标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略,企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持单账号和多账号两种模式,可以满足企业在不同阶段对标签规范化管控的需求。
应用场景
当企业在云上的资源越来越多时,企业可以通过标签对资源进行标记,实现资源分类、标签分账和自动化运维等。 但是,在给资源绑定标签的过程中,可能会遇到一些问题。例如:创建资源后,忘了绑定标签;只绑定了部分标签(例如:绑定了运维相关的标签,遗漏了财务相关的标签。);绑定的标签拼写错误等。这些问题会导致企业在标签分账时,出现不易划分财务归属的资源记录;企业在自动化运维时,出现不能自动化执行的资源。标签策略将在以下场景提供解决方案:
- 标签自动检测
资源创建后,您可以通过标签策略监听资源变更情况,及时发现绑定了不合规标签的资源,包含以下两种情况:
- 资源绑定了标签,但是标签不规范。
- 资源未绑定指定标签。
自动检测的方式可以自动化地、全面地提早发现问题。
- 标签自动修复
基于标签自动检测的结果,如果您的规则符合自动修复的条件,并开启了自动修复,则无需人工操作,标签策略会对不合规资源的标签进行自动修复。
- 强制标签合规
自动检测具有一定时延,可能会存在:从创建资源到触发检测的时间段内,资源未绑定合规标签。此外,标签最佳实践推荐您从一开始创建资源时就进行标签规范化管控。此时,您可以通过标签策略,实现资源创建时就强制绑定合规标签,对于绑定了不合规标签的资源,将会创建失败。强制标签功能仅针对在标签策略中定义的标签生效,对于未绑定任何标签及绑定了其他标签的情况不生效。
说明 强制标签功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。 - 资源组标签自动继承到组内资源
为资源组绑定标签后,当在资源组中创建资源或者将资源加入到资源组时,该资源会自动继承资源组的标签。
标签策略模式
标签策略支持单账号模式和多账号模式。您可以根据实际的使用场景和当前登录的账号类型,启用不同模式的标签策略。具体如下表所示。
| 使用场景 | 当前登录账号类型 | 标签策略模式 | 操作步骤 |
|---|---|---|---|
| 企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用标签策略的单账号模式,规范管理阿里云账号及RAM用户的标签操作。 | 阿里云账号(未加入资源目录) | 单账号模式:管控阿里云账号及其下RAM用户的标签。 | 使用阿里云账号启用标签策略 |
| 如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用标签策略的多账号模式,规范管理RD中各成员的标签操作。 | 资源目录的管理账号 | 您可以根据需要,同时启用或分别启用以下两种模式的标签策略:
|
使用资源目录管理账号启用标签策略 |
| 资源目录的成员 | 根据资源目录是否启用标签策略,分为以下两种情况:
|
使用资源目录成员启用标签策略 |
使用限制
| 限制项 | 规格 |
|---|---|
| 单账号中最多允许创建标签策略的数量 | 10个 |
| 多账号中最多允许创建标签策略的数量 | 100个 |
| 每个标签策略的最大长度 | 2048个字符 |
| 强制标签的生效时间 |
|
| 自动检测的生效时间 |
|
| 自动修复的生效时间 | 检测出不合规资源后,10分钟内自动修复。 |
最佳实践
支持标签策略的云服务
| 云服务 | 云服务代码 | 资源类型 | 是否支持标签自动检测 | 是否支持资源组标签自动继承 | 是否支持强制标签① | 支持强制标签的API |
| 云服务器ECS | ecs | instance | 是 | 是 | 是 | RunInstances |
| CreateInstance | ||||||
| TagResources | ||||||
| eni | 是 | 否 | 是 | CreateNetworkInterface | ||
| TagResources | ||||||
| securitygroup | 是 | 是 | 是 | CreateSecurityGroup | ||
| TagResources | ||||||
| disk | 是 | 是 | 是 | CreateDisk | ||
| TagResources | ||||||
| snapshot | 是 | 否 | 是 | CreateSnapshot | ||
| TagResources | ||||||
| ddh | 是 | 是 | 是 | AllocateDedicatedHosts | ||
| TagResources | ||||||
| image | 否 | 否 | 是 | CreateImage | ||
| CopyImage | ||||||
| TagResources | ||||||
| keypair | 否 | 否 | 是 | ImportKeyPair | ||
| CreateKeyPair | ||||||
| TagResources | ||||||
| launchtemplate | 是 | 是 | 是 | CreateLaunchTemplate | ||
| TagResources | ||||||
| snapshotpolicy | 否 | 否 | 是 | CreateAutoSnapshotPolicy | ||
| 云数据库RDS | rds | instance | 是 | 是 | 是 | CreateDBInstance |
| TagResources | ||||||
| 负载均衡 | slb | instance | 是 | 是 | 是 | TagResources |
| certificate | 否 | 否 | 是 | TagResources | ||
| acl | 否 | 否 | 是 | TagResources | ||
| 应用型负载均衡 | alb | acl | 否 | 否 | 是 | TagResources |
| loadbalancer | 否 | 否 | 是 | TagResources | ||
| securitypolicy | 否 | 否 | 是 | TagResources | ||
| servergroup | 否 | 否 | 是 | TagResources | ||
| 专有网络VPC | vpc | vpc | 是 | 是 | 是 | TagResources |
| vswitch | 是 | 否 | 是 | TagResources | ||
| routetable | 是 | 否 | 是 | TagResources | ||
| NAT网关 | vpc | natgateway | 是 | 是 | 是 | TagResources |
| VPN网关 | vpc | vpngateway | 否 | 否 | 是 | TagResources |
| 共享带宽 | vpc | commonbandwidthpackage | 否 | 否 | 是 | TagResources |
| 弹性公网IP | vpc | eip | 是 | 是 | 是 | TagResources |
| 云企业网 | cen | cen | 是 | 是 | 是 | TagResources |
| bandwidthpackage | 否 | 否 | 是 | TagResources | ||
| CDN | cdn | domain | 是 | 是 | 否 | 不涉及 |
| 对象存储 | oss | bucket | 是 | 是 | 否 | 不涉及 |
| 云数据库Redis版 | kvstore | instance | 是 | 是 | 是 | CreateInstance |
| TagResources | ||||||
| 云数据库MongoDB版 | dds | instance | 是 | 是 | 是 | TagResources |
| 云数据库HBase版 | multimod | cluster | 是 | 是 | 是 | TagResources |
| 云原生关系型数据库PolarDB | polardb | cluster | 是 | 是 | 否 | 不涉及 |
| 文件存储NAS | nas | filesystem | 是 | 是 | 是 | TagResources |
| DDoS防护 | ddoscoo | instance | 是 | 是 | 是 | TagResources |
| CreateTagResources | ||||||
| 容器服务 | cs | cluster | 是 | 是 | 否 | 不涉及 |
| API网关服务 | apigateway | api | 是 | 是 | 否 | 不涉及 |
| apigroup | 是 | 是 | 否 | 不涉及 | ||
| app | 否 | 否 | 否 | 不涉及 | ||
| instance | 否 | 否 | 否 | 不涉及 | ||
| plugin | 否 | 否 | 否 | 不涉及 | ||
| 云解析DNS | alidns | domain | 否 | 否 | 是 | TagResources |
| 弹性伸缩 | ess | scalinggroup | 否 | 否 | 是 | CreateScalingGroup |
| TagResources | ||||||
| 弹性容器实例 | eci | containergroup | 否 | 否 | 是 | CreateContainerGroup |
| UpdateContainerGroup | ||||||
| imagecache | 否 | 否 | 是 | UpdateImageCache | ||
| CreateImageCache | ||||||
| virtualnode | 否 | 否 | 是 | UpdateVirtualNode | ||
| CreateVirtualNode | ||||||
| 消息队列RocketMQ版 | mq | group | 否 | 否 | 是 | TagResources |
| instance | 否 | 否 | 是 | TagResources | ||
| topic | 否 | 否 | 是 | TagResources | ||
| 堡垒机 | bastionhost | instance | 否 | 否 | 是 | TagResources |
| 资源编排 | ros | changeset | 否 | 否 | 是 | TagResources |
| stack | 否 | 否 | 是 | CreateStack | ||
| UpdateStack | ||||||
| TagResources | ||||||
| template | 否 | 否 | 是 | TagResources | ||
| 运维编排 | oos | application | 否 | 否 | 是 | CreateApplication - 创建一个应用 |
| UpdateApplication - 更新应用 | ||||||
| TagResources - 创建标签资源关系 | ||||||
| execution | 否 | 否 | 是 | StartExecution - 启动一个执行 | ||
| TagResources - 创建标签资源关系 | ||||||
| parameter | 否 | 否 | 是 | CreateParameter - 创建一个普通参数 | ||
| UpdateParameter - 更新一个已存在的普通参数 | ||||||
| TagResources - 创建标签资源关系 | ||||||
| secretparameter | 否 | 否 | 是 | CreateSecretParameter - 创建一个加密参数 | ||
| UpdateSecretParameter - 更新一个加密参数 | ||||||
| TagResources - 创建标签资源关系 | ||||||
| stateconfiguration | 否 | 否 | 是 | CreateStateConfiguration - 创建一个终态配置 | ||
| UpdateStateConfiguration - 更新一个终态配置 | ||||||
| TagResources - 创建标签资源关系 | ||||||
| template | 否 | 否 | 是 | CreateTemplate - 创建一个模版 | ||
| UpdateTemplate - 更新一个已经存在的模板 | ||||||
| TagResources - 创建标签资源关系 |
说明:
①强制标签分为创建资源时强制绑定合规标签和为资源绑定标签时强制标签合规两种场景,不同云服务、不同资源类型、不同API对两种场景的支持情况不同。以ECS的instance为例,CreateInstance是在创建ECS实例时强制绑定合规标签,TagResources是在为ECS实例绑定标签时强制标签合规。