本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 成本分配或屬性型存取控制 (ABAC) 的標記
AWS 標籤是存放中繼資料的鍵/值對。您可以將標籤連接至 Amazon S3 資源,例如儲存貯體。您可以在於現有資源上建立或管理標籤時,標記資源。除了標準 S3 API 請求費率之外,使用標籤不會產生額外費用。如需詳細資訊,請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。
## 標籤的運作方式
Amazon S3 支援兩種類型的標籤:
+ **AWS產生的標籤:** AWS 會自動套用這些標籤,您無法修改或移除標籤。若要進一步了解 AWS產生的標籤,請參閱[使用 AWS產生的標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/aws-tags.html)。
+ **使用者定義的標籤:**您可以將這些標籤套用至 S3 資源,並加以管理。
### 使用者定義的標籤
使用者定義的標籤是您用來標記資源的標籤鍵值對。使用者定義的標籤包含必要的索引鍵和選用值。這些是使用者定義標籤的主要元件:
#### 標籤鍵
標籤金鑰是標籤必要的名稱。例如,`project` 是下列標籤鍵值對中的標籤鍵:
| 金鑰 | 值 |
| --- | --- |
| project | Trinity |
標籤索引鍵是區分大小寫的字串,必須包含 1 到 128 個 Unicode 字元。標籤索引鍵只能包含 Unicode 字母或數字、空格和下列符號:
+ `_` - 底線
+ `.` - 句號
+ `:` - 冒號
+ `/` - 正斜線
+ `=` - 等號
+ `+` - 加號
+ `@` - @ 符號
+ `-` - 破折號
#### 標籤值
標籤值是選用的字串。例如,`Trinity` 是此標籤鍵值對中的標籤值:
| 金鑰 | 值 |
| --- | --- |
| project | Trinity |
標籤值是區分大小寫的字串,可包含介於 0 到 256 個之間的 Unicode 字元數。值只能包含 Unicode 字母或數字、空格和下列符號:
+ `_` - 底線
+ `.` - 句號
+ `:` - 冒號
+ `/` - 正斜線
+ `=` - 等號
+ `+` - 加號
+ `@` - @ 符號
+ `-` - 破折號
如需使用者定義標籤允許的字元數及其他限制的詳細資訊,請參閱《AWS 帳單與成本管理 使用者指南》**中的[使用者定義標籤限制](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/custom-tags.html#allocation-tag-restrictions)。
#### 標籤集
每個 S3 資源都有一個*標籤集*,其中包含指派至該儲存貯體的所有標籤索引鍵和值配對。標籤集可以是空的,也可以包含多達 50 個使用者定義的標籤,但標記物件的情況除外。每物件最多只能有 10 個標籤。
雖然標籤集中的每個索引鍵都必須是唯一的,但您可以多次使用相同的值。例如,對於下列兩個標籤鍵,您可以具有相同的值 `Trinity`:
| 金鑰 | 值 |
| --- | --- |
| project | Trinity |
| cost-center | Trinity |
當您新增具相同索引鍵的標籤,並將其當作現有標籤時,新值會覆寫舊值。
AWS 不會將任何語意意義套用至您的標籤。我們會將標籤嚴格解譯為字元字串。
若要新增、列出、修改或刪除標籤,您可以使用 Amazon S3 主控台、 AWS 命令列界面 (AWS CLI) 或 Amazon S3 API。
## 使用標籤的常見方式
將標籤用於您的 S3 資源:
1. **成本分配** – 依照 AWS 帳單與成本管理中的儲存貯體標籤追蹤儲存成本。
1. **屬性型存取控制 (ABAC)** – 調整存取權限,並根據其標籤授予 S3 資源的存取權。
**注意**
您可以將相同的標籤同時用於成本分配和存取控制。
### 使用成本分配標籤
利用為 S3 資源加上標籤並啟用這些標籤進行成本分配,追蹤您的 Amazon S3 儲存成本。
開始追蹤成本:
1. 將標籤新增至 S3 資源或使用現有的標籤。例如,您可以使用識別專案或一組專案的標籤來標記儲存貯體。
1. 在 AWS 帳單與成本管理 主控台中啟用成本分配的標籤。請參閱《AWS 帳單與成本管理 使用者指南》**中的[啟用使用者定義的成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)。您可以啟用使用者定義或 AWS產生的標籤。如需詳細資訊,請參閱[使用成本分配標籤組織和追蹤 AWS 成本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
AWS 使用啟用的標籤,在各種帳單和成本管理工具中組織您的資源成本,例如:
+ **成本分配報告**
提供啟用之標籤以整理為成本高階檢視表。如需詳細資訊,請參閱《AWS 使用者指南**》中的[使用每月成本分配報告](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html)。
+ **成本和用量報告(CUR)**
提供一組最詳細的 AWS 成本和用量資料,包括標籤型成本明細。如需詳細資訊,請參閱[什麼是 AWS 成本和用量報告?](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html) 《*AWS 資料匯出使用者指南*》中的 。
#### 使用標籤支援追蹤成本的 Amazon S3 資源
下列 Amazon S3 資源支援使用標籤追蹤儲存成本。
+ **S3 一般用途儲存貯體 **
如需詳細資訊,請參閱[搭配 S3 一般用途儲存貯體使用標籤](buckets-tagging.md)。
+ **S3 目錄儲存貯體**
如需詳細資訊,請參閱[搭配使用標籤和 S3 目錄儲存貯體](directory-buckets-tagging.md)。
+ **S3 資料表**
如需詳細資訊,請參閱[搭配 S3 資料表使用標籤](table-tagging.md)。
+ **S3 向量索引**
如需詳細資訊,請參閱[搭配 S3 向量索引使用標籤](vector-index-tagging.md)
### 使用屬性型存取控制 (ABAC) 的標籤
屬性型存取控制 (ABAC) 是一種授權策略,可根據屬性 (例如標籤) 定義權限。您可以將標籤連接至 AWS Identity and Access Management (IAM) 實體 (使用者或角色) 和 AWS 資源,例如 Amazon S3 存取點和目錄儲存貯體。然後,您可以使用存取控制政策中的標籤型條件來控制這些資源的權限,以便在滿足這些條件時允許或拒絕操作。
透過 ABAC,您可以在 AWS 組織、IAM 和 S3 資源政策中使用標籤型條件金鑰。對於企業,Amazon S3 中的 ABAC 支援跨多個 AWS 帳戶進行授權。
在 IAM 政策中,您可以使用[條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys),根據儲存貯體的標籤來控制對 S3 資源的存取。
**支援的條件索引鍵**
您可以針對支援 ABAC 的所有 Amazon S3 資源使用下列 AWS 條件金鑰。
+ `aws:ResourceTag/key-name`
+ `aws:RequestTag/key-name`
+ `aws:TagKeys`
有些資源支援其他 Amazon S3 條件索引鍵。如需可用於 ABAC 和範例政策之條件索引鍵的完整清單,請參閱資源的下列標記主題。
#### 支援 ABAC 的 Amazon S3 資源
下列 Amazon S3 資源支援使用標籤的屬性型存取控制 (ABAC)。
+ **S3 一般用途儲存貯體 **
如需詳細資訊,請參閱[搭配 S3 一般用途儲存貯體使用標籤](buckets-tagging.md)。
+ **存取點**
如需詳細資訊,請參閱[搭配使用標籤和一般用途儲存貯體的 S3 存取點](access-points-tagging.md)及[搭配使用標籤與目錄儲存貯體的 S3 存取點](access-points-db-tagging.md)。
+ **批次操作任務**
如需詳細資訊,請參閱[使用標籤控制存取和標記任務](batch-ops-job-tags.md)。
+ **S3 目錄儲存貯體**
如需詳細資訊,請參閱[搭配使用標籤和 S3 目錄儲存貯體](directory-buckets-tagging.md)。
+ **物件**
如需詳細資訊,請參閱[使用標籤為物件分類](object-tagging.md)。
+ **S3 存取授權**
如需詳細資訊,請參閱[管理 S3 存取授權的標籤](access-grants-tagging.md)。
+ **S3 Storage Lens 群組**
如需詳細資訊,請參閱[使用 Storage Lens 群組管理 AWS 資源標籤](storage-lens-groups-manage-tags.md)。
+ **S3 資料表儲存貯體和資料表**
如需詳細資訊,請參閱[搭配 S3 資料表儲存貯體使用標籤](table-bucket-tagging.md)及[搭配 S3 資料表使用標籤](table-tagging.md)。
+ **S3 Vector 儲存貯體和索引**
如需詳細資訊,請參閱[搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)及[搭配 S3 向量索引使用標籤](vector-index-tagging.md)。
## 規劃您的標記策略
我們建議您為每種資源類型建立符合您需求的標籤金鑰。使用一致的標籤金鑰組可讓您更輕鬆管理您的 資源。您可以根據您新增的標籤搜尋和篩選資源。如需如何實作有效資源標記策略的詳細資訊,請參閱[標記最佳實務 AWS 白皮書](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。
**標記 Amazon S3 資源的最佳實務**
當使用標籤時,建議您遵循下列最佳實務:
+ 記錄您組織中所有團隊遵循的標籤使用慣例。特別是,確保名稱具有描述性和一致性。例如,將格式 `environment:prod` 標準化,而不是使用 `env:production` 標記一些資源。
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。
+ 自動化標記以確保一致性。例如,您可以在 CloudFormation 範本中包含標籤。當您使用範本建立資源時,會自動標記資源。
+ 僅在必要時使用標籤。避免不必要的標籤擴散和複雜性。
+ 定期檢閱標籤的相關性和準確性。視需要移除或修改過時的標籤。
+ 考慮在 AWS 管理主控台中使用標籤編輯器建立 AWS 標籤。您可以使用標籤編輯器,同時將標籤新增至多個支援 AWS 的資源,包括 Amazon S3 資源。如需詳細資訊,請參閱 *AWS Resource Groups 使用者指南*中的[標籤編輯器](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html)。
## 管理 Amazon S3 資源的標籤
如需如何管理 Amazon S3 資源標籤的詳細資訊,請參閱下列內容:
+ [搭配使用標籤和一般用途儲存貯體的 S3 存取點](access-points-tagging.md)
+ [搭配使用標籤與目錄儲存貯體的 S3 存取點](access-points-db-tagging.md)
+ [使用標籤控制存取和標記任務](batch-ops-job-tags.md)
+ [搭配使用標籤和 S3 目錄儲存貯體](directory-buckets-tagging.md)
+ [使用成本分配 S3 儲存貯體標籤](CostAllocTagging.md)
+ [使用標籤為物件分類](object-tagging.md)
+ [管理 S3 存取授權的標籤](access-grants-tagging.md)
+ [使用 Storage Lens 群組管理 AWS 資源標籤](storage-lens-groups-manage-tags.md)
+ [搭配 S3 一般用途儲存貯體使用標籤](buckets-tagging.md).
+ [搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)
+ [搭配 S3 向量索引使用標籤](vector-index-tagging.md)