AWS Organizations 標籤政策 - 標記 AWS 資源和標籤編輯器
先決條件和許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Organizations 標籤政策

標籤政策是您在 中建立的政策類型 AWS Organizations。您可以使用標籤政策來協助標準化組織中各資源的標籤。若要使用標籤政策,建議您遵循AWS Organizations 《 使用者指南》中的標籤政策入門中所述的工作流程。如該頁面所述,建議的工作流程包括尋找和更正不合規的標籤。若要完成這些任務,您可以使用標籤編輯器主控台。

先決條件和許可

您必須先符合需求並設定必要的許可,才能在標籤編輯器中評估標籤政策的合規性。

評估標籤政策合規性的先決條件

評估標籤政策的合規性需要下列項目:

評估帳戶合規性的許可

在帳戶的資源上尋找不合規標籤需要下列許可:

  • organizations:DescribeEffectivePolicy – 取得帳戶有效標籤政策的內容。

  • tag:GetResources – 取得不符合所連接標籤政策的資源清單。

  • tag:TagResources – 新增或更新標籤。您也需要服務特定的許可才能建立標籤。例如,若要標記 Amazon Elastic Compute Cloud (Amazon EC2) 中的資源,您需要 的許可ec2:CreateTags

  • tag:UnTagResources – 移除標籤。您也需要服務特定的許可才能移除標籤。例如,若要取消標記 Amazon EC2 中的資源,您需要 的許可ec2:DeleteTags

下列 example AWS Identity and Access Management (IAM) 政策提供評估帳戶標籤合規性的許可。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

如需有關 IAM 政策和許可的詳細資訊,請參閱 IAM 使用者指南

評估整個組織合規性的許可

評估整個組織的標籤政策合規性需要下列許可:

  • organizations:DescribeEffectivePolicy – 取得連接至組織、組織單位 (OU) 或帳戶的標籤政策內容。

  • tag:GetComplianceSummary – 取得組織中所有帳戶中不合規資源的摘要。

  • tag:StartReportCreation – 將最新的合規評估結果匯出至 檔案。整個組織的合規每 48 小時評估一次。

  • tag:DescribeReportCreation – 檢查報告建立的狀態。

  • s3:ListAllMyBuckets — 協助存取整個組織的合規報告。

  • s3:GetBucketAcl – 檢查接收合規報告的 Amazon S3 儲存貯體的存取控制清單 (ACL)。

  • s3:GetObject – 從服務擁有的 Amazon S3 儲存貯體擷取合規報告。

  • s3:PutObject – 將合規報告放在指定的 Amazon S3 儲存貯體中。

如果正在交付報告的 Amazon S3 儲存貯體是透過 SSE-KMS 加密,您還必須擁有該儲存貯體的 kms:GenerateDataKey 許可。

下列範例 IAM 政策提供評估整個組織合規性的許可。將每個預留位置取代為您自己的資訊:

  • bucket_name – 您的 Amazon S3 儲存貯體名稱

  • organization_id – 組織的 ID

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation",
                "tag:GetComplianceSummary",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetBucketAclForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket_name",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GetObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "PutObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "StringLike": {
                    "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
                }
            }
        }
    ]
}

如需有關 IAM 政策和許可的詳細資訊,請參閱 IAM 使用者指南

報告儲存的 Amazon S3 儲存貯體政策

若要建立整個組織的合規報告,您用來呼叫 StartReportCreation API 的身分必須能夠存取美國東部 (維吉尼亞北部) 區域中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體來存放報告。標籤政策使用呼叫身分的登入資料,將合規報告交付至指定的儲存貯體。

如果用於呼叫 StartReportCreation API 的儲存貯體和身分屬於同一個帳戶,則此使用案例不需要額外的 Amazon S3 儲存貯體政策。

如果與用來呼叫 StartReportCreation API 的身分相關聯的帳戶與擁有 Amazon S3 儲存貯體的帳戶不同,則必須將下列儲存貯體政策連接至儲存貯體。將每個預留位置取代為您自己的資訊:

  • bucket_name – 您的 Amazon S3 儲存貯體名稱

  • organization_id – 組織的 ID

  • identity_ARN – 用於呼叫 StartReportCreation API 的 IAM 身分 ARN

JSON
{
    "Version":"2012-10-17",		 	 	  
    "Statement": [ 
        { 
            "Sid": "CrossAccountTagPolicyACL", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::bucket_name"
         }, 
         { 
            "Sid": "CrossAccountTagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "identity_ARN"
            }, 
            "Action": "s3:PutObject", 
            "Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*"
         } 
    ] 
}