Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC)
Uma tag da AWS é um par de chave-valor que contém metadados. É você quem anexa as tags a recursos do Amazon S3, como buckets. É possível atribuir tags ao criar recursos ou gerenciar as tags nos recursos existentes. Não há cobrança adicional para usar tags além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte Preço do Amazon S3
Como as tags funcionam
O Amazon S3 permite dois tipos de tag:
-
Tags geradas pela AWS: a AWS aplica automaticamente essas tags, e você não pode modificá-las ou removê-las. Para saber mais sobre tags geradas pela AWS, consulte Using AWS-generated tags.
-
Tags definidas pelo usuário: é você quem aplica essas tags aos seus recursos do S3 e as gerencia.
Tags definidas pelo usuário
Uma tag definida pelo usuário é um par de chave-valor de tag que você usa para rotular seus recursos. As tags definidas pelo usuário consistem em uma chave obrigatória e um valor opcional. Estes são os principais componentes de uma tag definida pelo usuário:
A chave da tag
A chave de tags é o nome obrigatório da tag. Por exemplo, project é a chave da tag no seguinte par de chave-valor de tag:
| Chave | Valor |
|---|---|
project |
Trinity |
A chave da tag é uma string que diferencia maiúsculas e minúsculas e deve conter de 1 a 128 caracteres Unicode. As chaves e os valores podem conter letras, números, espaço em branco e os seguintes símbolos:
_: sublinhado.: ponto final:dois-pontos/: barra=: sinal de igual+: sinal de adição@: sinal de arroba-: hífen
O valor da tag
O valor da tag é uma string opcional. Por exemplo, Trinity é o valor da tag neste par de chave-valor de tag:
| Chave | Valor |
|---|---|
project |
Trinity |
O valor da tag é uma string que diferencia maiúsculas e minúsculas e pode conter de 0 a 256 caracteres Unicode. Os valores podem conter letras ou números Unicode, espaço em branco e os seguintes símbolos:
_: sublinhado.: ponto final:dois-pontos/: barra=: sinal de igual+: sinal de adição@: sinal de arroba-: hífen
Para obter detalhes sobre os caracteres permitidos em tags definidas pelo usuário e outras restrições, consulte User-Defined Tag Restrictions no Guia do usuário do Gerenciamento de Faturamento e Custos da AWS.
O conjunto de tags
Cada recurso do S3 tem um conjunto de tags que contém todos os pares de chave e valor de tag atribuídos a esse bucket. Um conjunto de tags pode estar vazio ou conter até cinquenta tags definidas pelo usuário, exceto no caso de atribuição de tags a objetos. Os objetos só podem ter dez tags, no máximo.
Embora cada chave deva ser exclusiva em um conjunto de tags, você pode usar o mesmo valor várias vezes. Por exemplo, você pode ter o mesmo valor, Trinity, para as duas chaves de tag abaixo:
| Chave | Valor |
|---|---|
project |
Trinity |
cost-center |
Trinity |
Quando você adiciona uma tag que tem a mesma chave de uma tag existente, o novo valor substitui o antigo.
AWSA não aplica nenhum significado semântico às suas tags. Interpretamos as tags estritamente como sequências de caracteres.
Para adicionar, listar, modificar ou excluir tags, você pode usar o console do Amazon S3, a AWS Command Line Interface (AWS CLI) ou a API do Amazon S3.
Maneiras comuns de usar tags
Use tags nos recursos do S3 para:
-
Alocação de custos: acompanhe os custos de armazenamento por tag de bucket no Gerenciamento de Faturamento e Custos da AWS.
-
Controle de acesso por atributo (ABAC): amplie as permissões de acesso e conceda acesso aos recursos do S3 com base nas respectivas tags.
nota
Você pode usar as mesmas tags para alocação de custos e controle de acesso.
Usar tags para alocação de custos
Acompanhe seus custos de armazenamento do Amazon S3 aplicando tags aos recursos do S3 e ativando essas tags para alocação de custos.
Para começar a rastrear os custos:
-
Adicione tags aos recursos do S3 ou use as tags existentes. Por exemplo, você pode rotular os buckets com uma tag que identifique um projeto ou um grupo de projetos.
-
Ative as tags para alocação de custos no console do Gerenciamento de Faturamento e Custos da AWS. Consulte Activating user-defined cost allocation tags no Guia do usuário do Gerenciamento de Faturamento e Custos da AWS. Você pode ativar tags definidas pelo usuário ou geradas pela AWS. Para ter mais informações, consulte Organizing and tracking costs using AWS cost allocation tags.
A AWS usa as tags ativadas para organizar os custos de seus recursos em várias ferramentas de gerenciamento de faturamento e custos, como:
-
Relatório de alocação de custos
Oferece uma visualização geral dos custos organizados com base nas tags ativadas. Para ter mais informações, consulte Using the monthly cost allocation report no Guia do usuário do AWS Billing.
-
Relatório de Custos e Uso (CUR)
Oferece o conjunto mais detalhado de dados de custo e uso da AWS, bem como detalhamento de custos baseado em tags. Para ter mais informações, consulte What are AWS Cost and Usage Reports? no Guia do usuário do AWS Data Exports.
Recursos do Amazon S3 que permitem monitorar os custos com tags
Os recursos do Amazon S3 a seguir permitem monitorar os custos de armazenamento usando tags.
Buckets de diretório
Para ter mais informações, consulte Gerenciar tags para buckets de diretório.
Buckets de uso geral
Para ter mais informações, consulte Gerenciar tags para buckets de uso geral.
Usar tags para controle de acesso por atributo (ABAC)
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos (isto é, tags). Você pode anexar tags a entidades do AWS Identity and Access Management (IAM) (usuários ou perfis) e a recursos da AWS, como pontos de acesso e buckets de diretório do Amazon S3. Posteriormente, você controla as permissões para esses recursos usando condições baseadas em tags em políticas de controle de acesso para permitir ou negar operações quando essas condições forem atendidas.
Com o ABAC, você usa chaves de condição baseadas em tag em políticas do IAM, de recursos do S3 e de suas organizações da AWS. Para empresas, o ABAC no Amazon S3 permite a autorização em várias contas da AWS.
Nas suas políticas do IAM, você pode controlar o acesso aos recursos do S3 com base nas tags do bucket usando chaves de condição.
Chaves de condição compatíveis
Você pode usar as chaves de condição da AWS a seguir para todos os recursos do Amazon S3 que permitem o ABAC.
aws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys
Alguns recursos aceitam chaves de condição adicionais do Amazon S3. Para obter uma lista completa das chaves de condição que podem ser usadas para o ABAC e exemplos de política, consulte os tópicos sobre atribuição de tags a seguir para o respectivo recurso.
Recursos do Amazon S3 que permitem o ABAC
Os recursos do Amazon S3 a seguir permitem o controle de acesso por atributo (ABAC) por meio de tags.
Pontos de acesso
Para obter mais informações, consulte Usar tags com pontos de acesso para buckets de uso geral do S3 e Usar tags com o recurso Pontos de Acesso S3 para buckets de diretório.
Trabalhos de operação em lote
Para obter mais informações, consulte Controlar o acesso e rotular trabalhos usando tags.
Buckets de diretório
Para obter mais informações, consulte Usar tags com buckets de diretório do S3.
Objetos
Para obter mais informações, consulte Categorizar objetos usando tags.
-
Concessão de Acesso do S3
Para obter mais informações, consulte Gerenciar tags para o recurso Concessão de Acesso do S3.
-
Grupos da Lente de Armazenamento do S3
Para obter mais informações, consulte Gerenciamento de tags de recursos AWS com grupos da Lente de Armazenamento.
Planejar uma estratégia de atribuição de tags
Recomendamos que você desenvolva um conjunto de chave de tags que atenda suas necessidades para cada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seus recursos. É possível pesquisar e filtrar os recursos de acordo com as tags que adicionar. Para obter mais informações sobre como implementar uma estratégia eficaz de marcação de recursos, consulte o whitepaper da AWS Tagging Best Practices (Práticas recomendadas de marcação).
Práticas recomendadas para atribuir tags a recursos do Amazon S3
Ao usar tags, sugerimos seguir estas práticas recomendadas:
Convenções de documentos para uso de tags que são seguidas por todas as equipes da organização. Acima de tudo, os nomes devem ser descritivos e consistentes. Por exemplo, padronize o formato
environment:prodem vez de marcar alguns recursos comenv:production.Importante
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags.
Automatize a marcação para garantir a consistência. Por exemplo, você pode incluir tags em um modelo do AWS CloudFormation. Ao criar recursos com o modelo, eles são marcados automaticamente.
Use tags somente quando necessário. Evite proliferar as tags e torná-las complexas desnecessariamente.
Revise as tags periodicamente para verificar a relevância e a precisão. Remova ou modifique as tags desatualizadas conforme necessário.
Considere a possibilidade de criar tags com o Editor de Tags da AWS no Console de Gerenciamento da AWS. É possível usar o Editor de Tags para adicionar tags a vários recursos compatíveis da AWS ao mesmo tempo, inclusive aos recursos do Amazon S3. Para obter mais informações, consulte o Tag Editor no Guia do usuário dos Grupos de recursos da AWS.
Gerenciar tags para recursos do Amazon S3
Para ter mais informações sobre como gerenciar tags para recursos do Amazon S3, consulte os seguintes tópicos:
