本文为您介绍如何快速地使用标签策略来规范标签的操作。

背景信息

标签策略支持单账号和多账号两种模式。更多信息,请参见标签策略模式

首次使用标签策略时,建议您先在资源较少的测试账号上启用标签策略,等待测试成功后,再在生产账号上启用标签策略。

单账号模式

步骤一:启用标签策略

  1. 登录标签控制台
  2. 在左侧导航栏,选择标签策略 > 策略库
  3. 策略库页面,单击启用标签策略
  4. 启用标签策略对话框,单击确定
    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

步骤二:创建标签策略

您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。

  1. 在左侧导航栏,选择标签策略 > 策略库
  2. 策略库页面,单击创建标签策略
  3. 创建标签策略页面,配置策略内容。
    1. 输入策略名称。
    2. 可选:输入策略描述。
    3. 配置策略信息。
      以下两种配置方式,您可以任选其一:
      • 快速录入(推荐)

        您可以先指定标签键,然后为该标签键配置下表所示的规则,支持同时配置多个规则。

        规则 说明
        为此标签键指定允许值 标签键允许使用的标签值。支持通配符星号(*),表示允许任意标签值。
        事后检测 事后检测标签的合规性。事后检测为标签策略的默认执行方式。
        为此标签键指定检测的资源类型 事后检测执行方式下,默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
        强制执行 强行制止不合规的标签行为,即如果标签操作不符合规范,操作将会失败。

        您需要指定强制执行的资源类型。支持强制执行的云服务和资源类型,请参见支持标签策略的云服务

        具体示例,请参见使用标签策略实现强制标签

        说明 强制标签功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。
        启用自动修复 对不合规资源的标签进行自动修复。

        您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

        单击添加标签键,可以继续添加标签键并配置规则。

      • JSON

        编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法

  4. 单击创建

步骤三:绑定标签策略

当您成功创建标签策略后,您还需要将标签策略绑定到当前账号,才能对当前账号中的资源进行标签规范化管控。

  1. 在左侧导航栏,选择标签策略 > 策略库
  2. 策略库页面,单击目标标签策略操作列的绑定
  3. 绑定对话框,单击确定
    该标签策略绑定到当前登录的阿里云账号。

(可选)步骤四:查看有效策略

标签策略绑定成功后,阿里云账号可以查看自己已绑定的有效策略。

  1. 在左侧导航栏,选择标签策略 > 有效策略
  2. 查看有效策略内容。
    默认使用可视化模式查看有效策略内容,您也可以单击JSON格式查看,查看JSON格式的有效策略内容。两种查看模式可以自由切换。

步骤五:验证标签策略是否生效

登录当前阿里云账号或其下的RAM用户,执行标签操作,验证标签策略是否生效。例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。

多账号模式

根据安全最佳实践,推荐您为资源目录的管理账号创建一个RAM用户,并授予AdministratorAccess权限,充当资源目录的管理员(简称为RD管理员)。以下操作将使用RD管理员完成。关于创建RAM用户并授权的操作,请参见创建RAM用户为RAM用户授权

步骤一:启用标签策略

  1. 登录标签控制台
  2. 在左侧导航栏,选择标签策略 > 策略库
  3. 策略库页面,单击启用标签策略
  4. 启用标签策略对话框,选择标签策略模式。
    您可以同时选择以下两种模式,也可以任选其一:
    • 资源目录开通标签策略:启用多账号模式的标签策略。
    • 当前账号开通标签策略:启用单账号模式的标签策略。
  5. 单击确定
    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

步骤二:创建标签策略

您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。

  1. 在左侧导航栏,选择标签策略 > 策略库
  2. 策略库页面的策略列表页签,单击创建标签策略
  3. 创建标签策略页面,配置策略内容。
    1. 输入策略名称。
    2. 可选:输入策略描述。
    3. 配置策略信息。
      以下两种配置方式,您可以任选其一:
      • 快速录入(推荐)

        您可以先指定标签键,然后为该标签键配置下表所示的规则,支持同时配置多个规则。

        规则 说明
        为此标签键指定允许值 标签键允许使用的标签值。支持通配符星号(*),表示允许任意标签值。
        事后检测 事后检测标签的合规性。事后检测为标签策略的默认执行方式。
        为此标签键指定检测的资源类型 事后检测执行方式下,默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
        强制执行 强行制止不合规的标签行为,即如果标签操作不符合规范,操作将会失败。

        您需要指定强制执行的资源类型。支持强制执行的云服务和资源类型,请参见支持标签策略的云服务

        具体示例,请参见使用标签策略实现强制标签

        说明 强制标签功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。
        启用自动修复 对不合规资源的标签进行自动修复。

        您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

        单击添加标签键,可以继续添加标签键并配置规则。

      • JSON

        编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法

  4. 单击创建

步骤三:绑定标签策略

当您成功创建标签策略后,您还需要将标签策略绑定到目标账号,才能对目标账号中的资源进行标签规范化管控。

  1. 在左侧导航栏,选择标签策略 > 策略库
  2. 策略库页面,单击策略列表页签。
  3. 单击目标标签策略操作列的绑定
  4. 绑定对话框,选择绑定目标,然后单击确定
    各绑定目标的生效范围如下:
    • Root资源夹:标签策略对整个资源目录中的全部成员生效。
    • 指定资源夹:标签策略仅对指定资源夹中的全部成员生效。
    • 指定成员:标签策略仅对指定成员生效。
    说明 标签策略不能绑定到资源目录的管理账号,即标签策略对管理账号不生效。

(可选)步骤四:查看有效策略

标签策略绑定成功后,RD管理账号可以查看Root资源夹、资源夹和成员已生效的有效策略,成员可以查看自己已生效的有效策略。有效策略是根据标签策略继承关系计算得出的。更多信息,请参见标签策略继承和有效策略计算

  1. 在左侧导航栏,选择标签策略 > 有效策略
  2. 查看有效策略内容。
    默认使用可视化模式查看有效策略内容,您也可以单击JSON格式查看,查看JSON格式的有效策略内容。两种查看模式可以自由切换。

步骤五:验证标签策略是否生效

  1. RD管理员访问绑定了标签策略的RD成员。
    具体操作,请参见成员登录阿里云控制台
  2. 在成员的管理控制台上,执行标签操作,验证标签策略是否生效。
    例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。