本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是標籤?
標籤是套用至資源的鍵/值對,用於保留該資源的中繼資料。每個標籤都是由索引鍵和選用值組成的標籤。目前並非所有服務和資源類型都支援標籤 (請參閱支援資源群組標記 API 的服務)。其他服務可能透過自己的 APIs支援標籤。請注意,標籤未加密,不應用於存放敏感資料,例如個人身分識別資訊 (PII)。
使用者使用 AWS CLI、API 或 建立並套用至 AWS 資源的標籤 AWS Management Console 稱為使用者定義的標籤。數個 AWS 服務,例如 AWS CloudFormation、Elastic Beanstalk 和 Auto Scaling,會自動將標籤指派給他們建立和管理的資源。這些金鑰稱為AWS 產生的標籤,通常字首為 aws。此字首不能用於使用者定義的標籤索引鍵。
可新增至 AWS 資源的使用者定義標籤數量有使用需求和限制。如需詳細資訊,請參閱《 AWS 一般參考指南》中的標籤命名限制和要求。 AWS 產生的標籤不會計入這些使用者定義的標籤限制。
表 1 – 使用者定義標籤索引鍵和值的範例
| 執行個體 ID | 標籤索引鍵 | 標籤值 |
|---|---|---|
i-01234567abcdef89a |
CostCenter
|
98765
|
Stack
|
Test
|
|
| i-12345678abcdef90b | CostCenter
|
98765
|
Stack
|
Production
|
表 2 – AWS 產生的標籤範例
| AWS 產生的標籤金鑰 | 理由 |
|---|---|
aws:ec2spot:fleet-request-id |
識別啟動執行個體的 Amazon EC2 Spot 執行個體請求 |
aws:cloudformation:stack-name |
識別建立資源的 AWS CloudFormation 堆疊 |
lambda-console:blueprint |
識別用作 AWS Lambda 函數範本的藍圖 |
elasticbeanstalk:environment-name |
識別建立資源的應用程式 |
aws:servicecatalog:provisionedProductArn |
佈建產品 Amazon Resource Name (ARN) |
aws:servicecatalog:productArn |
從中啟動佈建產品的產品 ARN |
AWS 產生的標籤會形成命名空間。例如,在 AWS CloudFormation 範本中,您可以定義一組要一起部署在 中的資源stack,其中 stack-name 是您指派來識別資源的描述性名稱。如果您檢查 等金鑰aws:cloudformation:stack-name,您可以看到用於範圍參數的命名空間使用三個元素:aws 組織、 cloudformation 服務,以及 stack-name 參數。
使用者定義的標籤也可以使用命名空間,建議使用組織識別符做為字首。這可協助您快速識別標籤是來自受管結構描述的內容,還是您在環境中使用的服務或工具所定義的內容。
在在白皮書上建立您的雲端基礎 AWS中,我們建議實作一組標籤。不同的企業很可能具有不同的允許模式,以及特定標籤的不同清單。查看表 3 中的範例:
表 3 – 相同的標籤索引鍵、不同的值驗證規則
|
組織 |
標籤索引鍵 | 標籤值驗證 | 標籤值範例 |
|---|---|---|---|
| 公司 A | CostCenter
|
5432, 5422, 5499
|
5432
|
| 公司 B | CostCenter
|
ABC*
|
ABC123
|
如果這兩個結構描述位於不同的組織中,則標籤衝突沒有問題。不過,如果這兩個環境合併,命名空間可能會衝突,且驗證會變得更加複雜。此案例似乎不太可能,但會取得或合併企業,而且還有其他案例,例如與受管服務供應商合作的用戶端、遊戲發佈者或風險投資企業,其中來自不同組織的帳戶是共用 AWS 組織的一部分。透過使用商業名稱做為定義唯一命名空間的字首,可以避免這些挑戰,如表 4 所示:
表 4 – 在標籤索引鍵中使用命名空間
|
組織 |
標籤索引鍵 | 標籤值驗證 | 標籤值範例 |
|---|---|---|---|
| 公司 A | company-a:CostCenter |
5432, 5422, 5499
|
5432
|
| 公司 B | company-b:CostCenter |
ABC*
|
ABC123
|
在定期取得和剝離業務的大型複雜組織中,這種情況會更頻繁發生。隨著新收購的流程和實務在更廣泛的群組中協調一致,情況也會得到解決。具有不同的命名空間很有幫助,因為舊標籤的使用可以在 上報告,並且聯絡相關團隊採用新的結構描述。命名空間也可以用來指示範圍,或代表與組織擁有者一致的使用案例或責任區域。
表 5 – 標籤索引鍵內範圍或使用案例範圍的範例
| 使用案例 | 標籤索引鍵 | 理由 | 允許值 |
|---|---|---|---|
| 資料分類 | example-inc:info-sec:data-classification |
資訊安全定義的一組資料分類 | sensitive, company-confidential,
customer-identifiable
|
| 作業 | example-inc:dev-ops:environment |
實作測試和開發環境的排程 | development, staging, quality-assurance,
production
|
| 災難復原 | example-inc:disaster-recovery:rpo |
定義資源的復原點目標 (RPO) | 6h, 24h
|
| 成本分配 | example-inc:cost-allocation:business-unit |
財務團隊需要每個團隊用量和支出的成本報告 | corporate, recruitment, support,
engineering
|
標籤簡單且靈活。索引鍵和標籤的值都是可變長度字串,並且可以支援寬字元集。如需長度和字元集的詳細資訊,請參閱《 AWS 一般參考》中的標記 AWS 資源。標籤區分大小寫,這表示 costCenter和 costcenter是不同的標籤索引鍵。在不同的國家/地區,單字的拼法可能不同,這可能會影響您的金鑰。例如,在美國,可能將金鑰定義為 costcenter,但在英國costcentre可能是首選的。這些是與資源標記觀點不同的索引鍵。在標記策略中定義拼寫、大小寫和標點符號。使用這些定義作為建立或管理資源的任何人的參考。下一節會更詳細地討論本主題:建置您的標記策略。
注意
雖然標籤索引鍵區分大小寫,但 IAM 對 IAM 資源有額外的驗證,以防止套用只在大小寫中不同的標籤索引鍵。我們建議不要使用只有不同大小寫的金鑰。如需詳細資訊,請參閱 IAM 資源的標籤。
