Casos de uso do Resource Tagger no AMS Accelerate - Guia do usuário do AMS Accelerate
Visualizando as tags aplicadas pelo Resource TaggerUsando o Resource Tagger para criar tagsImpedindo que o Resource Tagger modifique recursosExemplo de perfil de configuraçãoMesclando a configuração padrãoDesabilitando a configuração padrãoRemovendo tags aplicadas pelo Resource TaggerVisualizando ou fazendo alterações na configuração do Resource TaggerImplantando alterações de configuraçãoConfigurando o Terraform para ignorar as tags do Resource TaggerVisualizando o número de recursos gerenciados pelo Resource Tagger

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Casos de uso do Resource Tagger no AMS Accelerate

Esta seção lista as ações comumente executadas com o Resource Tagger.

Visualizando as tags aplicadas pelo Resource Tagger

Todas as tags aplicadas pelo Resource Tagger têm o prefixo de chave ams:rt:. Por exemplo, a definição de tag a seguir resulta em uma tag com a chave ams:rt:sampleKey e o valor sampleValue. Todas as tags com esse prefixo são tratadas como parte do Resource Tagger.

{
	"Key": "sampleKey",
	"Value": "sampleValue"
}
Importante

Se você criar manualmente sua própria tag com o prefixo ams:rt:, ela será considerada gerenciada pelo Resource Tagger. Isso significa que, se o recurso for gerenciado pelo Resource Tagger, mas os perfis de configuração não indicarem que a tag deve ser aplicada, o Resource Tagger removerá sua tag adicionada manualmente. Se você marcar manualmente os recursos gerenciados pelo Resource Tagger, não use o prefixo ams:rt: para as chaves de tag.

Usando o Resource Tagger para criar tags

O AMS Accelerate Resource Tagger é um componente implantado em sua conta durante a integração do AMS Accelerate. O Resource Tagger tem um conjunto configurável de regras que definem como seus recursos devem ser marcados e, em seguida, aplica essas regras, adicionando e removendo automaticamente tags nos recursos para garantir que estejam em conformidade com suas regras.

Se você quiser usar o Resource Tagger para marcar seus recursos, consulteAcelere o marcador de recursos.

Veja a seguir um exemplo de trecho de configuração do Resource Tagger que adiciona a tag ams:rt:ams-managed com o valor true para todas as instâncias da Amazon. EC2 A tag ams:rt:ams-managed permite que você tenha seus recursos monitorados pelo AMS Accelerate.

{
    "AWS::EC2::Instance": {
        "SampleConfigurationBlock": {
            "Enabled": true,
            "Filter": {
                "Platform": "*"
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Atenção

Tenha cuidado ao especificar o nome da sua nova configuração (SampleConfigurationBlockno exemplo fornecido), pois você pode inadvertidamente substituir a configuração gerenciada pelo AMS com o mesmo nome.

Impedindo que o Resource Tagger modifique recursos

O Resource Tagger pode ser configurado para um modo somente leitura que impede que ele adicione ou remova quaisquer tags em seus recursos. Isso é útil se você quiser fornecer seu próprio mecanismo de marcação.

No modo somente leitura, o Resource Tagger ainda examina as regras de marcação que estão sendo especificadas nos perfis gerenciado e de configuração do cliente e verifica os recursos que não atendem a essas regras de marcação. Todos os recursos não compatíveis são apresentados. AWS Config O Regras do AWS Config que você pode procurar tem o AMSResourceTagger- prefixo. Por exemplo, a AMSResourceTagger-EC2Instance AWS Config regra avalia se as tags apropriadas são criadas para AWS::EC2::Instance os recursos com base no perfil de configuração.

O Resource Tagger para nesse momento e não faz nenhuma alteração em seus recursos (não adiciona nem remove tags).

Você pode ativar o modo somente leitura modificando o perfil de configuração do cliente para incluir a ReadOnlychave no bloco Opções. Por exemplo, o trecho de perfil de configuração a seguir mostra como isso pode parecer:

{
    "Options": {
        "ReadOnly": true
    },
    "AWS::EC2::Instance": {
        [... the rest of your configuration ...]
    }
}

O Resource Tagger reagiria a essa nova configuração assim que terminasse a implantação e pararia de adicionar e remover tags nos recursos.

nota

Para reativar a modificação da tag, altere o ReadOnlyvalor para false ou remova completamente a chave, pois o valor padrão é false.

Para obter mais informações sobre a configuração de OpçõesSintaxe e estrutura, consulte a seguir.

Exemplo de perfil de configuração

O exemplo de documento de perfil a seguir especifica que todas as EC2 instâncias do Windows que fazem parte de uma CloudFormation pilha stack-* sejam gerenciadas pelo AMS Accelerate; no entanto, exclui explicitamente uma instância específica com ID i-00000000000000001. EC2 

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {  
                "Fn::AND": [
                    {
                        "Platform": "Windows"
                    },
                    {
                        "Tag": {
                            "Key": "aws:cloudformation:stack-name",
                            "Value": "stack-*"
                        }
                    },
                    {
                        "Fn::NOT": {
                            "InstanceId": "i-00000000000000001"
                        }
                    }
                ]
            },
            "Tags": [
                {
                    "Key": "ams:rt:ams-managed",
                    "Value": "true"
                }
            ]
        }
    }
}
Atenção

Tenha cuidado ao especificar o nome da sua nova configuração (SampleConfigurationBlockno exemplo fornecido), pois você pode inadvertidamente substituir a configuração gerenciada pelo AMS com o mesmo nome.

Mesclando a configuração padrão

O perfil de configuração padrão é fornecido pelo AMS Accelerate no momento da integração da conta. Esse perfil fornece regras padrão que são implantadas em sua conta.

Embora você não possa modificar o perfil de configuração padrão, você pode substituir os padrões especificando um bloco de configuração em seu perfil de configuração de personalização com o mesmo configurationId do bloco de configuração padrão. Se você fizer isso, seu bloco de configuração substituirá o bloco de configuração padrão.

Por exemplo, considere o seguinte documento de configuração padrão:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Para alterar o valor da tag aplicada aqui de SampleValueA para SampleValueB e fazer com que a tag seja aplicada a todas as instâncias, não apenas às instâncias do Windows, você forneceria o seguinte perfil de configuração de personalização:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "*"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueB"
			}]
		}
	}
}
Importante

Lembre-se de implantar suas alterações de configuração depois de fazê-las. Para obter mais informações, consulte Implantando alterações de configuração. No SSM AppConfig, você deve implantar uma nova versão da configuração depois de criá-la.

Desabilitando a configuração padrão

Você pode desativar uma regra de configuração padrão adicionando um bloco de configuração com o mesmo configurationId ao seu perfil de configuração de personalização e atribuindo ao campo Enabled o valor false.

Por exemplo, se a seguinte configuração estiver presente no perfil de configuração padrão:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": true,
			"Filter": {
				"Platform": "Windows"
			},
			"Tags": [{
				"Key": "my-tag",
				"Value": "SampleValueA"
			}]
		}
	}
}

Você pode desativar essa regra de marcação incluindo o seguinte em seu perfil de configuração de personalização:

{
	"AWS::EC2::Instance": {
		"AMSManagedBlock1": {
			"Enabled": false
		}
	}
}
Importante

Lembre-se de implantar suas alterações de configuração depois de fazê-las; para obter informações, consulteImplantando alterações de configuração. No SSM AppConfig, você deve implantar uma nova versão da configuração depois de criá-la.

Removendo tags aplicadas pelo Resource Tagger

Todas as tags prefixadas com ams:rt são removidas pelo Resource Tagger se as tags não existirem nos perfis de configuração ou, se existirem, se o filtro não corresponder. Isso significa que você pode remover as tags aplicadas pelo Resource Tagger seguindo um destes procedimentos:

  • Modificando a seção de configuração de personalização que define a tag.

  • Adicionar uma exceção para os recursos específicos para que eles não correspondam mais ao filtro.

Por exemplo: se uma instância do Linux tiver as seguintes tags:

"Tags": [{
    "Key": "ams:rt:MyOwnTag",
    "Value": true
},{
    "Key": "myTag",
    "Value": true
}]

E você implanta o seguinte perfil de configuração do Resource Tagger:

{
    "AWS::EC2::Instance": {
        "AMSMonitoringWindows": {
            "Enabled": true,
            "Filter": {
                "Platform": "Windows"
            },
            "Tags": [{
                "Key": "ams:rt:ams-managed",
                "Value": "true"
            }]
        }
    }
}

O Resource Tagger reage às novas alterações de configuração, e a única tag na instância se torna:

 "Tags": [{
     "Key": "myTag",
     "Value": true
 }]
Atenção

Tenha cuidado ao especificar o nome da sua nova configuração (SampleConfigurationBlockno exemplo fornecido), pois você pode inadvertidamente substituir a configuração gerenciada pelo AMS com o mesmo nome.

Importante

Lembre-se de implantar suas alterações de configuração depois de fazê-las; para obter informações, consulteImplantando alterações de configuração. No SSM AppConfig, você deve implantar uma nova versão da configuração depois de criá-la.

Visualizando ou fazendo alterações na configuração do Resource Tagger

Os dois perfis de configuração JSON, AMSManagedTags e CustomerManagedTags, implantados em sua conta AppConfig na AWS durante a integração e residência no aplicativo AMSResource Tagger e no AMSInfrastructureambiente, podem ser revisados por meio da API da. AppConfig GetConfiguration

Veja a seguir um exemplo dessa GetConfiguration chamada:

aws appconfig get-configuration 
 --application AMSResourceTagger 
 --environment AMSInfrastructure 
 --configuration AMSManagedTags 
 --client-id ANY_STRING
 outfile.json

Aplicação: unidade AppConfig lógica para fornecer recursos; para o Resource Tagger, esse é o AMSResource Tagger.

  • Meio ambiente: AMSInfrastructure.

  • Configuração: para visualizar as definições de tag padrão do AMS Accelerate, o valor é AMSManaged Tags, enquanto para visualizar as definições de tag do cliente, o valor é CustomerManagedTags.

  • ID do cliente: o identificador exclusivo da instância do aplicativo, que pode ser qualquer string.

  • As definições da tag podem então ser visualizadas no arquivo de saída especificado, neste caso, outfile.json.

As definições de alarme podem então ser visualizadas no arquivo de saída especificado, neste caso, outfile.json.

Você pode ver qual versão da configuração foi implantada em sua conta visualizando as implantações anteriores no AMSInfrastructureambiente.

Para substituir as regras de tag:

Qualquer uma das regras de tag existentes pode ser substituída atualizando o perfil de personalização com AWS CloudFormation by Implantando um perfil de configuração com o AWS CloudFormation for Accelerate ou, ou diretamente usando AppConfig a API. CreateHostedConfigurationVersion Usar o mesmo configurationId como regra de tag de configuração padrão substitui a regra padrão e aplica a regra personalizada em seu lugar.

Para implantar as alterações feitas no CustomerManagedTagsdocumento:

Depois de fazer alterações no perfil de configuração de personalização, você deve implantar as alterações para eles. Para implantar as novas alterações, AppConfig a StartDeploymentAPI deve ser executada usando o AWS AppConfig console ou a CLI.

Implantando alterações de configuração

Depois que a personalização for concluída, essas alterações deverão ser implantadas por meio da AWS AppConfig StartDeploymentAPI. As instruções a seguir mostram como implantar usando AWS CLI o. Além disso, você pode usar o AWS Management Console para fazer essas alterações. Para obter informações, consulte Etapa 5: Implantação de uma configuração.

aws appconfig start-deployment
--application-id <application_id>
--environment-id <environment_id>
--deployment-strategy-id <deployment_strategy_id>
--configuration-profile-id <configuration_profile_id>
--configuration-version 1

  • ID do aplicativo: O ID do aplicativo AMSResource Tagger. Obtenha isso com a chamada de ListApplicationsAPI.

  • ID do ambiente: a ID do ambiente; obtenha isso com a chamada ListEnvironmentsda API.

  • ID da estratégia de implantação: a ID da estratégia de implantação; obtenha isso com a chamada ListDeploymentStrategiesda API.

  • ID do perfil de configuração: o ID do perfil de configuração de CustomerManagedTags; obtenha isso com a chamada da ListConfigurationProfilesAPI.

  • Versão de configuração: a versão do perfil de configuração que você pretende implantar.

Importante

O Resource Tagger aplica as tags conforme especificado nos perfis de configuração. Todas as modificações manuais feitas (com o ou CloudWatch CLI/SDK) nas tags de recursos são automaticamente revertidas AWS Management Console, portanto, certifique-se de que suas alterações sejam definidas por meio do Resource Tagger. Para saber quais tags são criadas pelo Resource Tagger, procure as chaves de tag prefixadas com. ams:rt:

Restrinja o acesso à implantação com as ações da StopDeploymentAPI StartDeploymente às ações da API a usuários confiáveis que entendam as responsabilidades e as consequências da implantação de uma nova configuração em seus alvos.

Para saber mais sobre como usar AWS AppConfig recursos para criar e implantar uma configuração, consulte a documentação em Como trabalhar com a AWS AppConfig.

Configurando o Terraform para ignorar as tags do Resource Tagger

Se você usa o Terraform para provisionar seus recursos e quiser usar o Resource Tagger para marcar seus recursos, as tags do Resource Tagger podem ser identificadas como deriva pelo Terraform.

Você pode configurar o Terraform para ignorar todas as tags do Resource Tagger usando o bloco de configuração do ciclo de vida ou o bloco de configuração global ignore_tags. Para obter mais informações, consulte a documentação do Terraform sobre marcação de recursos em Marcação de recursos.

O exemplo a seguir mostra como criar uma configuração global para ignorar todas as tags que começam com o prefixo ams:rt: da tag Resource Tagger:

provider "aws" {
  # ... potentially other configuration ...

  ignore_tags {
    key_prefixes = ["ams:rt:"]
  }
}

Visualizando o número de recursos gerenciados pelo Resource Tagger

O Resource Tagger envia métricas a cada hora para a Amazon CloudWatch, no AMS/ResourceTagger namespace. As métricas são emitidas somente para tipos de recursos compatíveis com o Resource Tagger.

Nome da métrica Dimensões Descrição
ResourceCount Componente, ResourceType

Número de recursos (do tipo de recurso especificado) implantados nessa região.

Unidades: contagem

ResourcesMissingManagedTags Componente, ResourceType

Número de recursos (do tipo de recurso especificado) que exigem tags gerenciadas, de acordo com os perfis de configuração, mas ainda não foram marcados pelo Resource Tagger.

Unidades: contagem

UnmanagedResources Componente, ResourceType

Número de recursos (do tipo de recurso especificado) sem tags gerenciadas aplicadas pelo Resource Tagger. Normalmente, esses recursos não correspondem a nenhum bloco de configuração do Resource Tagger ou são explicitamente excluídos dos blocos de configuração.

Unidades: contagem

MatchingResourceCount Componente ResourceType, ConfigClauseName

Número de recursos (do tipo de recurso especificado) que correspondem ao bloco de configuração do Resource Tagger. Para que um recurso corresponda ao bloco de configuração, o bloco deve estar ativado e o recurso deve corresponder ao filtro do bloco.

Unidades: contagem

Essas métricas também podem ser visualizadas como gráficos no painel AMS-Resource-Tagger-Reporting-Dashboard. Para ver o painel, no console de CloudWatch gerenciamento da Amazon, selecione AMS-Resource-Tagger-Reporting-Dashboard. Por padrão, os gráficos nesse painel exibem os dados do período anterior de 12 horas.

O AMS Accelerate implanta CloudWatch alarmes em sua conta para detectar aumentos significativos no número de recursos não gerenciados, por exemplo, recursos excluídos do gerenciamento pelo AMS Resource Tagger. As operações do AMS investigarão aumentos nos recursos não gerenciados que excedam: três recursos do mesmo tipo ou um aumento de 50% em relação a todos os recursos do mesmo tipo. Se a alteração não parecer deliberada, a AMS Operations poderá entrar em contato com você para analisar a alteração.