本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Organizations 标签政策
[https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html) 是您在 AWS Organizations中创建的一种策略。您可以使用标签策略帮助在组织账户中跨资源标准化标签。要使用标签策略,我们建议您按照*AWS Organizations 用户指南*中的[标签策略入门](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)所述的工作流程来进行操作。如该页面所述,建议的工作流程包括查找和更正不合规标签。要完成这些任务,您需要使用标签编辑器控制台。
## 先决条件和权限
在标签编辑器中评估标签策略的合规性之前,必须满足相应要求并设置必要的权限。
**Topics**
+ [评估标签策略合规性的先决条件](#tag-policies-prereqs-overview)
+ [评估账户合规性的权限](#tag-policies-permissions-account)
+ [评估组织范围合规性的权限](#tag-policies-permissions-org)
+ [使用 Amazon S3 存储桶策略以存储报告](#bucket-policy)
### 评估标签策略合规性的先决条件
评估标签策略合规性要求以下内容:
+ 您必须先在中启用该功能 AWS Organizations,然后创建和附加标签策略。有关更多信息,请参阅 *AWS Organizations 《用户指南》*中的以下页面:
+ [管理标签策略的先决条件和权限](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
+ [启用标签策略](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ [标签策略入门](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ 要[**查找账户资源上的不合规标签**](tag-policies-orgs-finding-noncompliant-tags.md),您需要该账户的登录凭证以及 [评估账户合规性的权限](#tag-policies-permissions-account) 中所列权限。
+ 要[**评估组织范围的合规性**](tag-policies-orgs-evaluating-org-wide-compliance.md),您需要组织管理账户的登录凭证以及 [评估组织范围合规性的权限](#tag-policies-permissions-org) 中所列权限。您只能向 AWS 区域 美国东部(弗吉尼亚北部)索取合规报告。
### 评估账户合规性的权限
在账户资源上查找不合规标签需要以下权限:
+ `organizations:DescribeEffectivePolicy` – 获取账户的有效标签策略的内容。
+ `tag:GetResources` – 获取不符合附加标签策略的资源列表。
+ `tag:TagResources` – 添加或更新标签。您还需要特定于服务的权限才能创建标签。例如,要在Amazon Elastic Compute Cloud (Amazon EC2)中标记资源,您需要 `ec2:CreateTags` 权限。
+ `tag:UnTagResources` – 删除标签。您还需要特定于服务的权限才能移除标签。例如,要在 Amazon EC2 中取消标记,您需要 `ec2:DeleteTags` 权限。
以下示例 AWS Identity and Access Management (IAM) 策略提供了评估账户标签合规性的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:GetResources",
"tag:TagResources",
"tag:UnTagResources"
],
"Resource": "*"
}
]
}
```
------
有关 IAM 策略与权限的更多一般信息,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。
### 评估组织范围合规性的权限
评估组织范围的标签策略合规性需要以下权限:
+ `organizations:DescribeEffectivePolicy` – 获取附加到组织、组织单位 (OU) 或账户的标签策略内容。
+ `tag:GetComplianceSummary` – 获取组织中所有账户中不合规资源的摘要。
+ `tag:StartReportCreation` – 将最近的合规性评估结果导出到文件中。组织级的合规性每隔 48 小时评估一次。
+ `tag:DescribeReportCreation` – 检查报告创建的状态。
+ `s3:ListAllMyBuckets` – 协助访问组织范围的合规报告。
+ `s3:GetBucketAcl` – 检查接收合规报告的 Amazon S3 存储桶的访问控制列表(ACL)。
+ `s3:GetObject` – 从服务拥有的 Amazon S3 存储桶中检索合规报告。
+ `s3:PutObject` – 将合规报告放入指定的 Amazon S3 存储桶中。
如果发送报告的 Amazon S3 存储桶通过 SSE-KMS 加密,则您还必须拥有该存储桶的`kms:GenerateDataKey`权限。
以下 IAM policy 示例提供了用于评估组织范围的合规性的权限。用你自己的信息替换每一个*placeholder*信息:
+ *`bucket_name`* – Amazon S3 存储桶的名称
+ *`organization_id`* – 您的组织的 ID
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EvaluateAccountCompliance",
"Effect": "Allow",
"Action": [
"organizations:DescribeEffectivePolicy",
"tag:StartReportCreation",
"tag:DescribeReportCreation",
"tag:GetComplianceSummary",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GetBucketAclForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "GetObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
}
}
},
{
"Sid": "PutObjectForReportDelivery",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
},
"StringLike": {
"s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
}
}
}
]
}
```
------
有关 IAM 策略与权限的更多一般信息,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。
### 使用 Amazon S3 存储桶策略以存储报告
要创建组织范围的合规报告,您用来调用 `StartReportCreation` API 的身份必须能够访问美国东部(弗吉尼亚州北部)区域的 Amazon Simple Storage Service (Amazon S3) 存储桶,以存储该报告。标签策略使用调用身份的凭证将合规报告传送到指定的存储桶。
如果用于调用 `StartReportCreation` API 的存储桶和身份*属于同一个账户*,则此用例不需要其他 Amazon S3 存储桶策略。
如果与用于调用 `StartReportCreation` API 的身份关联的账户与拥有 Amazon S3 存储桶的账户*不同*,则必须将以下存储桶策略附加到该存储桶。用你自己的信息替换每一个*placeholder*信息:
+ *`bucket_name`* – Amazon S3 存储桶的名称
+ *`organization_id`* – 您的组织的 ID
+ *`identity_ARN`* – 用于调用 `StartReportCreation` API 的 IAM 身份的 ARN
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTagPolicyACL",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket_name"
},
{
"Sid": "CrossAccountTagPolicyBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/AwsTagPolicies/organization_id/*"
}
]
}
```
------
# 评估账户的合规性
您可以评估组织中的某个账户是否符合其生效标签策略。
**重要**
未标记的资源不会在结果中显示为不合规。
要在您的账户中查找未标记的资源,请 AWS 资源探索器 与使用的查询一起使用**tag:none**。有关更多信息,请参阅《AWS 资源探索器 用户指南》**中的[搜索未标记的资源](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search-query-examples.html#example-1)。
*[生效标签策略](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-effective.html)*指定应用到账户的标记规则。账户继承的任何标签策略以及直接附加到账户的任何标签策略的聚合称为生效标签策略。将标签策略附加到组织根时,它应用到组织中的所有账户。当您将标签策略附加到组织单位 (OU) 时,它适用于属于 OUs 该组织单位的所有账户。
**注意**
如果您尚未创建标签策略,请参阅 *AWS Organizations 《用户指南》*中的[标签策略入门](https://docs.aws.amazon.com//organizations/latest/userguide/tag-policies-getting-started.html)。
要查找不合规标签,您必须拥有以下权限:
+ `organizations:DescribeEffectivePolicy`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
**评估账户是否符合其生效标签策略(控制台)**
1. 登录要检查合规性的账户后,打开[标签策略控制台](https://console.aws.amazon.com/resource-groups/tag-policies/)。
1. **生效标签策略**部分显示上次策略更新的时间和定义的标签键。您可以展开标签键,查看有关标签键值、案例处理以及是否针对特定资源类型强制使用这些值的信息。
**注意**
如果您已登录管理账户,则需要选择一个账户才能查看其生效策略和合规信息。
1. 在**带有不合规标签的资源**部分,指定 AWS 区域 要搜索哪些不合规标签。您还可以按资源类型进行搜索。然后选择**搜索资源**。
实时结果显示于**搜索结果**部分。要更改每页返回的结果数或显示的列数,请选择设置图标。
1. 在搜索结果中,选择标签不合规的资源。
1. 在列出资源标签的对话框中,选择超链接以打开已创建资源的 AWS 服务 。在该控制台上,更正不合规标签。
**提示**
如果您不确定哪些标签不合规,请前往标签策略控制台中该账户的**生效标签策略**部分。您可以展开标签键以查看其标记规则。
1. 重复查找和更正标签的过程,直至您所关注的账户资源在每个区域都合规。
**要查找不合规的标签 (AWS CLI, AWS API)**
使用以下命令和操作查找不合规标签:
+ AWS Command Line Interface (AWS CLI):
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/get-resources.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/get-resources.html)
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/tag-resources.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/tag-resources.html)
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/untag-resources.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/untag-resources.html)
有关使用标签策略的完整过程 AWS CLI,请参阅*AWS Organizations 用户指南 AWS CLI*[中的使用标签策略](https://docs.aws.amazon.com//organizations/latest/userguide/tag-policy-cli.html)。
+ AWS Resource Groups Tagging API:
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_GetResources.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_GetResources.html)
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_TagResources.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_TagResources.html)
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_UntagResources.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_UntagResources.html)
**后续步骤**
我们建议您重复查找和纠正合规性问题。持续操作,直至您所关注的账户资源符合每个区域的生效标签策略。
查找和更正不合规标签是一个迭代过程,原因众多,其中包括:
+ 您的组织对标签策略的使用可能会随着时间推移而发生变化。
+ 创建资源时,在组织中进行变更需要时间。
+ 每当创建新资源或为资源分配新标签时,合规性就会发生变化。
+ 每当账户的标签策略被附加或分离时,该账户的生效标签策略就会更新。每当账户继承的标记策略发生变化时,生效标记策略也会更新。
如果您以组织管理账户的身份登录,还可以生成报告。此报告显示组织账户中所有已标记资源的信息。有关更多信息,请参阅 [评估组织级的合规性](tag-policies-orgs-evaluating-org-wide-compliance.md)。
# 评估组织级的合规性
您可以评估您的组织是否遵守资源的生效标签策略。您能够生成一个报告,其中列出组织中账户的所有已标记资源,以及每个资源是否符合生效标签策略。
**重要**
未标记的资源不会在结果中显示为不合规。
要在您的账户中查找未标记的资源,请 AWS 资源探索器 与使用的查询一起使用**tag:none**。有关更多信息,请参阅*《AWS 资源探索器 用户指南》*中的[搜索未标记的资源](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search-query-examples.html#example-1)。
您`us-east-1` AWS 区域 只能通过组织的管理账户生成报告。生成报告的账户必须能够访问美国东部(弗吉尼亚州北部)区域中的 Amazon S3 存储桶。存储桶必须具有附加的存储桶策略,如[用于存储报告的 Amazon S3 存储桶策略](tag-policies-orgs.md#bucket-policy)中所示。
要生成组织级的合规性报告,您必须拥有以下权限:
+ `organizations:DescribeEffectivePolicy`
+ `tag:GetComplianceSummary`
+ `tag:StartReportCreation`
+ `tag:DescribeReportCreation`
+ `s3:ListAllMyBuckets`
+ `s3:GetBucketAcl`
+ `s3:GetObject`
+ `s3:PutObject`
有关显示这些权限的 IAM 策略示例,请查看[评估组织范围合规性的权限](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-policies-orgs.html#tag-policies-permissions-org)。
**生成组织级的合规性报告(控制台)**
1. 打开[标签策略控制台](https://console.aws.amazon.com/resource-groups/tag-policies/)。
1. 选择**此组织根**标签,选择**生成报告**。
1. 在**生成报告**屏幕上,指定报告的存储位置。
1. 选择**开始导出**。
报告完成后,您可以从**组织根目录**选项卡上的**不合规报告**部分下载报告。
**注意**
组织级的合规性每隔 48 小时评估一次。这将产生以下结果:
对标签策略或资源所做的更改,最多可能需要 48 小时才能反映在组织级的合规性报告中。例如,假定您有一个标签策略,为某个资源类型定义新的标准化标签。没有此标签的该类型的资源最多需要 48 小时在报告中显示为合规。
尽管您可以随时生成报告,但报告结果要等到下一次评估完成后才会更新。
该**NoncompliantKeys**列列出了资源上不符合有效标签策略的标签密钥。
该**KeysWithNonCompliantValues**列列出了资源上有效策略中定义的具有错误案例处理或不合规值的密钥。
如果您关闭了曾经是 AWS 账户 该组织成员的,则它可以在标签合规性报告中持续显示长达 90 天。
**生成组织范围的合规报告 (AWS CLI, AWS API)**
使用以下命令和操作生成组织级的合规性报告、检查其状态并查看报告:
+ AWS Command Line Interface AWS CLI):
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/start-report-creation.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/start-report-creation.html)
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/describe-report-creation.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/describe-report-creation.html)
+ [https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/get-compliance-summary.html](https://docs.aws.amazon.com//cli/latest/reference/resourcegroupstaggingapi/get-compliance-summary.html)
有关使用标签策略的完整过程 AWS CLI,请参阅《*AWS Organizations 用户指南*[》 AWS CLI中的使用标签策略](https://docs.aws.amazon.com//organizations/latest/userguide/tag-policy-cli.html)。
+ AWS API:
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_StartReportCreation.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_StartReportCreation.html)
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html)
+ [https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html](https://docs.aws.amazon.com//resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html)