本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

AWS Organizations — 标签政策

中的策略 AWS Organizations 允许您在组织 AWS 账户 中应用其他类型的治理。标签策略是您如何以 JSON 形式表达您的标记架构，以便平台可以在您的 AWS 环境中报告和选择性地强制执行该架构。标签策略定义了特定资源类型的标签密钥可接受的值。该策略可以采用值列表的形式，也可以采用前缀后加通配符 (*) 的形式。简单前缀法不如离散值列表严格，但维护要求较低。

以下示例说明了如何定义标记策略来验证给定密钥可接受的值。根据架构的人性化表格定义，您可以将这些信息转录到一个或多个标签策略中。可以使用单独的策略来支持授权所有权，或者某些策略可能仅适用于特定场景。

ExampleInc-CostAllocation .json

以下是报告成本分配标签的标签策略示例：

{
  "tags": {
    "example-inc:cost-allocation:ApplicationId": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:ApplicationId"
      },
      "tag_value": {
        "@@assign": [
          "DataLakeX",
          "RetailSiteX"
        ]
      }
    },
    "example-inc:cost-allocation:BusinessUnitId": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:BusinessUnitId"
      },
      "tag_value": {
        "@@assign": [
          "Architecture",
          "DevOps",
          "FinanceDataLakeX"
        ]
      }
    },
    "example-inc:cost-allocation:CostCenter": {
      "tag_key": {
        "@@assign": "example-inc:cost-allocation:CostCenter"
      },
      "tag_value": {
        "@@assign": [
          "123-*"
        ]
      }
    }
  }
}

ExampleInc-DisasterRecovery .json

以下是报告灾难恢复标签的标签策略示例：

{
    "tags": {
        "example-inc:disaster-recovery:rpo": {
            "tag_key": {
                "@@assign": "example-inc:disaster-recovery:rpo"
            },
            "tag_value": {
                "@@assign": [
                    "6h",
                    "24h"
                ]
            }
        }        
    }
}

在此示例中，ExampleInc-CostAllocation标签策略附加到 Workloads OU，因此适用于Prod和Test子账号中的所有账户 OUs。同样，ExampleInc-DisasterRecovery 标签策略附加到 Prod OU，因此仅适用于该 OU 以下的账户。使用多个账户组织环境白皮书更详细地探讨了推荐的 OU 结构。

查看图中的 marketing-prod 账户，两个标签策略都适用于该账户，因此我们就有了有效策略的概念，即适用于账户的特定类型的策略的卷积。如果您主要是手动管理资源，则可以通过访问控制台中的资源组和标签编辑器：标签策略来查看有效策略。如果您使用基础设施即代码 (IaC) 或脚本来管理资源，则可以使用 AWS::Organizations::DescribeEffectivePolicy API 调用。