标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略,企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持单账号和多账号两种模式,可以满足企业在不同阶段对标签规范化管控的需求。

应用场景

当企业在云上的资源越来越多时,企业可以通过标签对资源进行标记,实现资源分类、标签分账和自动化运维等。 但是,在给资源绑定标签的过程中,可能会遇到一些问题。例如:创建资源后,忘了绑定标签;只绑定了部分标签(例如:绑定了运维相关的标签,遗漏了财务相关的标签。);绑定的标签拼写错误等。这些问题会导致企业在标签分账时,出现不易划分财务归属的资源记录;企业在自动化运维时,出现不能自动化执行的资源。标签策略将在以下场景提供解决方案:

  • 标签自动检测

    资源创建后,您可以通过标签策略监听资源变更情况,及时发现绑定了不合规标签的资源,包含以下两种情况:

    • 资源绑定了标签,但是标签不规范。
    • 资源未绑定指定标签。

    自动检测的方式可以自动化地、全面地提早发现问题。

  • 标签自动修复

    基于标签自动检测的结果,如果您的规则符合自动修复的条件,并开启了自动修复,则无需人工操作,标签策略会对不合规资源的标签进行自动修复。

  • 强制标签合规

    自动检测具有一定时延,可能会存在:从创建资源到触发检测的时间段内,资源未绑定合规标签。此外,标签最佳实践推荐您从一开始创建资源时就进行标签规范化管控。此时,您可以通过标签策略,实现资源创建时就强制绑定合规标签,对于绑定了不合规标签的资源,将会创建失败。强制标签功能仅针对在标签策略中定义的标签生效,对于未绑定任何标签及绑定了其他标签的情况不生效。

    说明 强制标签功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。
  • 资源组标签自动继承到组内资源

    为资源组绑定标签后,当在资源组中创建资源或者将资源加入到资源组时,该资源会自动继承资源组的标签。

标签策略模式

标签策略支持单账号模式和多账号模式。您可以根据实际的使用场景和当前登录的账号类型,启用不同模式的标签策略。具体如下表所示。

使用场景 当前登录账号类型 标签策略模式 操作步骤
企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用标签策略的单账号模式,规范管理阿里云账号及RAM用户的标签操作。 阿里云账号(未加入资源目录) 单账号模式:管控阿里云账号及其下RAM用户的标签。 使用阿里云账号启用标签策略
如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用标签策略的多账号模式,规范管理RD中各成员的标签操作。 资源目录的管理账号 您可以根据需要,同时启用或分别启用以下两种模式的标签策略:
  • 多账号模式:管控整个资源目录内(不含管理账号本身)的标签。
    说明 如果资源目录的任意一个成员启用了单账号模式的标签策略,则资源目录的管理账号不能启用多账号模式的标签策略。此时,您需要禁用成员的单账号模式的标签策略后,重新启用资源目录的多账号模式。
  • 单账号模式:仅管控管理账号本身的标签。
使用资源目录管理账号启用标签策略
资源目录的成员 根据资源目录是否启用标签策略,分为以下两种情况:
  • 如果资源目录未启用标签策略,则资源目录的成员可以启用单账号模式的标签策略,只管控成员下的标签。
  • 如果资源目录已启用标签策略,则资源目录的成员不允许启用标签策略。标签策略将统一由资源目录的管理账号管理,成员只能查看自己的有效策略。
使用资源目录成员启用标签策略

使用限制

限制项 规格
单账号中最多允许创建标签策略的数量 10个
多账号中最多允许创建标签策略的数量 100个
每个标签策略的最大长度 2048个字符
强制标签的生效时间
  • 绑定策略目标后,5分钟内强制标签生效。
  • 修改策略内容后,5分钟内强制标签生效。
自动检测的生效时间
  • 标签策略绑定成功后,1小时内触发自动检测。
  • 目标账号中创建资源成功后,10分钟内触发自动检测。
  • 目标账号中的资源变更时,会实时触发自动检测。
  • 修改策略内容后,系统会在目标账号中启动一次全量检测。全量检测的时间长短取决于资源数量的多少。资源越多,全量检测的时间越长。
自动修复的生效时间 检测出不合规资源后,10分钟内自动修复。

最佳实践

支持标签策略的云服务

云服务 云服务代码 资源类型 是否支持标签自动检测 是否支持资源组标签自动继承 是否支持强制标签 支持强制标签的API
云服务器ECS ecs instance RunInstances
CreateInstance
TagResources
eni CreateNetworkInterface
TagResources
securitygroup CreateSecurityGroup
TagResources
disk CreateDisk
TagResources
snapshot CreateSnapshot
TagResources
ddh AllocateDedicatedHosts
TagResources
image CreateImage
CopyImage
TagResources
keypair ImportKeyPair
CreateKeyPair
TagResources
launchtemplate CreateLaunchTemplate
TagResources
snapshotpolicy CreateAutoSnapshotPolicy
云数据库RDS rds instance CreateDBInstance
TagResources
负载均衡 slb instance TagResources
certificate TagResources
acl TagResources
应用型负载均衡 alb acl TagResources
loadbalancer TagResources
securitypolicy TagResources
servergroup TagResources
专有网络VPC vpc vpc TagResources
vswitch TagResources
routetable TagResources
NAT网关 vpc natgateway TagResources
VPN网关 vpc vpngateway TagResources
共享带宽 vpc commonbandwidthpackage TagResources
弹性公网IP vpc eip TagResources
云企业网 cen cen TagResources
bandwidthpackage TagResources
CDN cdn domain 不涉及
对象存储 oss bucket 不涉及
云数据库Redis版 kvstore instance CreateInstance
TagResources
云数据库MongoDB版 dds instance TagResources
云数据库HBase版 multimod cluster TagResources
云原生关系型数据库PolarDB polardb cluster 不涉及
文件存储NAS nas filesystem TagResources
DDoS防护 ddoscoo instance TagResources
CreateTagResources
容器服务 cs cluster 不涉及
API网关服务 apigateway api 不涉及
apigroup 不涉及
app 不涉及
instance 不涉及
plugin 不涉及
云解析DNS alidns domain TagResources
弹性伸缩 ess scalinggroup CreateScalingGroup
TagResources
弹性容器实例 eci containergroup CreateContainerGroup
UpdateContainerGroup
imagecache UpdateImageCache
CreateImageCache
virtualnode UpdateVirtualNode
CreateVirtualNode
消息队列RocketMQ版 mq group TagResources
instance TagResources
topic TagResources
堡垒机 bastionhost instance TagResources
资源编排 ros changeset TagResources
stack CreateStack
UpdateStack
TagResources
template TagResources
运维编排 oos application CreateApplication - 创建一个应用
UpdateApplication - 更新应用
TagResources - 创建标签资源关系
execution StartExecution - 启动一个执行
TagResources - 创建标签资源关系
parameter CreateParameter - 创建一个普通参数
UpdateParameter - 更新一个已存在的普通参数
TagResources - 创建标签资源关系
secretparameter CreateSecretParameter - 创建一个加密参数
UpdateSecretParameter - 更新一个加密参数
TagResources - 创建标签资源关系
stateconfiguration CreateStateConfiguration - 创建一个终态配置
UpdateStateConfiguration - 更新一个终态配置
TagResources - 创建标签资源关系
template CreateTemplate - 创建一个模版
UpdateTemplate - 更新一个已经存在的模板
TagResources - 创建标签资源关系

说明:

强制标签分为创建资源时强制绑定合规标签为资源绑定标签时强制标签合规两种场景,不同云服务、不同资源类型、不同API对两种场景的支持情况不同。以ECS的instance为例,CreateInstance是在创建ECS实例时强制绑定合规标签,TagResources是在为ECS实例绑定标签时强制标签合规。