AWS moveu a funcionalidade de gerenciamento de tags do Tag Editor do AWS Resource Groups console para o Explorador de recursos da AWS console. Com o Resource Explorer, você pode pesquisar e filtrar recursos e, em seguida, gerenciar tags de recursos em um único console. Para saber mais sobre o gerenciamento de tags de recursos no Resource Explorer, consulte Gerenciando recursos no guia do usuário do Resource Explorer.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Organizations políticas de tags

Uma política de tag é um tipo de política que você cria no AWS Organizations. Você pode usar políticas de tag para ajudar a padronizar tags nos recursos das contas da sua organização. Para usar políticas de tag, recomendamos que você siga os fluxos de trabalho descritos em Conceitos básicos das políticas de tag no Guia do usuário do AWS Organizations . Conforme mencionado nessa página, os fluxos de trabalho recomendados incluem encontrar e corrigir tags não compatíveis. Para executar essas tarefas, você utiliza o console do Tag Editor.

Pré-requisitos e permissões

Antes de avaliar a conformidade com as políticas de tag no Tag Editor, você deve atender aos requisitos e definir as permissões necessárias.

Tópicos

Pré-requisitos para avaliar a conformidade com as políticas de tag
Permissões para avaliar a conformidade de uma conta
Permissões para avaliar a conformidade em toda a organização
Política de bucket do Amazon S3 para armazenamento de relatórios

Pré-requisitos para avaliar a conformidade com as políticas de tag

A avaliação da compatibilidade com políticas de tag requer o seguinte:

Primeiro, você deve habilitar o recurso e criar e anexar políticas de tag. AWS Organizations Para obter mais informações, consulte as seguintes páginas do Guia do usuário do AWS Organizations :
Para encontrar tags não compatíveis nos recursos de uma conta, você precisa das credenciais de login dessa conta e das permissões listadas em Permissões para avaliar a conformidade de uma conta.
Para avaliar a conformidade em toda a organização, você precisa das credenciais de login da conta de gerenciamento da organização e das permissões listadas em Permissões para avaliar a conformidade em toda a organização . Você pode solicitar o relatório de conformidade somente do Leste dos Região da AWS EUA (Norte da Virgínia).

Permissões para avaliar a conformidade de uma conta

Encontrar tags não compatíveis nos recursos de uma conta requer as seguintes permissões:

organizations:DescribeEffectivePolicy: para obter o conteúdo da política de tag efetiva para a conta.
tag:GetResources: para obter uma lista de recursos que não estão em conformidade com a política de tag anexada.
tag:TagResources: para adicionar ou atualizar tags. Você também precisa de permissões específicas do serviço para criar tags. Por exemplo, para marcar recursos no Amazon Elastic Compute Cloud (Amazon EC2), você precisa de permissões paraec2:CreateTags.
tag:UnTagResources: para remover uma tag. Você também precisa de permissões específicas do serviço para remover as tags. Por exemplo, para desmarcar recursos na Amazon EC2, você precisa de permissões paraec2:DeleteTags.

O exemplo de política AWS Identity and Access Management (IAM) a seguir fornece permissões para avaliar a conformidade de tags de uma conta.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre as políticas e as permissões do IAM, consulte o Guia do usuário do IAM.

Permissões para avaliar a conformidade em toda a organização

A avaliação da conformidade em toda a organização com as políticas de tag requer as seguintes permissões:

organizations:DescribeEffectivePolicy: para obter o conteúdo da política de tag que está anexada à organização, unidade organizacional (UO) ou conta.
tag:GetComplianceSummary: para obter um resumo dos recursos não compatíveis em todas as contas da organização.
tag:StartReportCreation: para exportar os resultados da avaliação de conformidade mais recente para um arquivo. A conformidade em toda a organização é avaliada a cada 48 horas.
tag:DescribeReportCreation: para verificar o status de criação do relatório.
s3:ListAllMyBuckets: para ajudar a acessar o relatório de conformidade em toda a organização.
s3:GetBucketAcl: para inspecionar a lista de controle de acesso (ACL) do bucket do Amazon S3 que recebe o relatório de conformidade.
s3:GetObject: para recuperar o relatório de conformidade do bucket do Amazon S3 de propriedade do serviço.
s3:PutObject: para colocar o relatório de conformidade no bucket do Amazon S3 especificado.

Se o bucket do Amazon S3 em que o relatório está sendo entregue for criptografado via SSE-KMS, você também deverá ter a kms:GenerateDataKey permissão para esse bucket.

O exemplo de política do IAM a seguir fornece permissões para avaliar a conformidade em toda a organização. Substitua cada um placeholder por suas próprias informações:

bucket_name: nome do bucket do Amazon S3.
organization_id: ID da sua organização.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation",
                "tag:GetComplianceSummary",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetBucketAclForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket_name",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GetObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "PutObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "StringLike": {
                    "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
                }
            }
        }
    ]
}

Para obter mais informações sobre as políticas e as permissões do IAM, consulte o Guia do usuário do IAM.

Política de bucket do Amazon S3 para armazenamento de relatórios

Para criar um relatório de conformidade para toda a organização, a identidade que você usa para chamar a API StartReportCreation deve ter acesso a um bucket do Amazon Simple Storage Service (Amazon S3) na região Leste dos EUA (Norte da Virgínia) para armazenar o relatório. As políticas de tag usam as credenciais da identidade de chamada para entregar o relatório de conformidade ao bucket especificado.

Se o bucket e a identidade que estão sendo usados para chamar a API StartReportCreation pertencerem à mesma conta, políticas adicionais de bucket do Amazon S3 não serão necessárias para esse caso de uso.

Se a conta associada à identidade usada para chamar a API StartReportCreation for diferente da conta proprietária do bucket do Amazon S3, a política de bucket a seguir deverá ser anexada ao bucket. Substitua cada um placeholder por suas próprias informações:

bucket_name: nome do bucket do Amazon S3.
organization_id: ID da sua organização.
identity_ARN: o ARN da identidade do IAM usada para chamar a API StartReportCreation.


{
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "CrossAccountTagPolicyACL", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::bucket_name"
         }, 
         { 
            "Sid": "CrossAccountTagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:PutObject", 
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*"
         } 
    ] 
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar tags nas políticas do IAM

Avaliação da conformidade de uma conta