成本分配或屬性型存取控制 (ABAC) 的標記
AWS 標籤是存放中繼資料的鍵值對。您可以將標籤連接至 Amazon S3 資源,例如儲存貯體。您可以在於現有資源上建立或管理標籤時,標記資源。除了標準 S3 API 請求費率之外,使用標籤不會產生額外費用。如需詳細資訊,請參閱 Simple Storage Service (Amazon S3) 定價
標籤的運作方式
Amazon S3 支援兩種類型的標籤:
-
AWS 產生的標籤: AWS 會自動套用這些標籤,您無法修改或移除標籤。若要進一步了解 AWS 產生的標籤,請參閱使用 AWS 產生的標籤。
-
使用者定義的標籤:您可以將這些標籤套用至 S3 資源,並加以管理。
使用者定義的標籤
使用者定義的標籤是您用來標記資源的標籤鍵值對。使用者定義的標籤包含必要的索引鍵和選用值。這些是使用者定義標籤的主要元件:
標籤鍵
標籤金鑰是標籤必要的名稱。例如,project 是下列標籤鍵值對中的標籤鍵:
| 金錀 | 數值 |
|---|---|
project |
Trinity |
標籤索引鍵是區分大小寫的字串,必須包含 1 到 128 個 Unicode 字元。標籤索引鍵只能包含 Unicode 字母或數字、空格和下列符號:
_- 底線.- 句號:- 冒號/- 正斜線=- 等號+- 加號@- @ 符號-- 破折號
標籤值
標籤值是選用的字串。例如,Trinity 是此標籤鍵值對中的標籤值:
| 金錀 | 數值 |
|---|---|
project |
Trinity |
標籤值是區分大小寫的字串,可包含介於 0 到 256 個之間的 Unicode 字元數。值只能包含 Unicode 字母或數字、空格和下列符號:
_- 底線.- 句號:- 冒號/- 正斜線=- 等號+- 加號@- @ 符號-- 破折號
如需使用者定義標籤允許的字元數及其他限制的詳細資訊,請參閱《AWS 帳單與成本管理 使用者指南》中的使用者定義標籤限制。
標籤集
每個 S3 資源都有一個標籤集,其中包含指派至該儲存貯體的所有標籤索引鍵和值配對。標籤集可以是空的,也可以包含多達 50 個使用者定義的標籤,但標記物件的情況除外。每物件最多只能有 10 個標籤。
雖然標籤集中的每個索引鍵都必須是唯一的,但您可以多次使用相同的值。例如,對於下列兩個標籤鍵,您可以具有相同的值 Trinity:
| 金錀 | 數值 |
|---|---|
project |
Trinity |
cost-center |
Trinity |
當您新增具相同索引鍵的標籤,並將其當作現有標籤時,新值會覆寫舊值。
AWS 不會將任何語意意義套用至標籤。我們會將標籤嚴格解譯為字元字串。
若要新增、列出、編輯或刪除標籤,您可以使用 Amazon S3 主控台、AWS Command Line Interface (AWS CLI) 或 Amazon S3 API。
使用標籤的常見方式
將標籤用於您的 S3 資源:
-
成本分配 – 依照 AWS 帳單與成本管理 中的儲存貯體標籤追蹤儲存成本。
-
屬性型存取控制 (ABAC) – 調整存取權限,並根據其標籤授予 S3 資源的存取權。
注意
您可以將相同的標籤同時用於成本分配和存取控制。
使用成本分配標籤
利用為 S3 資源加上標籤並啟用這些標籤進行成本分配,追蹤您的 Amazon S3 儲存成本。
開始追蹤成本:
-
將標籤新增至 S3 資源或使用現有的標籤。例如,您可以使用識別專案或一組專案的標籤來標記儲存貯體。
-
在 AWS 帳單與成本管理 主控台中啟用成本分配標籤 請參閱《AWS 帳單與成本管理 使用者指南》中的啟用使用者定義的成本分配標籤。您可以啟用使用者定義或 AWS 產生的標籤。如需詳細資訊,請參閱使用 AWS 成本分配標籤組織和追蹤成本。
AWS 使用啟用的標籤,在各種帳單和成本管理工具中整理您的資源成本,例如:
-
成本分配報告
提供啟用之標籤以整理為成本高階檢視表。如需詳細資訊,請參閱《AWS 使用者指南》中的使用每月成本分配報告。
-
成本和用量報告(CUR)
提供一組最詳細的 AWS 成本和用量資料,包括標籤型成本明細。如需詳細資訊,請參閱《AWS 資料匯出使用者指南》中的什麼是 AWS 成本和用量報告?。
使用標籤支援追蹤成本的 Amazon S3 資源
下列 Amazon S3 資源支援使用標籤追蹤儲存成本。
一般用途儲存貯體
如需詳細資訊,請參閱使用成本分配 S3 儲存貯體標籤
目錄儲存貯體
如需更多詳細資訊,請參閱 搭配使用標籤和 S3 目錄儲存貯體。
使用屬性型存取控制 (ABAC) 的標籤
屬性型存取控制 (ABAC) 是一種授權策略,可根據屬性 (例如標籤) 定義權限。您可以將標籤連接至 AWS Identity and Access Management (IAM) 實體 (使用者或角色) 和 AWS 資源,例如 Amazon S3 Access Points 和目錄儲存貯體。然後,您可以使用存取控制政策中的標籤型條件來控制這些資源的權限,以便在滿足這些條件時允許或拒絕操作。
有了 ABAC,您就可以在 AWS Organizations、IAM 和 S3 資源政策中使用標籤型條件索引鍵。對企業而言,Amazon S3 中的 ABAC 支援跨多個 AWS 帳戶進行授權。
在 IAM 政策中,您可以使用條件索引鍵,根據儲存貯體的標籤來控制對 S3 資源的存取。
支援的條件索引鍵
您可以針對支援 ABAC 的所有 Amazon S3 資源,使用下列 AWS 條件索引鍵。
aws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys
有些資源支援其他 Amazon S3 條件索引鍵。如需可用於 ABAC 和範例政策之條件索引鍵的完整清單,請參閱資源的下列標記主題。
支援 ABAC 的 Amazon S3 資源
下列 Amazon S3 資源支援使用標籤的屬性型存取控制 (ABAC)。
存取點
如需詳細資訊,請參閱 搭配使用標籤和一般用途儲存貯體的 S3 存取點 及 搭配使用標籤與目錄儲存貯體的 S3 存取點。
批次操作任務
如需更多詳細資訊,請參閱 使用標籤控制存取和標記任務。
目錄儲存貯體
如需更多詳細資訊,請參閱 搭配使用標籤和 S3 目錄儲存貯體。
物件
如需更多詳細資訊,請參閱 使用標籤為物件分類。
-
S3 存取授權
如需更多詳細資訊,請參閱 管理 S3 存取授權的標籤。
-
S3 Storage Lens 群組
如需更多詳細資訊,請參閱 使用 Storage Lens 群組管理 AWS 資源標籤。
規劃您的標記策略
我們建議您為每種資源類型建立符合您需求的標籤金鑰。使用一致的標籤金鑰組可讓您更輕鬆的管理您的資源。您可以根據您新增的標籤搜尋和篩選資源。如需有關如何實作有效資源標記策略的詳細資訊,請參閱 標記最佳實 AWS 白皮書。
標記 Amazon S3 資源的最佳實務
當使用標籤時,建議您遵循下列最佳實務:
記錄您組織中所有團隊遵循的標籤使用慣例。特別是,確保名稱具有描述性和一致性。例如,將格式
environment:prod標準化,而不是使用env:production標記一些資源。重要
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。
自動化標記以確保一致性。例如,您可以在 CloudFormation 範本中包含標籤。當您使用範本建立資源時,會自動標記資源。
僅在必要時使用標籤。避免不必要的標籤擴散和複雜性。
定期檢閱標籤的相關性和準確性。視需要移除或修改過時的標籤。
考量在 AWS 管理主控台使用 AWS 標籤編輯器建立標籤。您可以使用標籤編輯器,同時將標籤新增至多個支援的 AWS 資源,包括 Amazon S3 資源。如需詳細資訊,請參閱 AWS Resource Groups 使用者指南中的標籤編輯器。
管理 Amazon S3 資源的標籤
如需如何管理 Amazon S3 資源標籤的詳細資訊,請參閱下列內容:
