全部產品
Search
文件中心

Resource Management:使用標籤策略實現不合規標籤的事前攔截

更新時間:Dec 19, 2024

您可以使用標籤策略對不合規標籤的綁定進行事前攔截,規範標籤操作。

應用情境

強制標籤

情境一:建立資源時攔截不合規標籤

預設功能

建立資源時綁定了所需標籤,標籤鍵合規,但是標籤值不合規,此時,標籤策略會進行攔截,資源建立會失敗。

例如:您可以在標籤策略中設定建立ECS執行個體時,必須綁定標籤CostCenter:Beijing。當您實際建立ECS執行個體時,若綁定了不合規標籤(例如:CostCenter:beijingCostCenter:Shenzhen等),ECS執行個體會建立失敗。

支援事前攔截預設功能的資源類型及API,請參見支援標籤策略的雲端服務支援事前攔截預設功能的API列。

強校正功能

建立資源時未綁定所需標籤,此時,標籤策略會進行攔截,資源建立會失敗。

例如:您可以在標籤策略中設定建立ECS執行個體時,必須綁定標籤CostCenter:Beijing。當您實際建立ECS執行個體時,若未綁定任何標籤或合規標籤CostCenter:Beijing,ECS執行個體會建立失敗。

強校正功能需要手動開啟後,才會生效。對於資來源目錄,開啟後會對資來源目錄的所有成員生效。

您可以登入標籤控制台,在策略庫頁面,手動開啟強校正功能。不用時,也可以隨時關閉該功能。

image

支援強校正功能的資源類型及API,請參見支援標籤策略的雲端服務支援事前攔截強校正功能的API列。

情境二:為資源綁定標籤時攔截不合規標籤

為已存在的資源綁定標籤時,校正標籤策略中設定的標籤鍵和標籤值是否符合規則。如符合規則,則標籤綁定成功,否則,標籤綁定失敗。

最佳實務

  • 設定事前攔截,會影響到資源的生產。建議在測試帳號進行充分的測試後,再應用到生產帳號。

  • 事前攔截策略可能會影響到其他的雲端服務。例如:設定了ECS執行個體的標籤事前攔截,則Auto Scaling服務和Container Service在進行ECS執行個體的擴容或縮容時,可能會因為未給執行個體綁定符合規範的標籤而導致ECS執行個體的擴容或縮容失敗。在使用前,請充分確認相關服務能夠進行符合規範的標籤操作。

操作步驟

標籤事前攔截功能可以攔截當前帳號或資來源目錄成員中的不合規標籤操作。以下將提供一個資來源目錄標籤策略的樣本,使用資來源目錄管理帳號啟用並建立標籤策略,強制資來源目錄成員在建立ECS執行個體時,需要為該ECS執行個體綁定成本中心標籤。其中標籤鍵為CostCenter,標籤值為BeijingShanghai。設定的標籤合規時,ECS執行個體建立成功;否則,建立失敗。

根據安全最佳實務,推薦您為資來源目錄的管理帳號建立一個RAM使用者,並授予AdministratorAccess許可權,充當資來源目錄的管理員(簡稱為RD管理員)。以下操作將使用RD管理員完成。關於如何建立RAM使用者並授權的操作,請參見建立RAM使用者為RAM使用者授權

  1. 登入標籤控制台

  2. 啟用標籤策略。

    具體操作,請參見啟用標籤策略

  3. 建立標籤策略。

    1. 策略庫頁面的資來源目錄策略頁簽,單擊建立標籤策略

    2. 輸入策略名稱稱。

    3. 輸入策略描述。

    4. 使用快速錄入模式配置策略資訊。

      1. 選擇策略情境為資源綁定指定標籤值

      2. 標籤鍵文字框,輸入CostCenter

      3. 輸入允許的標籤值。

        支援通過換行設定多個標籤值,每行輸入一個標籤值。本樣本中,將添加BeijingShanghai兩個標籤值。

      4. 選中事前攔截,然後單擊指定資源類型

      5. 指定事前攔截的範圍對話方塊,先閱讀並確認事前攔截的風險,然後選中資源類型為ECS執行個體,最後單擊確定

      image

    5. 單擊建立

  4. 綁定標籤策略。

    1. 在標籤策略列表中,找到步驟3建立的標籤策略,單擊其操作列的綁定

    2. 綁定對話方塊,選擇繫結目標,然後單擊確定

      不同繫結目標的生效範圍如下。您可以先綁定到某一個用於測試的成員上,測試無誤後,再綁定到Root資源夾或指定資源夾上。

      • Root資源夾:標籤策略對整個資來源目錄內的全部成員生效。

      • 指定資源夾:標籤策略僅對指定資源夾內的全部成員生效。

      • 指定成員:標籤策略僅對指定成員生效。

  5. 驗證標籤策略是否生效。

    1. RD管理員訪問步驟4綁定的資來源目錄成員。

      具體操作,請參見成員登入阿里雲控制台

    2. 在成員的管理主控台上,建立一個ECS執行個體,驗證標籤策略是否生效。

      • 建立成功

        當ECS執行個體綁定標籤CostCenter:BeijingCostCenter:Shanghai時,ECS執行個體將會建立成功。

      • 建立失敗

        預設情況,僅針對在標籤策略中設定的標籤生效。即出現以下情況會建立失敗:

        • 輸入的標籤鍵或標籤值大小寫不合規。例如:costCenter:beijing

        • 只設定了標籤鍵CostCenter,未設定標籤值或設定的標籤值不合規。

        如果您開通了強校正功能,除以上兩種情況外,未綁定任何標籤或綁定了其他標籤的情況,也會建立失敗。

錯誤碼

錯誤碼

錯誤資訊樣本

說明

Forbidden.TagPolicy

The operation is failure, because the valid tag policy values of 'TagValue' are ["red","green","orange","blue","pink","white","black","grey"], but the value is "xxx".

標籤鍵合規,但標籤值不合規,導致資源建立失敗。請輸入標籤策略中TagValue規定的標籤值。

The operation is failure, because the valid tag policy values of 'TagKey' are ["colorful"], but the value is "colorFul".

標籤鍵大小寫不合規,導致資源建立失敗。請輸入與標籤策略中TagKey大小寫完全一致的標籤鍵。

The operation is failure, because the tag policy keys ["color"] are necessary.

標籤不合規,缺少標籤鍵color,導致資源建立失敗。請輸入標籤策略中color規定的標籤。