As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Organizations políticas de tag
Uma [https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) é um tipo de política que você cria no AWS Organizations. Você pode usar políticas de tag para ajudar a padronizar tags nos recursos das contas da sua organização. Para usar políticas de tag, recomendamos que você siga os fluxos de trabalho descritos em [Conceitos básicos das políticas de tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) no *Guia do usuário do AWS Organizations *. Conforme mencionado nessa página, os fluxos de trabalho recomendados incluem encontrar e corrigir tags não compatíveis. Para executar essas tarefas, você utiliza o console do Tag Editor.
## Pré-requisitos e permissões
Antes de avaliar a conformidade com as políticas de tag no Tag Editor, você deve atender aos requisitos e definir as permissões necessárias.
**Topics**
+ [Pré-requisitos para avaliar a conformidade com as políticas de tag](#tag-policies-prereqs-overview)
+ [Permissões para avaliar a conformidade de uma conta](#tag-policies-permissions-account)
+ [Permissões para avaliar a conformidade em toda a organização](#tag-policies-permissions-org)
+ [Política de bucket do Amazon S3 para armazenamento de relatórios](#bucket-policy)
### Pré-requisitos para avaliar a conformidade com as políticas de tag
A avaliação da compatibilidade com políticas de tag requer o seguinte:
+ Primeiro, você deve habilitar o recurso e criar e anexar políticas de tag. AWS Organizations Para obter mais informações, consulte as seguintes páginas do *Guia do usuário do AWS Organizations *:
+ [Pré-requisitos e permissões para gerenciar políticas de tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [Habilitar políticas de tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [Conceitos básicos das políticas de tag](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ Para [**encontrar tags não compatíveis nos recursos de uma conta**](tag-policies-orgs-finding-noncompliant-tags.md), você precisa das credenciais de login dessa conta e das permissões listadas em [Permissões para avaliar a conformidade de uma conta](#tag-policies-permissions-account).
+ Para [**avaliar a conformidade em toda a organização**](tag-policies-orgs-evaluating-org-wide-compliance.md), você precisa das credenciais de login da conta de gerenciamento da organização e das permissões listadas em [Permissões para avaliar a conformidade em toda a organização](#tag-policies-permissions-org). Você pode solicitar o relatório de conformidade somente do Leste dos Região da AWS EUA (Norte da Virgínia).
### Permissões para avaliar a conformidade de uma conta
Encontrar tags não compatíveis nos recursos de uma conta requer as seguintes permissões:
+ `organizations:DescribeEffectivePolicy`: para obter o conteúdo da política de tag efetiva para a conta.
+ `tag:GetResources`: para obter uma lista de recursos que não estão em conformidade com a política de tag anexada.
+ `tag:TagResources`: para adicionar ou atualizar tags. Você também precisa de permissões específicas do serviço para criar tags. Por exemplo, para atribuir tags em recursos no Amazon Elastic Compute Cloud (Amazon EC2), você precisa ter permissões para `ec2:CreateTags`.
+ `tag:UnTagResources`: para remover uma tag. Você também precisa de permissões específicas do serviço para remover as tags. Por exemplo, para remover a tag de recursos no Amazon EC2, você precisa ter permissões para `ec2:DeleteTags`.
O exemplo de política AWS Identity and Access Management (IAM) a seguir fornece permissões para avaliar a conformidade de tags de uma conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre as políticas e as permissões do IAM, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Permissões para avaliar a conformidade em toda a organização
A avaliação da conformidade em toda a organização com as políticas de tag requer as seguintes permissões:
+ `organizations:DescribeEffectivePolicy`: para obter o conteúdo da política de tag que está anexada à organização, unidade organizacional (UO) ou conta.
+ `tag:GetComplianceSummary`: para obter um resumo dos recursos não compatíveis em todas as contas da organização.
+ `tag:StartReportCreation`— Exportar os resultados da avaliação de conformidade mais recente para um arquivo. Organization-wide a conformidade é avaliada a cada 48 horas.
+ `tag:DescribeReportCreation`: para verificar o status de criação do relatório.
+ `s3:ListAllMyBuckets`: para ajudar a acessar o relatório de conformidade em toda a organização.
+ `s3:GetBucketAcl`: para inspecionar a lista de controle de acesso (ACL) do bucket do Amazon S3 que recebe o relatório de conformidade.
+ `s3:GetObject`: para recuperar o relatório de conformidade do bucket do Amazon S3 de propriedade do serviço.
+ `s3:PutObject`: para colocar o relatório de conformidade no bucket do Amazon S3 especificado.
Se o bucket do Amazon S3 em que o relatório está sendo entregue for criptografado SSE-KMS, você também deverá ter a `kms:GenerateDataKey` permissão para esse bucket.
O exemplo de política do IAM a seguir fornece permissões para avaliar a conformidade em toda a organização. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{`bucket_name`}}: nome do bucket do Amazon S3.
+ {{`organization_id`}}: ID da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
},
{
"Sid": "PutObjectCreateMultipartUpload",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"Null": {
"s3:x-amz-copy-source": "true"
}
}
}
]
}
```
------
Para obter mais informações sobre as políticas e as permissões do IAM, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
### Política de bucket do Amazon S3 para armazenamento de relatórios
Para criar um relatório de conformidade para toda a organização, a identidade que você usa para chamar a API `StartReportCreation` deve ter acesso a um bucket do Amazon Simple Storage Service (Amazon S3) na região Leste dos EUA (Norte da Virgínia) para armazenar o relatório. As políticas de tag usam as credenciais da identidade de chamada para entregar o relatório de conformidade ao bucket especificado.
Se o bucket e a identidade que estão sendo usados para chamar a API `StartReportCreation` *pertencerem à mesma conta*, políticas adicionais de bucket do Amazon S3 não serão necessárias para esse caso de uso.
Se a conta associada à identidade usada para chamar a API `StartReportCreation` for *diferente* da conta proprietária do bucket do Amazon S3, a política de bucket a seguir deverá ser anexada ao bucket. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{`bucket_name`}}: nome do bucket do Amazon S3.
+ {{`organization_id`}}: ID da sua organização.
+ {{`identity_ARN`}}: o ARN da identidade do IAM usada para chamar a API `StartReportCreation`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{bucket_name}}"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "{{identity_ARN}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
}
]
}
```
------