Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Organizations kebijakan tag
[https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) adalah jenis kebijakan yang Anda buat AWS Organizations. Anda dapat menggunakan kebijakan tag untuk membantu membakukan tag di seluruh sumber daya di akun organisasi Anda. Untuk menggunakan kebijakan tag, sebaiknya ikuti alur kerja yang dijelaskan dalam [Memulai kebijakan tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) di *Panduan AWS Organizations Pengguna*. Seperti yang disebutkan di halaman itu, alur kerja yang disarankan termasuk menemukan dan mengoreksi tag yang tidak sesuai. Untuk menyelesaikan tugas-tugas ini, Anda menggunakan konsol Editor Tag.
## Prasyarat dan izin
Sebelum Anda dapat mengevaluasi kepatuhan terhadap kebijakan tag di Editor Tag, Anda harus memenuhi persyaratan dan menetapkan izin yang diperlukan.
**Topics**
+ [Prasyarat untuk mengevaluasi kepatuhan terhadap kebijakan tag](#tag-policies-prereqs-overview)
+ [Izin untuk mengevaluasi kepatuhan untuk akun](#tag-policies-permissions-account)
+ [Izin untuk mengevaluasi kepatuhan seluruh organisasi](#tag-policies-permissions-org)
+ [Kebijakan bucket Amazon S3 untuk penyimpanan laporan](#bucket-policy)
### Prasyarat untuk mengevaluasi kepatuhan terhadap kebijakan tag
Mengevaluasi kepatuhan terhadap kebijakan tag memerlukan hal-hal berikut:
+ Anda harus mengaktifkan fitur terlebih dahulu AWS Organizations, dan membuat serta melampirkan kebijakan tag. Untuk informasi selengkapnya, lihat halaman berikut di *Panduan AWS Organizations Pengguna*:
+ [Prasyarat dan izin untuk mengelola kebijakan tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [Mengaktifkan kebijakan tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [Memulai dengan kebijakan tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ Untuk [**menemukan tag yang tidak sesuai pada sumber daya akun, Anda memerlukan kredensi**](tag-policies-orgs-finding-noncompliant-tags.md) masuk untuk akun tersebut dan izin yang tercantum di dalamnya. [Izin untuk mengevaluasi kepatuhan untuk akun](#tag-policies-permissions-account)
+ Untuk [**mengevaluasi kepatuhan di seluruh organisasi**](tag-policies-orgs-evaluating-org-wide-compliance.md), Anda memerlukan kredensi masuk untuk akun manajemen organisasi dan izin yang tercantum di dalamnya. [Izin untuk mengevaluasi kepatuhan seluruh organisasi](#tag-policies-permissions-org) Anda dapat meminta laporan kepatuhan hanya dari Wilayah AWS AS Timur (Virginia N.).
### Izin untuk mengevaluasi kepatuhan untuk akun
Menemukan tag yang tidak sesuai pada sumber daya akun memerlukan izin berikut:
+ `organizations:DescribeEffectivePolicy`— Untuk mendapatkan isi kebijakan tag efektif untuk akun.
+ `tag:GetResources`— Untuk mendapatkan daftar sumber daya yang tidak sesuai dengan kebijakan tag terlampir.
+ `tag:TagResources`— Untuk menambah atau memperbarui tag. Anda juga memerlukan izin khusus layanan untuk membuat tag. Misalnya, untuk menandai sumber daya di Amazon Elastic Compute Cloud (Amazon EC2), Anda memerlukan izin untuk. `ec2:CreateTags`
+ `tag:UnTagResources`— Untuk menghapus tag. Anda juga memerlukan izin khusus layanan untuk menghapus tag. Misalnya, untuk menghapus tag sumber daya di Amazon EC2, Anda memerlukan izin untuk. `ec2:DeleteTags`
Contoh berikut AWS Identity and Access Management (IAM) kebijakan memberikan izin untuk mengevaluasi kepatuhan tag untuk akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan IAM dan izin, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Izin untuk mengevaluasi kepatuhan seluruh organisasi
Mengevaluasi kepatuhan seluruh organisasi terhadap kebijakan tag memerlukan izin berikut:
+ `organizations:DescribeEffectivePolicy`— Untuk mendapatkan konten kebijakan tag yang dilampirkan ke organisasi, unit organisasi (OU), atau akun.
+ `tag:GetComplianceSummary`— Untuk mendapatkan ringkasan sumber daya yang tidak sesuai di semua akun di organisasi.
+ `tag:StartReportCreation`— Untuk mengekspor hasil evaluasi kepatuhan terbaru ke file. Organization-wide kepatuhan dievaluasi setiap 48 jam.
+ `tag:DescribeReportCreation`— Untuk memeriksa status pembuatan laporan.
+ `s3:ListAllMyBuckets`— Untuk membantu mengakses laporan kepatuhan di seluruh organisasi.
+ `s3:GetBucketAcl`— Untuk memeriksa Daftar Kontrol Akses (ACL) bucket Amazon S3 yang menerima laporan kepatuhan.
+ `s3:GetObject`— Untuk mengambil laporan kepatuhan dari bucket Amazon S3 milik layanan.
+ `s3:PutObject`— Untuk menempatkan laporan kepatuhan di bucket Amazon S3 yang ditentukan.
Jika bucket Amazon S3 tempat laporan dikirimkan dienkripsi melalui SSE-KMS, Anda juga harus memiliki `kms:GenerateDataKey` izin untuk bucket tersebut.
Contoh berikut kebijakan IAM memberikan izin untuk mengevaluasi kepatuhan seluruh organisasi. Ganti masing-masing {{placeholder}} dengan informasi Anda sendiri:
+ {{`bucket_name`}}— Nama ember Amazon S3 Anda
+ {{`organization_id`}}— ID organisasi Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
},
{
"Sid": "PutObjectCreateMultipartUpload",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"Null": {
"s3:x-amz-copy-source": "true"
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan IAM dan izin, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Kebijakan bucket Amazon S3 untuk penyimpanan laporan
Untuk membuat laporan kepatuhan di seluruh organisasi, identitas yang Anda gunakan untuk memanggil `StartReportCreation` API harus memiliki akses ke bucket Amazon Simple Storage Service (Amazon S3) di Wilayah AS Timur (Virginia N.) untuk menyimpan laporan. Kebijakan Tag menggunakan kredensil identitas panggilan untuk mengirimkan laporan kepatuhan ke bucket yang ditentukan.
Jika bucket dan identitas yang digunakan untuk memanggil `StartReportCreation` API *milik akun yang sama*, kebijakan bucket Amazon S3 tambahan tidak diperlukan untuk kasus penggunaan ini.
Jika akun yang terkait dengan identitas yang digunakan untuk memanggil `StartReportCreation` API *berbeda* dengan akun yang memiliki bucket Amazon S3, kebijakan bucket berikut harus dilampirkan ke bucket. Ganti masing-masing {{placeholder}} dengan informasi Anda sendiri:
+ {{`bucket_name`}}— Nama ember Amazon S3 Anda
+ {{`organization_id`}}— ID organisasi Anda
+ {{`identity_ARN`}}— ARN dari identitas IAM yang digunakan untuk memanggil API `StartReportCreation`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
}
]
}
```
------