使用标签策略实现强制标签

使用前必读

强制标签分为两种场景，具体如下：

• 创建资源时强制绑定合规标签。
• 为资源绑定标签时强制标签合规。

设置强制标签前，请了解并遵循以下最佳实践：

• 设置强制标签，会影响到资源的生产。建议在测试账号进行充分的测试后，再应用到生产账号。
• 仅部分资源类型支持强制标签。更多信息，请参见支持标签策略的云服务的是否支持强制标签列。
• 标签策略强制执行可能会影响到其他的云服务。例如：设置了ECS实例的标签强制策略，则弹性伸缩服务和容器服务在进行ECS实例的扩缩容时，可能会因为没有给实例绑定符合规范的标签而导致ECS实例的扩缩容失败。在使用前，请充分确认相关服务能够进行符合规范的标签操作。

操作步骤

以下将提供一个多账号模式的示例，使用资源目录管理账号启用并创建标签策略，强制资源目录成员在创建ECS实例时，需要为该ECS实例绑定成本中心标签。其中标签键为CostCenter，标签值为Beijing或Shanghai。设置的标签符合要求时，ECS实例创建成功；否则，创建失败。标签键和标签值区分大小写。

根据安全最佳实践，推荐您为资源目录的管理账号创建一个RAM用户，并授予AdministratorAccess权限，充当资源目录的管理员（简称为RD管理员）。以下操作将使用RD管理员完成。关于如何创建RAM用户并授权的操作，请参见创建RAM用户和为RAM用户授权。

1. 启用标签策略。

   具体操作，请参见启用标签策略。

2. 创建标签策略。
   1. 在策略库页面的策略列表页签，单击创建标签策略。
   2. 输入策略名称。
   3. 可选：输入策略描述。
   4. 使用快速录入模式配置策略信息。
      1. 在标签键文本框，输入CostCenter。
      2. 选中为此标签键指定允许值，然后单击指定值。
      3. 输入允许的标签值，然后单击确定。

         您可以单击添加其它值，添加多个标签。本示例中将添加Beijing和Shanghai两个标签值。

      4. 选中强制执行，然后单击指定资源类型。
      5. 在指定强制执行的范围对话框，阅读并确认强制执行的风险，然后选中要执行的资源类型为ECS的instance。
      6. 单击确定。
   5. 单击创建。
3. 绑定标签策略。
   1. 在标签策略列表中，找到步骤2创建的标签策略，单击其操作列的绑定。
   2. 在绑定对话框，选择绑定目标，然后单击确定。
      不同绑定目标的生效范围如下。您可以先绑定到某一个用于测试的成员上，测试无误后，再绑定到Root资源夹或指定资源夹上。

      • Root资源夹：标签策略对整个资源目录内的全部成员生效。
      • 指定资源夹：标签策略仅对指定资源夹内的全部成员生效。
      • 指定成员：标签策略仅对指定成员生效。
4. 验证标签策略是否生效。
   1. RD管理员访问步骤3绑定的资源目录成员。
      具体操作，请参见成员登录阿里云控制台。
   2. 在成员的管理控制台上，创建一个ECS实例，验证标签策略是否生效。
      当ECS实例绑定标签CostCenter:Beijing或CostCenter:Shanghai时，ECS实例将会创建成功。当出现以下情况时，ECS实例将会创建失败：

      • 输入的标签键或标签值大小写不合规。例如：costCenter:beijing。
      • 只设置了标签键CostCenter，未设置标签值。

      说明 标签策略基于标签键进行判断，本示例中当您输入大写或小写的标签键CostCenter时，才会触发标签策略的执行。对于不绑定标签或绑定其他标签键的情况，不会触发标签策略的执行。

错误码