang dapat diteruskan selama operasi TagResource dan CreateBucket API.

  • aws:TagKeys

    • Gunakan kunci ini untuk membandingkan kunci tanda dalam permintaan dengan kunci yang Anda sebutkan dalam kebijakan. Sebaiknya saat Anda menggunakan kebijakan untuk mengontrol akses menggunakan tag, gunakan tombol aws:TagKeys kondisi untuk menentukan kunci tag apa yang diizinkan. Misalnya kebijakan dan informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tag. Anda dapat membuat bucket direktori S3 dengan tag. Untuk mengizinkan penandaan selama operasi CreateBucket API, Anda harus membuat kebijakan yang mencakup s3express:CreateBucket tindakan s3express:TagResource dan tindakan. Anda kemudian dapat menggunakan kunci aws:TagKeys kondisi untuk menerapkan menggunakan tag tertentu dalam CreateBucket permintaan.

  • s3express:BucketTag/tag-key

    • Gunakan kunci kondisi ini untuk memberikan izin ke data tertentu dalam bucket direktori menggunakan tag. Saat mengakses bucket direktori dengan menggunakan titik akses, kunci kondisi ini mereferensikan tag pada bucket direktori baik saat mengotorisasi terhadap titik akses dan bucket direktori, sedangkan aws:ResourceTag/tag-key akan mereferensikan tag hanya dari sumber daya yang diotorisasi.

Contoh kebijakan

Lihat contoh kebijakan ABAC berikut untuk bucket direktori Amazon S3.

1.1 - Kebijakan IAM untuk membuat atau memodifikasi bucket dengan tag tertentu

Dalam kebijakan IAM ini, pengguna atau peran dengan kebijakan ini hanya dapat membuat bucket direktori S3 jika mereka menandai bucket dengan kunci tag project dan nilai tag Trinity dalam permintaan pembuatan bucket. Mereka juga dapat menambahkan atau memodifikasi tag pada bucket direktori S3 yang ada selama TagResource permintaan tersebut menyertakan pasangan nilai kunci tag. project:Trinity Kebijakan ini tidak memberikan izin baca, tulis, atau hapus pada bucket atau objeknya. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.2 - Kebijakan bucket untuk membatasi operasi pada bucket menggunakan tag

Dalam kebijakan bucket ini, prinsipal IAM (pengguna dan peran) dapat melakukan operasi menggunakan CreateSession tindakan pada bucket hanya jika nilai tag bucket cocok dengan nilai project tag prinsipal. project

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.3 - Kebijakan IAM untuk memodifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan

Dalam kebijakan IAM ini, prinsipal IAM (pengguna atau peran) dapat memodifikasi tag pada bucket hanya jika nilai tag bucket cocok dengan nilai project tag prinsipal. project Hanya empat tagproject,environment,owner, dan cost-center ditentukan dalam kunci aws:TagKeys kondisi yang diizinkan untuk bucket direktori ini. Ini membantu menegakkan tata kelola tag, mencegah modifikasi tag yang tidak sah, dan menjaga skema penandaan tetap konsisten di seluruh bucket Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws:s3express:*:*:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 - Menggunakan kunci kondisi s3express: BucketTag

Dalam kebijakan IAM ini, pernyataan kondisi mengizinkan akses ke data bucket hanya jika bucket memiliki kunci tag Environment dan nilai Production tag. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws:s3express:*:*:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Bekerja dengan tag

Anda dapat menambahkan atau mengelola tag untuk bucket direktori S3 menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), AWS SDKs atau menggunakan S3:,, dan. APIs TagResourceUntagResourceListTagsForResource Untuk informasi selengkapnya, lihat:

Topik