本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Organizations 標籤政策
<a name="tag-policies-orgs"></a>

[https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html)是您在 中建立的政策類型 AWS Organizations。您可以使用標籤政策來協助標準化組織帳戶中跨資源的標籤。若要使用標籤政策，建議您遵循*AWS Organizations 《 使用者指南*》中的[標籤政策入門](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)中所述的工作流程。如該頁面所述，建議的工作流程包括尋找和更正不合規的標籤。若要完成這些任務，您可以使用標籤編輯器主控台。

## 先決條件和許可
<a name="tag-policies-prereqs"></a>

您必須先符合需求並設定必要的許可，才能在標籤編輯器中評估標籤政策的合規性。

**Topics**
+ [評估標籤政策合規性的先決條件](#tag-policies-prereqs-overview)
+ [評估帳戶合規性的許可](#tag-policies-permissions-account)
+ [評估整個組織合規性的許可](#tag-policies-permissions-org)
+ [報告儲存的 Amazon S3 儲存貯體政策](#bucket-policy)

### 評估標籤政策合規性的先決條件
<a name="tag-policies-prereqs-overview"></a>

評估標籤政策的合規性需要下列項目：
+ 您必須先在 中啟用此功能 AWS Organizations，並建立和連接標籤政策。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的下列頁面：
  + [管理標籤政策的先決條件和許可](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
  + [啟用標籤政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
  + [標籤政策入門](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ 若要[**尋找帳戶資源上的不合規標籤**](tag-policies-orgs-finding-noncompliant-tags.md)，您需要該帳戶的登入憑證和 中列出的許可[評估帳戶合規性的許可](#tag-policies-permissions-account)。
+ 若要[**評估整個組織的合規**](tag-policies-orgs-evaluating-org-wide-compliance.md)，您需要組織管理帳戶的登入憑證和 中列出的許可[評估整個組織合規性的許可](#tag-policies-permissions-org)。您只能向 AWS 區域 美國東部 （維吉尼亞北部） 請求合規報告。

### 評估帳戶合規性的許可
<a name="tag-policies-permissions-account"></a>

在帳戶的 資源上尋找不合規標籤需要下列許可：
+ `organizations:DescribeEffectivePolicy` – 取得帳戶有效標籤政策的內容。
+ `tag:GetResources` – 取得不符合所連接標籤政策的資源清單。
+ `tag:TagResources` – 新增或更新標籤。您也需要服務特定的許可才能建立標籤。例如，若要在 Amazon Elastic Compute Cloud (Amazon EC2) 中標記資源，您需要 的許可`ec2:CreateTags`。
+ `tag:UnTagResources` – 移除標籤。您也需要服務特定的許可才能移除標籤。例如，若要取消標記 Amazon EC2 中的資源，您需要 的許可`ec2:DeleteTags`。

下列 example AWS Identity and Access Management (IAM) 政策提供評估帳戶標籤合規性的許可。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}
```

------

如需有關 IAM 政策和許可的詳細資訊，請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。

### 評估整個組織合規性的許可
<a name="tag-policies-permissions-org"></a>

評估整個組織的標籤政策合規性需要下列許可：
+ `organizations:DescribeEffectivePolicy` – 取得連接至組織、組織單位 (OU) 或帳戶的標籤政策內容。
+ `tag:GetComplianceSummary` – 取得組織中所有帳戶中不合規資源的摘要。
+ `tag:StartReportCreation` – 將最新的合規評估結果匯出至 檔案。整個組織的合規每 48 小時評估一次。
+ `tag:DescribeReportCreation` – 檢查報告建立的狀態。
+ `s3:ListAllMyBuckets` — 協助存取整個組織的合規報告。
+ `s3:GetBucketAcl` – 檢查接收合規報告的 Amazon S3 儲存貯體的存取控制清單 (ACL)。
+ `s3:GetObject` – 從服務擁有的 Amazon S3 儲存貯體擷取合規報告。
+ `s3:PutObject` – 將合規報告放在指定的 Amazon S3 儲存貯體中。

如果正在交付報告的 Amazon S3 儲存貯體是透過 SSE-KMS 加密，您還必須擁有該儲存貯體的 `kms:GenerateDataKey` 許可。

下列範例 IAM 政策提供評估整個組織合規性的許可。將每個{{預留位置}}取代為您自己的資訊：
+ {{`bucket_name`}} – 您的 Amazon S3 儲存貯體名稱 
+ {{`organization_id`}} – 組織的 ID 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation",
                "tag:GetComplianceSummary",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetBucketAclForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::{{bucket_name}}",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GetObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "PutObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "StringLike": {
                    "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
                }
            }
        },
        {
            "Sid": "PutObjectCreateMultipartUpload",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "Null": {
                    "s3:x-amz-copy-source": "true"
                }
            }
        }
    ]
}
```

------

如需有關 IAM 政策和許可的詳細資訊，請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。

### 報告儲存的 Amazon S3 儲存貯體政策
<a name="bucket-policy"></a>

若要建立整個組織的合規報告，您用來呼叫 `StartReportCreation` API 的身分必須能夠存取美國東部 （維吉尼亞北部） 區域中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體來存放報告。標籤政策使用呼叫身分的登入資料，將合規報告交付至指定的儲存貯體。

如果用於呼叫 `StartReportCreation` API 的儲存貯體和身分*屬於同一個帳戶*，則此使用案例不需要額外的 Amazon S3 儲存貯體政策。

如果與用於呼叫 `StartReportCreation` API 的身分相關聯的帳戶與擁有 Amazon S3 儲存貯體的帳戶*不同*，則必須將下列儲存貯體政策連接至儲存貯體。將每個{{預留位置}}取代為您自己的資訊：
+ {{`bucket_name`}} – 您的 Amazon S3 儲存貯體名稱 
+ {{`organization_id`}} – 組織的 ID 
+ {{`identity_ARN`}} – 用於呼叫 `StartReportCreation` API 的 IAM 身分 ARN 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": [ 
        { 
            "Sid": "CrossAccountTagPolicyACL", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "{{identity_ARN}}"
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::{{bucket_name}}"
         }, 
         { 
            "Sid": "CrossAccountTagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "{{identity_ARN}}"
            }, 
            "Action": "s3:PutObject", 
            "Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
         } 
    ] 
}
```

------