標籤策略是用來協助企業實施標籤正常化的一種策略。通過標籤策略,企業可以限定資源上必須綁定的合規標籤。合規標籤可以提升企業在標籤分賬、標籤分權、自動化營運等情境的管理效率。標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種,可以滿足企業在不同階段對標籤正常化管控的需求。
應用情境
當企業在雲上的資源越來越多時,企業可以通過標籤對資源進行標記,實現資源分類、標籤分賬和自動化營運等。 但是,在給資源綁定標籤的過程中,可能會遇到一些問題。例如:建立資源後,忘了綁定標籤;只綁定了部分標籤(例如:綁定了營運相關的標籤,遺漏了財務相關的標籤。);綁定的標籤拼字錯誤等。這些問題會導致企業在標籤分賬時,出現不易劃分財務歸屬的資源記錄;企業在自動化營運時,出現不能自動化執行的資源。標籤策略將在以下情境提供解決方案:
標籤自動檢測
資源建立後,您可以通過標籤策略監聽資源變更情況,及時發現綁定了不合規標籤的資源,包含以下兩種情況:
資源綁定了標籤,但是標籤不規範。
資源未綁定指定標籤。
自動檢測的方式可以自動化地、全面地提早發現問題。
具體操作,請參見使用標籤策略實現標籤自動檢測。
標籤自動修複
基於標籤自動檢測的結果,如果您的規則符合自動修複的條件,並開啟了自動修複,則無需人工操作,標籤策略會對不合規資源的標籤進行自動修複。
具體操作,請參見使用標籤策略實現標籤自動修複。
不合規標籤事前攔截
自動檢測具有一定時延,可能會存在:從建立資源到觸發檢測的時間段內,資源未綁定合規標籤。此外,標籤最佳實務推薦您從一開始建立資源時就進列標籤正常化管控。此時,您可以通過標籤策略,實現資源建立時就強制綁定合規標籤,攔截不合規標籤。
預設情況下,僅針對在標籤策略中設定的標籤生效。當您開啟事前攔截的強校正功能後,還可以對未綁定任何標籤以及綁定了其他標籤的情況生效。
具體操作,請參見使用標籤策略實現不合規標籤的事前攔截。
資源群組標籤自動繼承到組內資源
為資源群組綁定標籤後,當在資源群組中建立資源或者將資源加入到資源群組時,該資源會自動繼承資源群組的標籤。
具體操作,請參見使用標籤策略實現基於資源群組的標籤自動繼承。
標籤策略模式
標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。您可以根據實際的使用情境和當前登入的帳號類型,啟用對應的標籤策略。具體如下表所示。
使用情境 | 當前登入帳號類型 | 標籤策略模式 | 操作步驟 |
企業雲上業務比較簡單,使用的是單個阿里雲帳號及RAM使用者的管理員模式,此時,您可以通過阿里雲帳號啟用當前帳號標籤策略,規範管理阿里雲帳號及RAM使用者的標籤操作。 | 阿里雲帳號(未加入資來源目錄) | 當前帳號標籤策略:管控阿里雲帳號及其下RAM使用者的標籤。 | |
如果企業雲上業務比較複雜,已使用資來源目錄(RD)搭建了雲上的多帳號管理體系,此時,您可以通過RD管理帳號啟用資來源目錄標籤策略,規範管理RD中各成員的標籤操作。 | 資來源目錄的管理帳號 | 您可以根據需要,同時啟用或分別啟用以下兩種模式的標籤策略:
| |
資來源目錄的成員 | 根據資來源目錄是否啟用標籤策略,分為以下兩種情況:
|
使用限制
限制項 | 規格 |
當前帳號標籤策略中最多允許建立標籤策略的數量 | 100個 |
資來源目錄標籤策略中最多允許建立標籤策略的數量 | 100個 |
每個標籤策略的最大長度 | 2048個字元 |
事前攔截策略的生效時間 |
|
自動檢測的生效時間 |
|
自動修複的生效時間 | 檢測出不合規資源後,10分鐘內自動修複。 |
最佳實務
支援標籤策略的雲端服務
雲端服務 | 雲端服務代碼 | 資源類型 | 是否支援標籤自動檢測和修複 | 是否支援資源群組標籤自動繼承 | 支援事前攔截預設功能的API① | 支援事前攔截強校正功能的API② |
Elastic Compute Service | ecs | instance | 是 | 是 | ||
無 | ||||||
eni | 是 | 否 | ||||
無 | ||||||
securitygroup | 是 | 是 | ||||
無 | ||||||
disk | 是 | 是 | ||||
無 | ||||||
snapshot | 是 | 否 | ||||
無 | ||||||
ddh | 是 | 是 | ||||
無 | ||||||
image | 否 | 否 | ||||
無 | ||||||
無 | ||||||
keypair | 否 | 否 | ||||
無 | ||||||
launchtemplate | 是 | 是 | ||||
無 | ||||||
snapshotpolicy | 否 | 否 | ||||
雲資料庫RDS | rds | instance | 是 | 是 | 無 | |
無 | ||||||
負載平衡 | slb | instance | 是 | 是 | 無 | |
certificate | 否 | 否 | 無 | |||
acl | 否 | 否 | 無 | |||
應用型負載平衡 | alb | acl | 否 | 否 | 無 | |
loadbalancer | 否 | 否 | 無 | |||
securitypolicy | 否 | 否 | 無 | |||
servergroup | 否 | 否 | 無 | |||
Virtual Private Cloud | vpc | vpc | 是 | 是 | 無 | |
vswitch | 是 | 否 | 無 | |||
routetable | 是 | 否 | 無 | |||
NAT Gateway | vpc | natgateway | 是 | 是 | 無 | |
VPN網關 | vpc | vpngateway | 否 | 否 | 無 | |
共用頻寬 | vpc | commonbandwidthpackage | 否 | 否 | 無 | |
Elastic IP Address | vpc | eip | 是 | 是 | 無 | |
雲企業網 | cen | cen | 是 | 是 | 無 | |
bandwidthpackage | 否 | 否 | 無 | |||
CDN | cdn | domain | 是 | 是 | 無 | 無 |
Object Storage Service | oss | bucket | 是 | 是 | 無 | 無 |
雲資料庫Tair(相容Redis®) | kvstore | instance | 是 | 是 | 無 | |
無 | ||||||
ApsaraDB for MongoDB | dds | instance | 是 | 是 | 無 | |
ApsaraDB for HBase版 | multimod | cluster | 是 | 是 | 無 | |
雲原生關係型資料庫PolarDB | polardb | cluster | 是 | 是 | 無 | 無 |
Apsara File Storage NAS | nas | filesystem | 是 | 是 | 無 | 無 |
DDoS防護 | ddoscoo | instance | 是 | 是 | 無 | |
無 | ||||||
Container Service | cs | cluster | 是 | 是 | 無 | 無 |
API Gateway服務 | apigateway | api | 是 | 是 | 無 | 無 |
apigroup | 是 | 是 | 無 | 無 | ||
app | 否 | 否 | 無 | 無 | ||
instance | 否 | 否 | 無 | 無 | ||
plugin | 否 | 否 | 無 | 無 | ||
Alibaba Cloud DNS | alidns | domain | 否 | 否 | 無 | 無 |
Auto Scaling | ess | scalinggroup | 否 | 否 | ||
無 | ||||||
Elastic Container Instance | eci | containergroup | 否 | 否 | ||
無 | ||||||
imagecache | 否 | 否 | 無 | |||
無 | ||||||
virtualnode | 否 | 否 | 無 | |||
訊息佇列RocketMQ版 | mq | group | 否 | 否 | 無 | |
instance | 否 | 否 | 無 | |||
topic | 否 | 否 | 無 | |||
Bastionhost | bastionhost | instance | 否 | 否 | 無 | |
Resource Orchestration Service | ros | changeset | 否 | 否 | 無 | |
stack | 否 | 否 | ||||
無 | ||||||
無 | ||||||
template | 否 | 否 | 無 |
說明:
①事前攔截分為建立資源時攔截和為資源綁定標籤時攔截兩種情境,不同雲端服務、不同資源類型、不同API對兩種情境的支援情況不同。以ECS的instance為例,CreateInstance是在建立ECS執行個體時攔截不合規標籤,TagResources是在為ECS執行個體綁定標籤時攔截不合規標籤。
②事前攔截的強校正功能需要手動開啟後才會生效。更多資訊,請參見強校正功能。