全部產品
Search
文件中心

Resource Management:標籤策略概述

更新時間:Nov 09, 2024

標籤策略是用來協助企業實施標籤正常化的一種策略。通過標籤策略,企業可以限定資源上必須綁定的合規標籤。合規標籤可以提升企業在標籤分賬、標籤分權、自動化營運等情境的管理效率。標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種,可以滿足企業在不同階段對標籤正常化管控的需求。

應用情境

當企業在雲上的資源越來越多時,企業可以通過標籤對資源進行標記,實現資源分類、標籤分賬和自動化營運等。 但是,在給資源綁定標籤的過程中,可能會遇到一些問題。例如:建立資源後,忘了綁定標籤;只綁定了部分標籤(例如:綁定了營運相關的標籤,遺漏了財務相關的標籤。);綁定的標籤拼字錯誤等。這些問題會導致企業在標籤分賬時,出現不易劃分財務歸屬的資源記錄;企業在自動化營運時,出現不能自動化執行的資源。標籤策略將在以下情境提供解決方案:

  • 標籤自動檢測

    資源建立後,您可以通過標籤策略監聽資源變更情況,及時發現綁定了不合規標籤的資源,包含以下兩種情況:

    • 資源綁定了標籤,但是標籤不規範。

    • 資源未綁定指定標籤。

    自動檢測的方式可以自動化地、全面地提早發現問題。

    具體操作,請參見使用標籤策略實現標籤自動檢測

  • 標籤自動修複

    基於標籤自動檢測的結果,如果您的規則符合自動修複的條件,並開啟了自動修複,則無需人工操作,標籤策略會對不合規資源的標籤進行自動修複。

    具體操作,請參見使用標籤策略實現標籤自動修複

  • 不合規標籤事前攔截

    自動檢測具有一定時延,可能會存在:從建立資源到觸發檢測的時間段內,資源未綁定合規標籤。此外,標籤最佳實務推薦您從一開始建立資源時就進列標籤正常化管控。此時,您可以通過標籤策略,實現資源建立時就強制綁定合規標籤,攔截不合規標籤。

    預設情況下,僅針對在標籤策略中設定的標籤生效。當您開啟事前攔截的強校正功能後,還可以對未綁定任何標籤以及綁定了其他標籤的情況生效。

    具體操作,請參見使用標籤策略實現不合規標籤的事前攔截

  • 資源群組標籤自動繼承到組內資源

    為資源群組綁定標籤後,當在資源群組中建立資源或者將資源加入到資源群組時,該資源會自動繼承資源群組的標籤。

    具體操作,請參見使用標籤策略實現基於資源群組的標籤自動繼承

標籤策略模式

標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。您可以根據實際的使用情境和當前登入的帳號類型,啟用對應的標籤策略。具體如下表所示。

使用情境

當前登入帳號類型

標籤策略模式

操作步驟

企業雲上業務比較簡單,使用的是單個阿里雲帳號及RAM使用者的管理員模式,此時,您可以通過阿里雲帳號啟用當前帳號標籤策略,規範管理阿里雲帳號及RAM使用者的標籤操作。

阿里雲帳號(未加入資來源目錄)

當前帳號標籤策略:管控阿里雲帳號及其下RAM使用者的標籤。

使用阿里雲帳號啟用標籤策略

如果企業雲上業務比較複雜,已使用資來源目錄(RD)搭建了雲上的多帳號管理體系,此時,您可以通過RD管理帳號啟用資來源目錄標籤策略,規範管理RD中各成員的標籤操作。

資來源目錄的管理帳號

您可以根據需要,同時啟用或分別啟用以下兩種模式的標籤策略:

  • 資來源目錄標籤策略:管控整個資來源目錄內(不含管理帳號本身)的標籤。

    重要

    如果資來源目錄的任意一個成員啟用了當前帳號標籤策略,則資來源目錄的管理帳號不能啟用資來源目錄標籤策略。此時,您需要禁用成員的當前帳號標籤策略後,重新啟用資來源目錄標籤策略。

  • 當前帳號標籤策略:僅管控管理帳號本身的標籤。

使用資來源目錄管理帳號啟用標籤策略

資來源目錄的成員

根據資來源目錄是否啟用標籤策略,分為以下兩種情況:

  • 如果資來源目錄未啟用標籤策略,則資來源目錄的成員可以啟用當前帳號標籤策略,只管控成員下的標籤。

  • 如果資來源目錄已啟用標籤策略,則資來源目錄的成員不允許啟用當前帳號標籤策略。標籤策略將統一由資來源目錄的管理帳號管理,成員只能查看自己的有效原則。

使用資來源目錄成員啟用標籤策略

使用限制

限制項

規格

當前帳號標籤策略中最多允許建立標籤策略的數量

100個

資來源目錄標籤策略中最多允許建立標籤策略的數量

100個

每個標籤策略的最大長度

2048個字元

事前攔截策略的生效時間

  • 繫結原則目標後,5分鐘內事前攔截策略生效。

  • 修改策略內容後,5分鐘內事前攔截策略生效。

自動檢測的生效時間

  • 標籤策略綁定成功後,1小時內觸發自動檢測。

  • 目標帳號中建立資源成功後,10分鐘內觸發自動檢測。

  • 目標帳號中的資源變更時,會即時觸發自動檢測。

  • 修改策略內容後,系統會在目標帳號中啟動一次全量檢測。全量檢測的時間長短取決於資源數量的多少。資源越多,全量檢測的時間越長。

自動修複的生效時間

檢測出不合規資源後,10分鐘內自動修複。

最佳實務

支援標籤策略的雲端服務

雲端服務

雲端服務代碼

資源類型

是否支援標籤自動檢測和修複

是否支援資源群組標籤自動繼承

是否支援事前攔截

支援事前攔截預設功能的API

支援事前攔截強校正功能的API

Elastic Compute Service

ecs

instance

RunInstances

RunInstances

CreateInstance

CreateInstance

TagResources

eni

CreateNetworkInterface

CreateNetworkInterface

TagResources

securitygroup

CreateSecurityGroup

CreateSecurityGroup

TagResources

disk

CreateDisk

CreateDisk

TagResources

snapshot

CreateSnapshot

CreateSnapshot

TagResources

ddh

AllocateDedicatedHosts

AllocateDedicatedHosts

TagResources

image

CreateImage

CreateImage

CopyImage

TagResources

keypair

ImportKeyPair

ImportKeyPair

CreateKeyPair

CreateKeyPair

TagResources

launchtemplate

CreateLaunchTemplate

CreateLaunchTemplate

TagResources

snapshotpolicy

CreateAutoSnapshotPolicy

CreateAutoSnapshotPolicy

雲資料庫RDS

rds

instance

CreateDBInstance

TagResources

負載平衡

slb

instance

TagResources

certificate

TagResources

acl

TagResources

應用型負載平衡

alb

acl

TagResources - 給資源添加標籤

loadbalancer

TagResources - 給資源添加標籤

securitypolicy

TagResources - 給資源添加標籤

servergroup

TagResources - 給資源添加標籤

Virtual Private Cloud

vpc

vpc

TagResources

vswitch

TagResources

routetable

TagResources

NAT Gateway

vpc

natgateway

TagResources

VPN網關

vpc

vpngateway

TagResources

共用頻寬

vpc

commonbandwidthpackage

TagResources

Elastic IP Address

vpc

eip

TagResources

雲企業網

cen

cen

TagResources

bandwidthpackage

TagResources

CDN

cdn

domain

Object Storage Service

oss

bucket

雲資料庫Tair(相容Redis®

kvstore

instance

CreateInstance - 建立一個Tair(相容Redis)執行個體

TagResources - 為一個或多個執行個體綁定標籤

ApsaraDB for MongoDB

dds

instance

TagResources

ApsaraDB for HBase版

multimod

cluster

TagResources

雲原生關係型資料庫PolarDB

polardb

cluster

Apsara File Storage NAS

nas

filesystem

DDoS防護

ddoscoo

instance

TagResources - 為指定資源綁定標籤

CreateTagResources - 為資源關聯標籤

Container Service

cs

cluster

API Gateway服務

apigateway

api

apigroup

app

instance

plugin

Alibaba Cloud DNS

alidns

domain

Auto Scaling

ess

scalinggroup

CreateScalingGroup

CreateScalingGroup

TagResources

Elastic Container Instance

eci

containergroup

CreateContainerGroup - 建立一個容器組

CreateContainerGroup - 建立一個容器組

UpdateContainerGroup - 更新一個容器組

imagecache

UpdateImageCache - 更新一個鏡像緩衝

CreateImageCache - 建立一個鏡像緩衝

virtualnode

UpdateVirtualNode - 更新一個虛擬節點

CreateVirtualNode - 建立一個虛擬節點

CreateVirtualNode - 建立一個虛擬節點

訊息佇列RocketMQ版

mq

group

TagResources

instance

TagResources

topic

TagResources

Bastionhost

bastionhost

instance

TagResources

Resource Orchestration Service

ros

changeset

TagResources

stack

CreateStack

CreateStack

UpdateStack

TagResources

template

TagResources

說明:

事前攔截分為建立資源時攔截為資源綁定標籤時攔截兩種情境,不同雲端服務、不同資源類型、不同API對兩種情境的支援情況不同。以ECS的instance為例,CreateInstance是在建立ECS執行個體時攔截不合規標籤,TagResources是在為ECS執行個體綁定標籤時攔截不合規標籤。

事前攔截的強校正功能需要手動開啟後才會生效。更多資訊,請參見使用標籤策略實現不合規標籤的事前攔截