本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Service Quotas 中标记资源
*标签* 是自定义的属性标签,您将其添加到 AWS 资源以便更轻松地确定、组织和搜索资源。每个标签具有两个部分:
+ 一个*标签键*之外的压缩算法(例如`CostCenter`、`Environment`,或者`Project`. 标签键区分大小写。
+ 一个*标签值*之外的压缩算法(例如`111122223333`要么`Production`. 您可以将标签的值设为空的字符串,但是不能将其设为空值。省略标签值与使用空字符串相同。与标签键一样,标签值区分大小写。
您可使用标签,按用途、所有者、环境或其他标准对资源进行分类。
标签可帮助您:
+ 标识和整理您的 AWS 资源。许多 Amazon Web Services 支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。
+ 跟踪您的 AWS 成本。您可以在 AWS 账单与成本管理 控制面板上激活这些标签。AWS 使用标签对您的成本进行分类,并向您提供每月成本分配报告。有关更多信息,请参阅《AWS Billing 用户指南》[https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/)中的[使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
+ 控制对 AWS 资源的访问。有关更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中的[使用标签控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
**Topics**
+ [支持在 Service Quotas 中标记的资源](#sq-supported-resources)
+ [标签限制](#sq-tagging-restrictions)
+ [标记 Service Quotas 资源所需的权限](#sq_tags_permissions)
+ [管理 Service Quotas 标签(控制台)](#sq_tags_managing-console)
+ [管理 Service Quotas 标签 (AWS CLI)](#sq_tags_managing-cli)
+ [管理 Service Quotas 标签 (AWSAPI)](#sq_tags_managing-api)
+ [使用 Service Quotas 标签控制访问](#sq_tags_access)
## 支持在 Service Quotas 中标记的资源
用于标记支持的 Service Quotas 资源**应用配额**,之前申请的增加配额获得批准支持.
**重要**
只有当配额具有应用的配额值时,才能对配额进行标记。无法标记具有默认配额值的配额。
请勿在标签中存储个人身份信息 (PII) 或其他机密或敏感信息。标签不适合用于私有或敏感数据。
## 标签限制
以下限制应用到 Service Quotas 资源的标签:
+ 您可以分配给资源的最大标签数量 - 50
+ 最大密钥长度 – 128 个 Unicode 字符
+ 最大值长度 – 256 个 Unicode 字符
+ 键和值的有效字符 - a-z、A-Z、0-9、空格和以下字符:\_ . : / = \+ - 和 @
+ 键和值区分大小写。
+ 请勿使用`aws:`作为键的前缀,因为它保留为AWS使用。
## 标记 Service Quotas 资源所需的权限
您必须配置权限以允许用户或角色管理 Service Quotas 中的标签。管理标签所需的权限通常与该任务的 API 操作相对应。
为确保用户和角色可以使用 Service Quotas 控制台进行标记操作,请附加`ServiceQuotasReadOnlyAccess` AWS托管策略到实体。有关更多信息,请参阅 *IAM 用户指南*中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
+ 要将标签添加到应用的配额,您必须拥有以下权限:
`servicequotas:ListTagsForResource`
`servicequotas:TagResource`
+ 要查看应用配额的标签,您必须拥有以下权限:
`servicequotas:ListTagsForResource`
+ 要从应用配额中删除现有标签,您必须拥有以下权限:
`servicequotas:UntagResource`
+ 要编辑应用配额的现有标签值,您必须拥有以下权限:
`servicequotas:ListTagsForResource`
`servicequotas:TagResource`
`servicequotas:UntagResource`
## 管理 Service Quotas 标签(控制台)
您可 Service Quotas 过使用AWS 管理控制台.
1. 登录到AWS 管理控制台然后在打开 Service Quotas 控制台[https://console.aws.amazon.com/servicequotas/home](https://console.aws.amazon.com/servicequotas/home).
1. 在导航页面中,选择**AWS服务**.
1. 选择一个AWS 服务从列表中输入,或在搜索框中键入服务名称。
1. 选择一项在**应用配额值**column.
1. 在 **Tags (标签)** 部分中,选择 **Manage tags (管理标签)**。此选项不适用于没有应用配额值的配额。
1. 您可以添加或删除标签,也可以编辑现有标签的标签值。在中输入标签的名称**密钥**. 您可以在 **Value** (值) 中添加可选的标签值。
1. 对标签进行所有更改后,选择**保存更改**.
如果操作成功,您将返回配额详细信息页面,您可以在其中验证更改。如果操作失败,请按照错误消息中的说明解决。
## 管理 Service Quotas 标签 (AWS CLI)
您可 Service Quotas 过使用AWS Command Line Interface(AWS CLI)。
+ 向应用的配额添加标签
`aws service-quotas [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/tag-resource.html)`
+ 查看已应用配额的标签
`aws service-quotas [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/list-tags-for-resource.html)`
+ 删除已应用配额的现有标签值
`aws service-quotas [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/untag-resource.html)`
## 管理 Service Quotas 标签 (AWSAPI)
您可以使用 Service Quotas API 管理 Service Quotas 标签。
+ 向应用的配额添加标签
`[TagResource](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_TagResource.html)`
+ 查看已应用配额的标签
`[ListTagsForResource](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_ListTagsForResource.html)`
+ 删除已应用配额的现有标签值
`[UntagResource](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_UntagResource.html)`
## 使用 Service Quotas 标签控制访问
要根据标签控制对 Service Quotas 资源的访问,您需要在[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)使用策略`aws:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}`,或者`aws:TagKeys`条件键。有关这些条件键的更多信息,请参阅[控制对 的访问AWS使用资源标签的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)中的*IAM 用户指南*.
例如,将以下策略附加到AWS Identity and Access Management(IAM) 用户或角色,该实体可以请求增加Amazon Athena使用标签键标记的已应用配额**Owner**和标记值**admin**.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["servicequotas:RequestServiceQuotaIncrease"],
"Resource": "arn:aws:servicequotas:*:*:athena/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "admin"}
}
}
]
}
```
您还可以将标签附加到 IAM 实体(用户或角色)以使用基于属性的访问控制 (ABAC)。ABAC 是一种授权策略,该策略基于属性来定义权限。标记实体和资源是 ABAC 的第一步。然后设计 ABAC 策略,以在主体的标签与他们尝试访问的资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[什么是 ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看包含设置 ABAC 步骤的教程,请参阅[IAM 教程:定义访问权限AWS根据标签资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)中的*IAM 用户指南*.