Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Organizations politiche di tag
Una [https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) è un tipo di politica che crei in AWS Organizations. Puoi utilizzare le politiche sui tag per standardizzare i tag tra le risorse degli account della tua organizzazione. Per utilizzare le politiche sui tag, ti consigliamo di seguire i flussi di lavoro descritti in [Guida introduttiva alle politiche sui tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) nella Guida per l'*AWS Organizations utente*. Come indicato in quella pagina, i flussi di lavoro consigliati includono la ricerca e la correzione di tag non conformi. Per eseguire queste attività, si utilizza la console Tag Editor.
## Prerequisiti e autorizzazioni
Prima di poter valutare la conformità alle politiche sui tag in Tag Editor, è necessario soddisfare i requisiti e impostare le autorizzazioni necessarie.
**Topics**
+ [Prerequisiti per valutare la conformità alle politiche sui tag](#tag-policies-prereqs-overview)
+ [Autorizzazioni per la valutazione della conformità di un account](#tag-policies-permissions-account)
+ [Autorizzazioni per la valutazione della conformità a livello di organizzazione](#tag-policies-permissions-org)
+ [Policy sui bucket di Amazon S3 per l'archiviazione dei report](#bucket-policy)
### Prerequisiti per valutare la conformità alle politiche sui tag
La valutazione della conformità alle politiche sui tag richiede quanto segue:
+ È innanzitutto necessario abilitare la funzionalità e creare e allegare politiche sui tag. AWS Organizations Per ulteriori informazioni, consulta le seguenti pagine della *Guida AWS Organizations per l'utente*:
+ [Prerequisiti e autorizzazioni per la gestione delle politiche relative ai tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [Abilitazione delle politiche relative ai tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [Guida introduttiva alle politiche sui tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ Per [**trovare tag non conformi nelle risorse di un account, sono necessarie le credenziali di**](tag-policies-orgs-finding-noncompliant-tags.md) accesso per quell'account e le autorizzazioni elencate in. [Autorizzazioni per la valutazione della conformità di un account](#tag-policies-permissions-account)
+ Per [**valutare la conformità a livello di organizzazione**](tag-policies-orgs-evaluating-org-wide-compliance.md), sono necessarie le credenziali di accesso per l'account di gestione dell'organizzazione e le autorizzazioni elencate in. [Autorizzazioni per la valutazione della conformità a livello di organizzazione](#tag-policies-permissions-org) Puoi richiedere il rapporto di conformità solo dagli Regione AWS Stati Uniti orientali (Virginia settentrionale).
### Autorizzazioni per la valutazione della conformità di un account
La ricerca di tag non conformi nelle risorse di un account richiede le seguenti autorizzazioni:
+ `organizations:DescribeEffectivePolicy`— Per ottenere i contenuti della politica di tag efficace per l'account.
+ `tag:GetResources`— Per ottenere un elenco di risorse che non rispettano la politica sui tag allegata.
+ `tag:TagResources`— Per aggiungere o aggiornare i tag. Sono inoltre necessarie le autorizzazioni specifiche del servizio per creare tag. Ad esempio, per etichettare le risorse in Amazon Elastic Compute Cloud (Amazon EC2), sono necessarie le autorizzazioni per. `ec2:CreateTags`
+ `tag:UnTagResources`— Per rimuovere un tag. Sono inoltre necessarie le autorizzazioni specifiche del servizio per rimuovere i tag. Ad esempio, per rimuovere i tag dalle risorse in Amazon EC2, sono necessarie le autorizzazioni per. `ec2:DeleteTags`
La seguente policy di esempio AWS Identity and Access Management (IAM) fornisce le autorizzazioni per valutare la conformità dei tag per un account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni su policy e autorizzazioni IAM, consulta la [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Autorizzazioni per la valutazione della conformità a livello di organizzazione
La valutazione della conformità a livello di organizzazione alle politiche di tag richiede le seguenti autorizzazioni:
+ `organizations:DescribeEffectivePolicy`— Per ottenere il contenuto della politica sui tag allegata all'organizzazione, all'unità organizzativa (OU) o all'account.
+ `tag:GetComplianceSummary`— Per ottenere un riepilogo delle risorse non conformi in tutti gli account dell'organizzazione.
+ `tag:StartReportCreation`— Per esportare i risultati della valutazione di conformità più recente in un file. La conformità a livello di organizzazione viene valutata ogni 48 ore.
+ `tag:DescribeReportCreation`— Per verificare lo stato della creazione del report.
+ `s3:ListAllMyBuckets`— Per facilitare l'accesso al rapporto di conformità a livello di organizzazione.
+ `s3:GetBucketAcl`— Ispezionare l'Access Control List (ACL) del bucket Amazon S3 che riceve il rapporto di conformità.
+ `s3:GetObject`— Per recuperare il rapporto di conformità dal bucket Amazon S3 di proprietà del servizio.
+ `s3:PutObject`— Inserire il rapporto di conformità nel bucket Amazon S3 specificato.
Se il bucket Amazon S3 a cui viene consegnato il report è crittografato tramite SSE-KMS, devi disporre anche dell'autorizzazione per quel bucket. `kms:GenerateDataKey`
Il seguente esempio di policy IAM fornisce le autorizzazioni per valutare la conformità a livello di organizzazione. Sostituisci {{placeholder}} ognuna con le tue informazioni:
+ {{`bucket_name`}}— Il nome del tuo bucket Amazon S3
+ {{`organization_id`}}— L'ID della tua organizzazione
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
}
]
}
```
------
Per ulteriori informazioni su policy e autorizzazioni IAM, consulta la [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Policy sui bucket di Amazon S3 per l'archiviazione dei report
Per creare un report di conformità a livello di organizzazione, l'identità che usi per chiamare l'`StartReportCreation`API deve avere accesso a un bucket Amazon Simple Storage Service (Amazon S3) nella regione Stati Uniti orientali (Virginia settentrionale) per archiviare il rapporto. Tag Policies utilizza le credenziali dell'identità chiamante per inviare il report di conformità al bucket specificato.
Se il bucket e l'identità utilizzati per chiamare l'`StartReportCreation`API *appartengono allo stesso account*, non sono necessarie policy di bucket Amazon S3 aggiuntive per questo caso d'uso.
Se l'account associato all'identità utilizzata per chiamare l'`StartReportCreation`API è *diverso* dall'account proprietario del bucket Amazon S3, al bucket deve essere allegata la seguente policy relativa al bucket. Sostituisci ciascuno {{placeholder}} con le tue informazioni:
+ {{`bucket_name`}}— Il nome del tuo bucket Amazon S3
+ {{`organization_id`}}— L'ID della tua organizzazione
+ {{`identity_ARN`}}— L'ARN dell'identità IAM utilizzato per chiamare l'API `StartReportCreation`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
}
]
}
```
------