本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 最佳實務和策略
<a name="best-practices-and-strats"></a>

這些區段提供標記 AWS 資源和使用標籤編輯器時最佳實務和策略的相關資訊。



## 標記最佳實務
<a name="tag-best-practices"></a>

當您為 AWS 資源建立標記策略時，請遵循最佳實務：
+ 請勿在標籤中加入個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 AWS 服務都可以存取標籤，包括帳單。標籤不適用於私有或敏感資料。
+ 使用標準化、區分大小寫的標籤格式，並統一套用在所有資源類型上。
+ 考慮支援多種用途的標籤準則，例如資源存取控制管理、成本追蹤、自動化和組織。
+ 使用自動化工具來協助管理資源標籤。標籤編輯器和[資源群組標記 API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/) 可讓您以程式設計方式控制標籤，讓您更輕鬆地自動管理、搜尋和篩選標籤和資源。
+ 使用太多標籤，還不如使用較少的標籤。
+ 請記住，變更標籤以因應不斷變更的業務需求很容易，但請考量變更後的後果。例如，變更存取控制標籤表示您也必須更新參考這些標籤的政策，以及控制對資源的存取。
+ 您可以使用 AWS Organizations建立和部署標籤政策，自動強制執行組織選擇採用的標記標準。標籤政策可讓您指定標記規則，這些規則可定義有效索引鍵名稱以及每個索引鍵的有效值。您可以選擇只進行監控，讓您有機會評估和清理現有標籤。一旦標籤符合所選標準，您就可以在標籤政策中啟用強制執行功能，以防止建立不合規的標籤。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。

## 標籤命名最佳實務
<a name="id_tags_naming_best_practices"></a>

這些是我們建議您搭配標籤使用的幾個最佳實務和命名慣例。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[命名標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。

許多標籤是由 預先定義， AWS 或由各種 自動建立 AWS 服務。許多*AWS 產生的標籤*都使用小寫的金鑰名稱，連字號分隔名稱中的單字，字首後面加上冒號，以識別標籤的來源服務。例如，請參閱下列內容：
+ `aws:ec2spot:fleet-request-id` 是識別啟動執行個體之 Amazon EC2 Spot 執行個體請求的標籤。
+ `aws:cloudformation:stack-name` 是識別建立資源之 CloudFormation 堆疊的標籤。
+ `elasticbeanstalk:environment-name` 是識別建立資源之應用程式的標籤。

請考慮使用下列規則來命名標籤：
+ 針對單字使用所有小寫。
+ 使用連字號分隔單字。
+ 使用字首後接冒號來識別組織名稱或縮寫名稱。

例如，對於一家名為 *AnyCompany* 的虛構公司，您可以定義如下的標籤：
+ `anycompany:cost-center` 識別內部成本中心程式碼。
+ `anycompany:environment-type` 以識別環境是開發、測試還是生產。
+ `anycompany:application-id` 以識別建立資源的應用程式。

字首可確保標籤可清楚辨識，如您的組織所定義，而非您所使用的 AWS 第三方工具。將所有小寫字母和連字號 (作為分隔符號) 搭配使用可避免對如何大寫標籤名稱造成混淆。例如：`anycompany:project-id` 比 `ANYCOMPANY:ProjectID`、`anycompany:projectID` 或 `Anycompany:ProjectId` 更容易記住。

### 標籤命名限制和需求
<a name="tag-conventions"></a>

下列基本命名和使用需求適用於標籤：
+ 每個資源最多可以有 50 個使用者建立的標籤。
+ 系統建立以 `aws:` 開頭的標籤會保留供 AWS 使用，且不會計入此限制。您無法編輯或刪除以 `aws:` 字首開頭的標籤。
+ 針對每一個資源，每個標籤鍵必須是唯一的，且每個標籤鍵只能有一個值。
+ 標籤索引鍵在 UTF-8 中必須至少為 1，最多為 128 個 Unicode 字元。
+ 在 UTF-8 中，標籤值必須是最小為 0 且最多為 256 個 Unicode 字元。
+ 允許的字元可能因 AWS 服務而異。如需您可以使用哪些字元來標記特定 AWS 服務中的資源的詳細資訊，請參閱其文件。一般而言，允許的字元包含可用 UTF-8 表示的英文字母、數字、空格，以及 \_ . : / = \+ - @ 等特殊字元。
+ 標籤鍵與值皆區分大小寫。做為最佳實務，請決定大寫標籤的策略，並一致地在所有資源類型中實作該策略。例如，決定要使用 `Costcenter`、`costcenter` 還是 `CostCenter`，並針對所有標籤使用相同的慣例。避免針對相似的標籤使用不一致的大小寫處理。

## 通用標記策略
<a name="tag-strategies"></a>

使用下列標記策略來協助識別和管理 AWS 資源。

**Topics**
+ [資源組織的標籤](#tag-strategies-console)
+ [成本配置的標籤](#tag-strategies-cost-allocation)
+ [用於自動化的標籤](#tag-strategies-automation)
+ [存取控制的標籤](#tag-strategies-access-control)
+ [標記管理](#tag-strategies-governance)

### 資源組織的標籤
<a name="tag-strategies-console"></a>

標籤是組織 中 AWS 資源的好方法 AWS 管理主控台。您可以設定標籤與資源一起顯示，也可以設定依標籤搜尋及篩選。使用 AWS Resource Groups 服務，您可以根據一或多個標籤或標籤部分來建立 AWS 資源群組。您也可以根據群組在 AWS CloudFormation 堆疊中的出現情況來建立群組。使用資源群組和標籤編輯器，您可以合併將多項服務、資源和區域集結在一處的應用程式資料，然後進行檢視。

### 成本配置的標籤
<a name="tag-strategies-cost-allocation"></a>

AWS Cost Explorer 和詳細帳單報告可讓您依標籤細分 AWS 成本。一般而言，您可以使用*成本中心/業務單位*、*客戶*或*專案*等商業標籤，將 AWS 成本與傳統成本分配維度建立關聯。不過，成本分配報告可包含各種標籤。這可讓您建立成本與技術或安全性方面的關聯性，像是特定的應用程式、環境或合規計劃。

對於某些服務，您可以將 AWS產生的`createdBy`標籤用於成本分配目的，以協助考慮可能未分類的資源。`createdBy` 標籤僅適用於支援的 AWS 服務和資源。其值包含與特定 API 或主控台事件相關聯的資料。如需詳細資訊，請參閱 *AWS 帳單與成本管理 使用者指南*中的 [AWS產生的成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/aws-tags.html)。

### 用於自動化的標籤
<a name="tag-strategies-automation"></a>

特定資源或服務的標籤通常用於在自動化活動期間篩選資源。自動化標籤是用來選擇加入或選擇退出自動化任務，或用以識別要存檔、更新或刪除的特定資源版本。例如，您可以執行自動化的 `start` 或 `stop` 指令碼，在非上班時間關閉開發環境以降低成本。在此案例中，Amazon Elastic Compute Cloud (Amazon EC2) 執行個體標籤是找出要選擇退出此動作之執行個體的簡單方法。至於尋找和刪除過時、非最新或輪換 Amazon EBS 快照的指令碼，快照標籤可以新增額外的搜尋條件特點。

### 存取控制的標籤
<a name="tag-strategies-access-control"></a>

IAM 政策支援標籤型條件，可讓您根據特定的標籤或標籤值來限制 IAM 許可。例如，IAM 使用者或角色許可可以包含這樣的條件：根據標籤將 EC2 API 呼叫限制於特定環境 (例如開發、測試或生產)。相同的策略可用於將 API 呼叫限制在特定的 Amazon Virtual Private Cloud (Amazon VPC) 網路。只有特定服務才支援標籤型的資源層級 IAM 許可。當您使用標籤型條件控制存取時，請務必定義並限制能修改標籤的人員。如需使用標籤控制 API 對 AWS 資源的存取的詳細資訊，請參閱《[AWS IAM 使用者指南》中的使用 IAM 的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **

### 標記管理
<a name="tag-strategies-governance"></a>

有效的標記策略使用標準化標籤，並以一致且程式設計的方式跨 AWS 資源套用它們。您可以使用被動和主動方法來管理 AWS 環境中的標籤。
+ **被動控管**是使用資源群組標記 API 和自訂指令碼等工具 AWS Config 規則，尋找未正確標記的資源。若要手動尋找資源，您可以使用標籤編輯器和詳細的帳單報告。
+ **主動控管**使用 CloudFormation、Service Catalog AWS Organizations、 中的標籤政策或 IAM 資源層級許可等工具，以確保在資源建立時一致套用標準化標籤。

  例如，您可以使用 CloudFormation `Resource Tags` 屬性將標籤套用至資源類型。在 Service Catalog 中，您可以新增在產品啟動時，自動合併並套用至產品的組合和產品標籤。更嚴格的主動式管理形式包含自動化的任務。例如，您可以使用資源群組標記 API 搜尋 AWS 環境標籤，或執行指令碼隔離或刪除標記不正確的資源。