Imponha com CloudFormation Aplique com o Terraform Imponha com Pulumi

Aplique a “chave de tag necessária” com o IaC

As políticas de tags ajudam você a manter a marcação consistente em suas implantações de infraestrutura como código (IaC). Com as “Chaves de tag obrigatórias”, você pode garantir que todos os recursos criados por meio de ferramentas de IaC CloudFormation, como Terraform e Pulumi, incluam as tags obrigatórias definidas pela sua organização.

Esse recurso verifica suas implantações de IaC em relação às políticas de tags da sua organização antes que os recursos sejam criados. Quando faltam as tags necessárias em uma implantação, você pode definir suas configurações de IaC para avisar suas equipes de desenvolvimento ou impedir totalmente a implantação. Essa abordagem proativa mantém a conformidade da marcação a partir do momento em que os recursos são criados, em vez de exigir uma correção manual posterior. A fiscalização funciona em várias ferramentas de IaC usando uma única definição de política de tag, eliminando a necessidade de configurar regras de marcação separadas para cada ferramenta que sua organização usa.

Imponha com CloudFormation

nota

Para aplicar as chaves de tag necessárias com CloudFormation, você deve especificar as tags necessárias para seu tipo de recurso nas políticas de tags. Consulte a seção Relatórios para “Chave de tag obrigatória” para obter mais detalhes.

Função de execução de configuração para o AWS:TagPolicies:: TaggingComplianceValidator Hook

Antes de ativar o AWS::TagPolicies::TaggingComplianceValidator gancho, você deve criar uma função de execução que o gancho use para acessar AWS os serviços. A função deve ter a seguinte Política de Confiança anexada:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}

A função de execução também deve ter uma Política de Função com pelo menos as seguintes permissões:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "tag:ListRequiredTags"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre como configurar funções de execução para extensões públicas, consulte Configurar uma função de execução com permissões do IAM e uma política de confiança para acesso a extensões públicas no Guia CloudFormation do usuário.

Ative o AWS::TagPolicies: TaggingComplianceValidator Gancho

Importante

Antes de continuar, verifique se você tem as permissões necessárias para trabalhar com Hooks e visualizar os controles proativos no CloudFormation console. Para obter mais informações, consulte Conceder permissões do IAM para CloudFormation Hooks.

Depois de atualizar sua política de tags, você deve ativar o AWS::TagPolicies::TaggingComplianceValidator gancho em cada AWS conta e região em que deseja impor a conformidade de marcação exigida.

Esse AWS gancho gerenciado pode ser configurado em dois modos:

Modo de aviso: permite que as implantações continuem, mas gera avisos quando as tags necessárias estão ausentes
Modo de falha: bloqueia implantações sem as tags necessárias

Para ativar o gancho usando a AWS CLI:


aws cloudformation activate-type \
    --type HOOK \
    --type-name AWS::TagPolicies::TaggingComplianceValidator \
    --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \
    --publisher-id aws-hooks \
    --region us-east-1


aws cloudformation set-type-configuration \
  --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \
  --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \
  --region us-east-1

regionSubstitua pela sua AWS região de destino e mude "FailureMode":"FAIL" para "FailureMode":"WARN" se preferir o modo de aviso.

Ative o AWS::TagPolicies:: TaggingComplianceValidator Conecte-se em várias contas e regiões com CloudFormation StackSets

Para organizações com várias AWS contas, você pode usar AWS CloudFormation StackSets para ativar o gancho de conformidade de marcação em todas as suas contas e regiões simultaneamente.

CloudFormation StackSets permitem que você implante o mesmo CloudFormation modelo em várias contas e regiões com uma única operação. Essa abordagem garante a aplicação consistente da marcação em toda a AWS organização sem exigir configuração manual em cada conta.

Para usar CloudFormation StackSets para essa finalidade:

Crie um CloudFormation modelo que ative o gancho de conformidade de marcação
Implante o modelo usando CloudFormation StackSets para segmentar suas unidades organizacionais ou contas específicas
Especifique todas as regiões em que você deseja que a fiscalização seja ativada

A CloudFormation StackSets implantação lidará automaticamente com o processo de ativação em todas as contas e regiões especificadas, garantindo conformidade uniforme de marcação em toda a organização. Para saber como implantar CloudFormation Hooks em uma organização com gerenciamento de serviços CloudFormation StackSets, consulte este blog.AWS

Implante o CloudFormation modelo abaixo usando CloudFormation StackSets para ativar o AWS::TagPolicies:: TaggingComplianceValidator Hook para contas em sua organização.

Importante

Este gancho funciona apenas como um StackHook. Não tem efeito quando usado como um gancho de recursos.


Resources:
  # Activate the AWS-managed hook type
  HookTypeActivation:
    Type: AWS::CloudFormation::TypeActivation
    Properties:
        AutoUpdate: True
        PublisherId: "AWS"
        TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
  
  # Configure the hook
  HookTypeConfiguration:
    Type: AWS::CloudFormation::HookTypeConfig
    DependsOn: HookTypeActivation
    Properties:
      TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
      TypeArn: !GetAtt HookTypeActivation.Arn
      Configuration: !Sub |
        {
          "CloudFormationConfiguration": {
            "HookConfiguration": {
              "TargetStacks": "ALL",
              "TargetOperations": ["STACK"],
              "Properties": {},
              "FailureMode": "Warn",
              "TargetFilters": {
                "Actions": [
                    "CREATE",
                    "UPDATE"
                ]}
            }
          }
        }

nota

Para obter mais informações sobre como executar CloudFormation hooks, consulte Ativar um Hook proativo baseado em controle em sua conta.

Aplique com o Terraform

Para aplicar as chaves de tag necessárias com o Terraform, você precisa atualizar seu Terraform AWS Provider para 6.22.0 ou superior e habilitar a validação da política de tags na configuração do seu provedor. Para obter detalhes de implementação e exemplos de configuração, consulte a documentação do Terraform AWS Provider sobre a aplicação da política de tags.

Imponha com Pulumi

Para aplicar as chaves de tag necessárias com o Pulumi, você precisa habilitar o pacote de políticas de relatórios de políticas de tags no Pulumi Cloud e configurar sua função do IAM com as permissões de leitura da política de tags. Para obter detalhes de implementação e exemplos de configuração, consulte a documentação do Pulumi sobre a aplicação da política de tags.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Imponha a consistência da marcação

Sintaxe e exemplos de políticas de tag