全部產品
Search
文件中心

Resource Management:啟用標籤策略

更新時間:Jun 30, 2024

標籤策略需要啟用後才能正常使用。

背景資訊

啟用方式

標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。您可以根據實際的使用情境和當前登入的帳號類型,啟用對應的標籤策略。具體如下表所示。

使用情境

當前登入帳號類型

標籤策略模式

操作步驟

企業雲上業務比較簡單,使用的是單個阿里雲帳號及RAM使用者的管理員模式,此時,您可以通過阿里雲帳號啟用當前帳號標籤策略,規範管理阿里雲帳號及RAM使用者的標籤操作。

阿里雲帳號(未加入資來源目錄)

當前帳號標籤策略:管控阿里雲帳號及其下RAM使用者的標籤。

使用阿里雲帳號啟用標籤策略

如果企業雲上業務比較複雜,已使用資來源目錄(RD)搭建了雲上的多帳號管理體系,此時,您可以通過RD管理帳號啟用資來源目錄標籤策略,規範管理RD中各成員的標籤操作。

資來源目錄的管理帳號

您可以根據需要,同時啟用或分別啟用以下兩種模式的標籤策略:

  • 資來源目錄標籤策略:管控整個資來源目錄內(不含管理帳號本身)的標籤。

    重要

    如果資來源目錄的任意一個成員啟用了當前帳號標籤策略,則資來源目錄的管理帳號不能啟用資來源目錄標籤策略。此時,您需要禁用成員的當前帳號標籤策略後,重新啟用資來源目錄標籤策略。

  • 當前帳號標籤策略:僅管控管理帳號本身的標籤。

使用資來源目錄管理帳號啟用標籤策略

資來源目錄的成員

根據資來源目錄是否啟用標籤策略,分為以下兩種情況:

  • 如果資來源目錄未啟用標籤策略,則資來源目錄的成員可以啟用當前帳號標籤策略,只管控成員下的標籤。

  • 如果資來源目錄已啟用標籤策略,則資來源目錄的成員不允許啟用當前帳號標籤策略。標籤策略將統一由資來源目錄的管理帳號管理,成員只能查看自己的有效原則。

使用資來源目錄成員啟用標籤策略

RAM許可權

您可以使用阿里雲帳號(主帳號)或其下的RAM使用者啟用標籤策略,安全最佳實務推薦您使用RAM使用者。您需要為該RAM使用者授予以下許可權。具體操作,請參見建立自訂權限原則為RAM使用者授權

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "tag:GetConfigRuleReport",
              "tag:GenerateConfigRuleReport",
              "tag:GetEffectivePolicy",
              "tag:ListConfigRulesForTarget",
              "tag:ListPoliciesForTarget",
              "tag:ListTargetsForPolicy",
              "tag:ListPolicies",
              "tag:GetPolicy",
              "tag:GetPolicyEnableStatus",
              "tag:DetachPolicy",
              "tag:DeletePolicy",
              "tag:ModifyPolicy",
              "tag:AttachPolicy",
              "tag:CreatePolicy",
              "tag:DisablePolicyType",
              "tag:EnablePolicyType"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "rd:ListAccountsForParent",
                "rd:ListFoldersForParent",
                "rd:GetResourceDirectory",
                "config:GetAggregateResourceComplianceByConfigRule",
                "config:ListAggregateConfigRuleEvaluationResults",
                "config:GetAggregateConfigRulesReport",
                "config:GetResourceComplianceGroupByRegion",
                "config:ListConfigRuleEvaluationResults",
                "config:GetConfigRulesReport",
                "config:ListRemediations",
                "oos:ListExecutions"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

使用阿里雲帳號啟用標籤策略

未加入資來源目錄的阿里雲帳號可以啟用當前帳號標籤策略。

  1. 登入標籤控制台

  2. 在左側導覽列,選擇標籤策略 > 策略庫

  3. 策略庫頁面,單擊啟用標籤策略

  4. 啟用標籤策略對話方塊,單擊確定

    啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色

使用資來源目錄管理帳號啟用標籤策略

資來源目錄的管理帳號可以啟用資來源目錄標籤策略和當前帳號標籤策略。

  1. 登入標籤控制台

  2. 在左側導覽列,選擇標籤策略 > 策略庫

  3. 策略庫頁面,單擊啟用標籤策略

  4. 啟用標籤策略對話方塊,選擇標籤策略模式。

    您可以同時選擇以下兩種模式,也可以任選其一:

    • 資來源目錄開通標籤策略:為資來源目錄啟用標籤策略。

    • 當前帳號開通標籤策略:為管理帳號本身啟用標籤策略。

  5. 單擊確定

    啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色

使用資來源目錄成員啟用標籤策略

當資來源目錄未啟用標籤策略時,資來源目錄的成員可以啟用當前帳號標籤策略。

  1. 登入成員帳號。

    具體操作,請參見成員登入阿里雲控制台

  2. 登入標籤控制台

  3. 在左側導覽列,選擇標籤策略 > 策略庫

  4. 策略庫頁面,單擊啟用標籤策略

  5. 啟用標籤策略對話方塊,單擊確定

    啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色