Applica con CloudFormation Applica con Terraform Applica con Pulumi

Applica la «chiave tag richiesta» con IaC

Le politiche di tag consentono di mantenere un'etichettatura coerente in tutte le implementazioni dell'infrastruttura come codice (IaC). Con le «chiavi tag obbligatorie», puoi assicurarti che tutte le risorse create tramite strumenti IaC come CloudFormation Terraform e Pulumi includano i tag obbligatori definiti dalla tua organizzazione.

Questa funzionalità verifica le implementazioni IaC rispetto alle politiche di tag dell'organizzazione prima della creazione delle risorse. Quando in una distribuzione mancano i tag richiesti, è possibile configurare le impostazioni IaC in modo da avvisare i team di sviluppo o impedire completamente l'implementazione. Questo approccio proattivo mantiene la conformità dei tag sin dal momento in cui vengono create le risorse, anziché richiedere una correzione manuale in un secondo momento. L'applicazione funziona su più strumenti IaC utilizzando un'unica definizione di policy di tag, eliminando la necessità di configurare regole di tagging separate per ogni strumento utilizzato dall'organizzazione.

Applica con CloudFormation

Nota

Per applicare le chiavi dei tag obbligatorie con CloudFormation, è necessario specificare i tag obbligatori per il tipo di risorsa nelle politiche dei tag. Per ulteriori informazioni, consulta la sezione Segnalazione per «Chiave tag obbligatoria».

Imposta il ruolo di esecuzione per AWS::TagPolicies: TaggingComplianceValidator Hook

Prima di attivare l'AWS::TagPolicies::TaggingComplianceValidatorhook, è necessario creare un ruolo di esecuzione che l'hook utilizza per accedere ai AWS servizi. Al ruolo deve essere allegata la seguente politica di fiducia:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}

Il ruolo di esecuzione deve inoltre disporre di una Role Policy con almeno le seguenti autorizzazioni:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "tag:ListRequiredTags"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulla configurazione dei ruoli di esecuzione per le estensioni pubbliche, consulta Configurare un ruolo di esecuzione con autorizzazioni IAM e una politica di fiducia per l'accesso alle estensioni pubbliche nella Guida per l' CloudFormation utente.

Attiva il AWS::TagPolicies: TaggingComplianceValidator Hook

Importante

Prima di continuare, verifica di disporre delle autorizzazioni necessarie per lavorare con Hooks e visualizzare i controlli proattivi dalla console. CloudFormation Per ulteriori informazioni, consulta Concedere le autorizzazioni IAM per gli Hooks. CloudFormation

Dopo aver aggiornato la politica sui tag, devi attivare l'AWS::TagPolicies::TaggingComplianceValidatorhook in ogni AWS account e regione in cui desideri applicare la conformità richiesta in materia di tag.

Questo hook AWS gestito può essere configurato in due modalità:

Modalità Warn: consente alle distribuzioni di procedere ma genera avvisi quando mancano i tag richiesti
Modalità Fail: blocca le distribuzioni prive dei tag obbligatori

Per attivare l'hook utilizzando la AWS CLI:


aws cloudformation activate-type \
    --type HOOK \
    --type-name AWS::TagPolicies::TaggingComplianceValidator \
    --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \
    --publisher-id aws-hooks \
    --region us-east-1


aws cloudformation set-type-configuration \
  --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \
  --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \
  --region us-east-1

Sostituiscilo region con la AWS regione di destinazione e, "FailureMode":"WARN" se preferisci, passa "FailureMode":"FAIL" alla modalità di avviso.

Attiva AWS::TagPolicies:: TaggingComplianceValidator Hook tra più account e regioni con CloudFormation StackSets

Per le organizzazioni con più AWS account, puoi attivare l'hook di etichettatura AWS CloudFormation StackSets per la conformità in tutti gli account e le aree geografiche contemporaneamente.

CloudFormation StackSets ti consentono di distribuire lo stesso CloudFormation modello su più account e regioni con un'unica operazione. Questo approccio garantisce un'applicazione coerente dei tag in tutta l' AWS organizzazione senza richiedere la configurazione manuale in ogni account.

Da utilizzare CloudFormation StackSets per questo scopo:

Crea un CloudFormation modello che attivi l'hook di conformità ai tag
Implementa il modello utilizzandolo CloudFormation StackSets per indirizzare le unità organizzative o gli account specifici
Specificate tutte le regioni in cui desiderate abilitare l'applicazione

L' CloudFormation StackSets implementazione gestirà automaticamente il processo di attivazione in tutti gli account e le regioni specificati, garantendo la conformità uniforme dei tag in tutta l'organizzazione. Per scoprire come distribuire CloudFormation Hooks in un'organizzazione con gestione dei servizi, consulta questo blog CloudFormation StackSets.AWS

Implementa il CloudFormation modello seguente utilizzando CloudFormation StackSets per attivare l'TaggingComplianceValidator Hook AWS:::TagPolicies: per gli account della tua organizzazione.

Importante

Questo hook funziona solo come StackHook. Non ha effetto se usato come hook di risorse.


Resources:
  # Activate the AWS-managed hook type
  HookTypeActivation:
    Type: AWS::CloudFormation::TypeActivation
    Properties:
        AutoUpdate: True
        PublisherId: "AWS"
        TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
  
  # Configure the hook
  HookTypeConfiguration:
    Type: AWS::CloudFormation::HookTypeConfig
    DependsOn: HookTypeActivation
    Properties:
      TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
      TypeArn: !GetAtt HookTypeActivation.Arn
      Configuration: !Sub |
        {
          "CloudFormationConfiguration": {
            "HookConfiguration": {
              "TargetStacks": "ALL",
              "TargetOperations": ["STACK"],
              "Properties": {},
              "FailureMode": "Warn",
              "TargetFilters": {
                "Actions": [
                    "CREATE",
                    "UPDATE"
                ]}
            }
          }
        }

Nota

Per ulteriori informazioni sull'esecuzione degli CloudFormation hook, consulta Attivare un Hook basato su un controllo proattivo nel tuo account.

Applica con Terraform

Per applicare le chiavi dei tag richieste con Terraform, devi aggiornare Terraform Provider alla versione 6.22.0 o successiva e abilitare la convalida della politica dei tag nella configurazione del AWS provider. Per i dettagli di implementazione e gli esempi di configurazione, consulta la documentazione di Terraform AWS Provider sull'applicazione delle politiche dei tag.

Applica con Pulumi

Per applicare le chiavi di tag richieste con Pulumi, devi abilitare il pacchetto di policy Tag Policy Reporting in Pulumi Cloud e configurare il tuo ruolo IAM con le autorizzazioni di lettura delle tag policy. Per i dettagli di implementazione e gli esempi di configurazione, consulta la documentazione Pulumi sull'applicazione della politica dei tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Applica la coerenza dei tag

Sintassi ed esempi delle policy di tag