標籤策略需要啟用後才能正常使用。
背景資訊
啟用方式
標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。您可以根據實際的使用情境和當前登入的帳號類型,啟用對應的標籤策略。具體如下表所示。
使用情境 | 當前登入帳號類型 | 標籤策略模式 | 操作步驟 |
企業雲上業務比較簡單,使用的是單個阿里雲帳號及RAM使用者的管理員模式,此時,您可以通過阿里雲帳號啟用當前帳號標籤策略,規範管理阿里雲帳號及RAM使用者的標籤操作。 | 阿里雲帳號(未加入資來源目錄) | 當前帳號標籤策略:管控阿里雲帳號及其下RAM使用者的標籤。 | |
如果企業雲上業務比較複雜,已使用資來源目錄(RD)搭建了雲上的多帳號管理體系,此時,您可以通過RD管理帳號啟用資來源目錄標籤策略,規範管理RD中各成員的標籤操作。 | 資來源目錄的管理帳號 | 您可以根據需要,同時啟用或分別啟用以下兩種模式的標籤策略:
| |
資來源目錄的成員 | 根據資來源目錄是否啟用標籤策略,分為以下兩種情況:
|
RAM許可權
您可以使用阿里雲帳號(主帳號)或其下的RAM使用者啟用標籤策略,安全最佳實務推薦您使用RAM使用者。您需要為該RAM使用者授予以下許可權。具體操作,請參見建立自訂權限原則和為RAM使用者授權。
{
"Version": "1",
"Statement": [
{
"Action": [
"tag:GetConfigRuleReport",
"tag:GenerateConfigRuleReport",
"tag:GetEffectivePolicy",
"tag:ListConfigRulesForTarget",
"tag:ListPoliciesForTarget",
"tag:ListTargetsForPolicy",
"tag:ListPolicies",
"tag:GetPolicy",
"tag:GetPolicyEnableStatus",
"tag:DetachPolicy",
"tag:DeletePolicy",
"tag:ModifyPolicy",
"tag:AttachPolicy",
"tag:CreatePolicy",
"tag:DisablePolicyType",
"tag:EnablePolicyType"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rd:ListAccountsForParent",
"rd:ListFoldersForParent",
"rd:GetResourceDirectory",
"config:GetAggregateResourceComplianceByConfigRule",
"config:ListAggregateConfigRuleEvaluationResults",
"config:GetAggregateConfigRulesReport",
"config:GetResourceComplianceGroupByRegion",
"config:ListConfigRuleEvaluationResults",
"config:GetConfigRulesReport",
"config:ListRemediations",
"oos:ListExecutions"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
使用阿里雲帳號啟用標籤策略
未加入資來源目錄的阿里雲帳號可以啟用當前帳號標籤策略。
使用資來源目錄管理帳號啟用標籤策略
資來源目錄的管理帳號可以啟用資來源目錄標籤策略和當前帳號標籤策略。
使用資來源目錄成員啟用標籤策略
當資來源目錄未啟用標籤策略時,資來源目錄的成員可以啟用當前帳號標籤策略。
登入成員帳號。
具體操作,請參見成員登入阿里雲控制台。
登入標籤控制台。
在左側導覽列,選擇 。
在策略庫頁面,單擊啟用標籤策略。
在啟用標籤策略對話方塊,單擊確定。
啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色。