Resource Management：使用標籤策略實現不合規標籤的事前攔截

應用情境

情境一：建立資源時攔截不合規標籤

情境二：為資源綁定標籤時攔截不合規標籤

為已存在的資源綁定標籤時，校正標籤策略中設定的標籤鍵和標籤值是否符合規則。如符合規則，則標籤綁定成功，否則，標籤綁定失敗。

最佳實務

• 設定事前攔截，會影響到資源的生產。建議在測試帳號進行充分的測試後，再應用到生產帳號。

• 事前攔截策略可能會影響到其他的雲端服務。例如：設定了ECS執行個體的標籤事前攔截，則Auto Scaling服務和Container Service在進行ECS執行個體的擴容或縮容時，可能會因為未給執行個體綁定符合規範的標籤而導致ECS執行個體的擴容或縮容失敗。在使用前，請充分確認相關服務能夠進行符合規範的標籤操作。

操作步驟

標籤事前攔截功能可以攔截當前帳號或資來源目錄成員中的不合規標籤操作。以下將提供一個資來源目錄標籤策略的樣本，使用資來源目錄管理帳號啟用並建立標籤策略，強制資來源目錄成員在建立ECS執行個體時，需要為該ECS執行個體綁定成本中心標籤。其中標籤鍵為CostCenter，標籤值為Beijing或Shanghai。設定的標籤合規時，ECS執行個體建立成功；否則，建立失敗。

根據安全最佳實務，推薦您為資來源目錄的管理帳號建立一個RAM使用者，並授予AdministratorAccess許可權，充當資來源目錄的管理員（簡稱為RD管理員）。以下操作將使用RD管理員完成。關於如何建立RAM使用者並授權的操作，請參見建立RAM使用者和為RAM使用者授權。

1. 登入標籤控制台。

2. 啟用標籤策略。

   具體操作，請參見啟用標籤策略。

3. 建立標籤策略。

   1. 在策略庫頁面的資來源目錄策略頁簽，單擊建立標籤策略。

   2. 輸入策略名稱稱。

   3. 輸入策略描述。

   4. 使用快速錄入模式配置策略資訊。

      1. 選擇策略情境為資源綁定指定標籤值。

      2. 在標籤鍵文字框，輸入CostCenter。

      3. 輸入允許的標籤值。

         支援通過換行設定多個標籤值，每行輸入一個標籤值。本樣本中，將添加Beijing和Shanghai兩個標籤值。

      4. 選中事前攔截，然後單擊指定資源類型。

      5. 在指定事前攔截的範圍對話方塊，先閱讀並確認事前攔截的風險，然後選中資源類型為ECS執行個體，最後單擊確定。

      

   5. 單擊建立。

4. 綁定標籤策略。

   1. 在標籤策略列表中，找到步驟3建立的標籤策略，單擊其操作列的綁定。

   2. 在綁定對話方塊，選擇繫結目標，然後單擊確定。

      不同繫結目標的生效範圍如下。您可以先綁定到某一個用於測試的成員上，測試無誤後，再綁定到Root資源夾或指定資源夾上。

      • Root資源夾：標籤策略對整個資來源目錄內的全部成員生效。

      • 指定資源夾：標籤策略僅對指定資源夾內的全部成員生效。

      • 指定成員：標籤策略僅對指定成員生效。

5. 驗證標籤策略是否生效。

   1. RD管理員訪問步驟4綁定的資來源目錄成員。

      具體操作，請參見成員登入阿里雲控制台。

   2. 在成員的管理主控台上，建立一個ECS執行個體，驗證標籤策略是否生效。

      • 建立成功

        當ECS執行個體綁定標籤CostCenter:Beijing或CostCenter:Shanghai時，ECS執行個體將會建立成功。

      • 建立失敗

        預設情況，僅針對在標籤策略中設定的標籤生效。即出現以下情況會建立失敗：

        • 輸入的標籤鍵或標籤值大小寫不合規。例如：costCenter:beijing。

        • 只設定了標籤鍵CostCenter，未設定標籤值或設定的標籤值不合規。

        如果您開通了強校正功能，除以上兩種情況外，未綁定任何標籤或綁定了其他標籤的情況，也會建立失敗。

錯誤碼