标签策略需要启用后才能正常使用。
背景信息
启用方式
标签策略支持当前账号标签策略和资源目录标签策略两种。您可以根据实际的使用场景和当前登录的账号类型,启用对应的标签策略。具体如下表所示。
使用场景 | 当前登录账号类型 | 标签策略模式 | 操作步骤 |
企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用当前账号标签策略,规范管理阿里云账号及RAM用户的标签操作。 | 阿里云账号(未加入资源目录) | 当前账号标签策略:管控阿里云账号及其下RAM用户的标签。 | |
如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用资源目录标签策略,规范管理RD中各成员的标签操作。 | 资源目录的管理账号 | 您可以根据需要,同时启用或分别启用以下两种模式的标签策略:
| |
资源目录的成员 | 根据资源目录是否启用标签策略,分为以下两种情况:
|
RAM权限
您可以使用阿里云账号(主账号)或其下的RAM用户启用标签策略,安全最佳实践推荐您使用RAM用户。您需要为该RAM用户授予以下权限。具体操作,请参见创建自定义权限策略和为RAM用户授权。
{
"Version": "1",
"Statement": [
{
"Action": [
"tag:GetConfigRuleReport",
"tag:GenerateConfigRuleReport",
"tag:GetEffectivePolicy",
"tag:ListConfigRulesForTarget",
"tag:ListPoliciesForTarget",
"tag:ListTargetsForPolicy",
"tag:ListPolicies",
"tag:GetPolicy",
"tag:GetPolicyEnableStatus",
"tag:DetachPolicy",
"tag:DeletePolicy",
"tag:ModifyPolicy",
"tag:AttachPolicy",
"tag:CreatePolicy",
"tag:DisablePolicyType",
"tag:EnablePolicyType"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rd:ListAccountsForParent",
"rd:ListFoldersForParent",
"rd:GetResourceDirectory",
"config:GetAggregateResourceComplianceByConfigRule",
"config:ListAggregateConfigRuleEvaluationResults",
"config:GetAggregateConfigRulesReport",
"config:GetResourceComplianceGroupByRegion",
"config:ListConfigRuleEvaluationResults",
"config:GetConfigRulesReport",
"config:ListRemediations",
"oos:ListExecutions"
],
"Resource": "*",
"Effect": "Allow"
}
]
}使用阿里云账号启用标签策略
未加入资源目录的阿里云账号可以启用当前账号标签策略。
使用资源目录管理账号启用标签策略
资源目录的管理账号可以启用资源目录标签策略和当前账号标签策略。
使用资源目录成员启用标签策略
当资源目录未启用标签策略时,资源目录的成员可以启用当前账号标签策略。
登入成员账号。
具体操作,请参见成员登录阿里云控制台。
登录标签控制台。
在左侧导航栏,选择。
在策略库页面,单击启用标签策略。
在启用标签策略对话框,单击确定。
启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色。