全部產品
Search

搜尋本產品

    Resource Management:標籤策略快速入門

    文件中心

    Resource Management:標籤策略快速入門

    更新時間:Jun 30, 2024

    本文為您介紹如何快速地使用標籤策略來規範標籤的操作。

    背景資訊

    標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。更多資訊,請參見標籤策略模式

    首次使用標籤策略時,建議您先在資源較少的測試帳號上啟用標籤策略,等待測試成功後,再在生產帳號上啟用標籤策略。

    當前帳號標籤策略

    步驟一:啟用標籤策略

    1. 登入標籤控制台

    2. 在左側導覽列,選擇標籤策略 > 策略庫

    3. 策略庫頁面,單擊啟用標籤策略

    4. 啟用標籤策略對話方塊,單擊確定

      啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色

    步驟二:建立標籤策略

    您可以建立標籤策略,通過配置策略內容,限定資源上必須綁定的標籤,確保資源綁定合規的標籤。

    1. 在左側導覽列,選擇標籤策略 > 策略庫

    2. 策略庫頁面,單擊建立標籤策略

    3. 基本資料地區,輸入策略名稱稱和描述。

    4. 策略資訊地區,選擇以下任意一種方式,配置策略內容。

      • 快速錄入(推薦)

        選擇策略情境,然後根據不同的策略情境配置不同的規則。

        • 資源綁定指定標籤值

          您可以在標籤策略中設定資源綁定指定的標籤值,結合不同的執行方式,實現不合規標籤自動檢測、不合規標籤自動修複、對不合規標籤的綁定操作進行事前攔截等。

          規則

          說明

          標籤鍵

          輸入標籤鍵名稱。

          指定允許的標籤值

          標籤鍵允許使用的標籤值。支援輸入多值。支援輸入萬用字元星號(*),表示允許任意標籤值。

          策略執行方式

          • 事後檢測

            事後檢測為該標籤策略情境的預設執行方式,您可以直接在檢測結果頁面查看檢測結果。您可以根據需要啟用以下的檢測規則:

            • 為此標籤鍵指定檢測的資源類型:事後檢測預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

            • 指定資源群組範圍:預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

              說明

              資來源目錄標籤策略不支援指定資源群組範圍參數。

            • 指定地區範圍:預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

            • 啟用自動修複:對不合規資源的標籤進行自動修複。您需要指定合規標籤值和執行自動修複的資源範圍。目前只支援通過標籤指定資源範圍。

          • 事前攔截

            事前攔截將在建立新資源以及為已有資源綁定標籤時進行檢測,檢測不通過時將對操作進行攔截。具體如下:

          • 資源自動繼承資源群組標籤

            您可以為資源群組綁定標籤,然後在標籤策略中設定資源自動繼承資源群組標籤,就可以實現當資源群組中建立資源或者將資源加入到資源群組時,該資源自動繼承資源群組的指定標籤。

            規則

            說明

            標籤鍵

            輸入標籤鍵名稱。

            為此標籤鍵指定檢測的資源類型

            預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

            指定資源群組範圍

            預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

            說明

            資來源目錄標籤策略不支援指定資源群組範圍參數。

            指定需要排除的資源ID

            指定資源群組內需要排除的資源ID,即這些資源不自動繼承資源群組標籤。最多可以指定20個資源ID。

            指定地區範圍

            預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

          • 標籤值匹配指定Regex

            您可以在標籤策略中設定標籤值需要滿足的Regex,以此約束標籤值的合規性。對於不滿足Regex的標籤值,支援自動修複。

            規則

            說明

            標籤鍵

            輸入標籤鍵名稱。

            指定允許的標籤值

            輸入Regex,約束標籤值的格式。

            策略執行方式

            事後檢測為該標籤策略情境的預設執行方式,您可以直接在檢測結果頁面查看檢測結果。您還可以根據需要啟用以下的檢測規則:

            • 為此標籤鍵指定檢測的資源類型:事後檢測預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

            • 指定資源群組範圍:預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

              說明

              資來源目錄標籤策略不支援指定資源群組範圍參數。

            • 指定地區範圍:預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

            • 啟用自動修複:對不合規資源的標籤進行自動修複。您需要指定合規標籤值和執行自動修複的資源範圍。目前只支援通過標籤指定資源範圍。

          您可以單擊添加策略情境和標籤鍵,對多個策略情境和標籤鍵配置規則。

        • JSON

          編寫JSON格式的策略資訊。該方式適用於對標籤策略有高階需求的使用者。使用前,您需要掌握策略文法知識。更多資訊,請參見標籤策略文法

      • 單擊建立

      步驟三:綁定標籤策略

      當您成功建立標籤策略後,您還需要將標籤策略綁定到當前帳號,才能對當前帳號中的資源進列標籤正常化管控。

      1. 在左側導覽列,選擇標籤策略 > 策略庫

      2. 策略庫頁面,單擊目標標籤策略操作列的綁定

      3. 綁定對話方塊,單擊確定

        該標籤策略綁定到當前登入的阿里雲帳號。

      (可選)步驟四:查看有效原則

      標籤策略綁定成功後,阿里雲帳號可以查看自己已綁定的有效原則。

      1. 在左側導覽列,選擇標籤策略 > 有效原則

      2. 單擊策略情境頁簽,然後單擊標籤鍵名稱,查看有效原則及對應的檢測任務。

      步驟五:驗證標籤策略是否生效

      登入當前阿里雲帳號或其下的RAM使用者,執列標籤操作,驗證標籤策略是否生效。例如:如果您為VPC執行個體設定了標籤策略,要求其必須綁定標籤CostCenter:Beijing。當您綁定合規標籤CostCenter:Beijing時,會綁定成功;綁定其他不合規標籤(例如:costCenter:Shanghai)時,會綁定失敗。此時,證明標籤策略已生效。

      資來源目錄標籤策略

      根據安全最佳實務,推薦您為資來源目錄的管理帳號建立一個RAM使用者,並授予AdministratorAccess許可權,充當資來源目錄的管理員(簡稱為RD管理員)。以下操作將使用RD管理員完成。關於建立RAM使用者並授權的操作,請參見建立RAM使用者為RAM使用者授權

      步驟一:啟用標籤策略

      1. 登入標籤控制台

      2. 在左側導覽列,選擇標籤策略 > 策略庫

      3. 策略庫頁面,單擊啟用標籤策略

      4. 啟用標籤策略對話方塊,選擇標籤策略模式。

        您可以同時選擇以下兩種模式,也可以任選其一:

        • 資來源目錄開通標籤策略:為資來源目錄啟用標籤策略。

        • 當前帳號開通標籤策略:為管理帳號本身啟用標籤策略。

      5. 單擊確定

        啟用標籤策略時,會自動建立一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多資訊,請參見標籤服務關聯角色

      步驟二:建立標籤策略

      您可以建立標籤策略,通過配置策略內容,限定資源上必須綁定的標籤,確保資源綁定合規的標籤。

      1. 在左側導覽列,選擇標籤策略 > 策略庫

      2. 策略庫頁面的資來源目錄策略頁簽,單擊建立標籤策略

      3. 基本資料地區,輸入策略名稱稱和描述。

      4. 策略資訊地區,選擇以下任意一種方式,配置策略內容。

        • 快速錄入(推薦)

          選擇策略情境,然後根據不同的策略情境配置不同的規則。

          • 資源綁定指定標籤值

            您可以在標籤策略中設定資源綁定指定的標籤值,結合不同的執行方式,實現不合規標籤自動檢測、不合規標籤自動修複、對不合規標籤的綁定操作進行事前攔截等。

            規則

            說明

            標籤鍵

            輸入標籤鍵名稱。

            指定允許的標籤值

            標籤鍵允許使用的標籤值。支援輸入多值。支援輸入萬用字元星號(*),表示允許任意標籤值。

            策略執行方式

            • 事後檢測

              事後檢測為該標籤策略情境的預設執行方式,您可以直接在檢測結果頁面查看檢測結果。您可以根據需要啟用以下的檢測規則:

              • 為此標籤鍵指定檢測的資源類型:事後檢測預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

              • 指定資源群組範圍:預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

                說明

                資來源目錄標籤策略不支援指定資源群組範圍參數。

              • 指定地區範圍:預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

              • 啟用自動修複:對不合規資源的標籤進行自動修複。您需要指定合規標籤值和執行自動修複的資源範圍。目前只支援通過標籤指定資源範圍。

            • 事前攔截

              事前攔截將在建立新資源以及為已有資源綁定標籤時進行檢測,檢測不通過時將對操作進行攔截。具體如下:

            • 資源自動繼承資源群組標籤

              您可以為資源群組綁定標籤,然後在標籤策略中設定資源自動繼承資源群組標籤,就可以實現當資源群組中建立資源或者將資源加入到資源群組時,該資源自動繼承資源群組的指定標籤。

              規則

              說明

              標籤鍵

              輸入標籤鍵名稱。

              為此標籤鍵指定檢測的資源類型

              預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

              指定資源群組範圍

              預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

              說明

              資來源目錄標籤策略不支援指定資源群組範圍參數。

              指定需要排除的資源ID

              指定資源群組內需要排除的資源ID,即這些資源不自動繼承資源群組標籤。最多可以指定20個資源ID。

              指定地區範圍

              預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

            • 標籤值匹配指定Regex

              您可以在標籤策略中設定標籤值需要滿足的Regex,以此約束標籤值的合規性。對於不滿足Regex的標籤值,支援自動修複。

              規則

              說明

              標籤鍵

              輸入標籤鍵名稱。

              指定允許的標籤值

              輸入Regex,約束標籤值的格式。

              策略執行方式

              事後檢測為該標籤策略情境的預設執行方式,您可以直接在檢測結果頁面查看檢測結果。您還可以根據需要啟用以下的檢測規則:

              • 為此標籤鍵指定檢測的資源類型:事後檢測預設檢測支援的所有資源類型。您也可以根據需要指定資源類型,指定後,僅檢測指定的資源類型。

              • 指定資源群組範圍:預設檢測所有資源群組中的資源。您也可以根據需要指定資源群組範圍進行檢測。最多可以指定20個資源群組。

                說明

                資來源目錄標籤策略不支援指定資源群組範圍參數。

              • 指定地區範圍:預設檢測所有地區中的資源。您也可以根據需要指定地區範圍進行檢測。最多可以指定20個地區。

              • 啟用自動修複:對不合規資源的標籤進行自動修複。您需要指定合規標籤值和執行自動修複的資源範圍。目前只支援通過標籤指定資源範圍。

            您可以單擊添加策略情境和標籤鍵,對多個策略情境和標籤鍵配置規則。

          • JSON

            編寫JSON格式的策略資訊。該方式適用於對標籤策略有高階需求的使用者。使用前,您需要掌握策略文法知識。更多資訊,請參見標籤策略文法

        • 單擊建立

        步驟三:綁定標籤策略

        當您成功建立標籤策略後,您還需要將標籤策略綁定到目標帳號,才能對目標帳號中的資源進列標籤正常化管控。

        1. 在左側導覽列,選擇標籤策略 > 策略庫

        2. 策略庫頁面,單擊資來源目錄策略頁簽。

        3. 單擊目標標籤策略操作列的綁定

        4. 綁定對話方塊,選擇繫結目標,然後單擊確定

          各繫結目標的生效範圍如下:

          • Root資源夾:標籤策略對整個資來源目錄中的全部成員生效。

          • 指定資源夾:標籤策略僅對指定資源夾中的全部成員生效。

          • 指定成員:標籤策略僅對指定成員生效。

          說明

          資來源目錄標籤策略不能綁定到資來源目錄的管理帳號,但是,您可以為管理帳號建立和綁定當前帳號標籤策略。

        (可選)步驟四:查看有效原則

        標籤策略綁定成功後,RD管理帳號可以查看Root資源夾、資源夾和成員已生效的有效原則,成員可以查看自己已生效的有效原則。有效原則是根據標籤策略繼承關係計算得出的。更多資訊,請參見標籤策略繼承和有效原則計算

        1. 在左側導覽列,選擇標籤策略 > 有效原則

        2. 查看有效原則。

          • 單擊全部成員有效原則頁簽,查看資來源目錄成員綁定的有效原則及對應的檢測任務。

          • 單擊目前的目錄有效原則頁簽,查看資來源目錄管理帳號本身和資來源目錄節點綁定的有效原則及對應的檢測任務。

        步驟五:驗證標籤策略是否生效

        1. RD管理員訪問綁定了標籤策略的RD成員。

          具體操作,請參見成員登入阿里雲控制台

        2. 在成員的管理主控台上,執列標籤操作,驗證標籤策略是否生效。

          例如:如果您為VPC執行個體設定了標籤策略,要求其必須綁定標籤CostCenter:Beijing。當您綁定合規標籤CostCenter:Beijing時,會綁定成功;綁定其他不合規標籤(例如:costCenter:Shanghai)時,會綁定失敗。此時,證明標籤策略已生效。