什么是标签策略_资源管理-阿里云帮助中心

标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略，企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持单账号和多账号两种模式，可以满足企业在不同阶段对标签规范化管控的需求。

应用场景

当企业在云上的资源越来越多时，企业可以通过标签对资源进行标记，实现资源分类、标签分账和自动化运维等。但是，在给资源绑定标签的过程中，可能会遇到一些问题。例如：创建资源后，忘了绑定标签；只绑定了部分标签（例如：绑定了运维相关的标签，遗漏了财务相关的标签。）；绑定的标签拼写错误等。这些问题会导致企业在标签分账时，出现不易划分财务归属的资源记录；企业在自动化运维时，出现不能自动化执行的资源。标签策略将在以下场景提供解决方案：

标签自动检测
资源创建后，您可以通过标签策略监听资源变更情况，及时发现绑定了不合规标签的资源，包含以下两种情况：
- 资源绑定了标签，但是标签不规范。
- 资源未绑定指定标签。
自动检测的方式可以自动化地、全面地提早发现问题。
标签自动修复
基于标签自动检测的结果，如果您的规则符合自动修复的条件，并开启了自动修复，则无需人工操作，标签策略会对不合规资源的标签进行自动修复。
强制标签合规
自动检测具有一定时延，可能会存在：从创建资源到触发检测的时间段内，资源未绑定合规标签。此外，标签最佳实践推荐您从一开始创建资源时就进行标签规范化管控。此时，您可以通过标签策略，实现资源创建时就强制绑定合规标签。
默认情况下，仅针对在标签策略中设置的标签生效，对于未绑定任何标签以及绑定了其他标签的情况不生效。
重要如果要对未绑定任何标签以及绑定了其他标签的情况生效，您需要联系阿里云服务经理开通该功能，然后进行试用。建议您在测试账号进行充分的测试后，再应用到生产账号。
资源组标签自动继承到组内资源
为资源组绑定标签后，当在资源组中创建资源或者将资源加入到资源组时，该资源会自动继承资源组的标签。

标签策略模式

标签策略支持单账号模式和多账号模式。您可以根据实际的使用场景和当前登录的账号类型，启用不同模式的标签策略。具体如下表所示。


使用场景	当前登录账号类型	标签策略模式	操作步骤
企业云上业务比较简单，使用的是单个阿里云账号及RAM用户的管理模式，此时，您可以通过阿里云账号启用标签策略的单账号模式，规范管理阿里云账号及RAM用户的标签操作。	阿里云账号（未加入资源目录）	单账号模式：管控阿里云账号及其下RAM用户的标签。	使用阿里云账号启用标签策略
如果企业云上业务比较复杂，已使用资源目录（RD）搭建了云上的多账号管理体系，此时，您可以通过RD管理账号启用标签策略的多账号模式，规范管理RD中各成员的标签操作。	资源目录的管理账号	您可以根据需要，同时启用或分别启用以下两种模式的标签策略：多账号模式：管控整个资源目录内（不含管理账号本身）的标签。重要如果资源目录的任意一个成员启用了单账号模式的标签策略，则资源目录的管理账号不能启用多账号模式的标签策略。此时，您需要禁用成员的单账号模式的标签策略后，重新启用资源目录的多账号模式。单账号模式：仅管控管理账号本身的标签。	使用资源目录管理账号启用标签策略
	资源目录的成员	根据资源目录是否启用标签策略，分为以下两种情况：如果资源目录未启用标签策略，则资源目录的成员可以启用单账号模式的标签策略，只管控成员下的标签。如果资源目录已启用标签策略，则资源目录的成员不允许启用标签策略。标签策略将统一由资源目录的管理账号管理，成员只能查看自己的有效策略。	使用资源目录成员启用标签策略

使用限制


限制项	规格
单账号中最多允许创建标签策略的数量	10个
多账号中最多允许创建标签策略的数量	100个
每个标签策略的最大长度	2048个字符
强制标签的生效时间	绑定策略目标后，5分钟内强制标签生效。修改策略内容后，5分钟内强制标签生效。
自动检测的生效时间	标签策略绑定成功后，1小时内触发自动检测。目标账号中创建资源成功后，10分钟内触发自动检测。目标账号中的资源变更时，会实时触发自动检测。修改策略内容后，系统会在目标账号中启动一次全量检测。全量检测的时间长短取决于资源数量的多少。资源越多，全量检测的时间越长。
自动修复的生效时间	检测出不合规资源后，10分钟内自动修复。

最佳实践

支持标签策略的云服务


云服务	云服务代码	资源类型	是否支持标签自动检测和修复	是否支持资源组标签自动继承	是否支持强制标签^①	支持强制标签的API	支持创建资源时必须绑定标签的API^②
云服务器ECS	ecs	instance	是	是	是	RunInstances	RunInstances
						CreateInstance	CreateInstance
						TagResources	无
		eni	是	否	是	CreateNetworkInterface	CreateNetworkInterface
		eni	是	否	是	TagResources	无
		securitygroup	是	是	是	CreateSecurityGroup	CreateSecurityGroup
		securitygroup	是	是	是	TagResources	无
		disk	是	是	是	CreateDisk	CreateDisk
		disk	是	是	是	TagResources	无
		snapshot	是	否	是	CreateSnapshot	CreateSnapshot
		snapshot	是	否	是	TagResources	无
		ddh	是	是	是	AllocateDedicatedHosts	AllocateDedicatedHosts
		ddh	是	是	是	TagResources	无
		image	否	否	是	CreateImage	CreateImage
						CopyImage	无
						TagResources	无
		keypair	否	否	是	ImportKeyPair	ImportKeyPair
						CreateKeyPair	CreateKeyPair
						TagResources	无
		launchtemplate	是	是	是	CreateLaunchTemplate	CreateLaunchTemplate
		launchtemplate	是	是	是	TagResources	无
		snapshotpolicy	否	否	是	CreateAutoSnapshotPolicy	CreateAutoSnapshotPolicy
云数据库RDS	rds	instance	是	是	是	CreateDBInstance	无
云数据库RDS	rds	instance	是	是	是	TagResources	无
负载均衡	slb	instance	是	是	是	TagResources	无
		certificate	否	否	是	TagResources	无
		acl	否	否	是	TagResources	无
应用型负载均衡	alb	acl	否	否	是	TagResources - 给资源添加标签	无
		loadbalancer	否	否	是	TagResources - 给资源添加标签	无
		securitypolicy	否	否	是	TagResources - 给资源添加标签	无
		servergroup	否	否	是	TagResources - 给资源添加标签	无
专有网络VPC	vpc	vpc	是	是	是	TagResources	无
		vswitch	是	否	是	TagResources	无
		routetable	是	否	是	TagResources	无
NAT网关	vpc	natgateway	是	是	是	TagResources	无
VPN网关	vpc	vpngateway	否	否	是	TagResources	无
共享带宽	vpc	commonbandwidthpackage	否	否	是	TagResources	无
弹性公网IP	vpc	eip	是	是	是	TagResources	无
云企业网	cen	cen	是	是	是	TagResources	无
云企业网	cen	bandwidthpackage	否	否	是	TagResources	无
CDN	cdn	domain	是	是	否	无	无
对象存储	oss	bucket	是	是	否	无	无
云数据库Redis版	kvstore	instance	是	是	是	CreateInstance - 创建一个Redis实例	无
云数据库Redis版	kvstore	instance	是	是	是	TagResources - 为一个或多个Redis实例绑定标签	无
云数据库MongoDB版	dds	instance	是	是	是	TagResources	无
云数据库HBase版	multimod	cluster	是	是	是	TagResources	无
云原生关系型数据库PolarDB	polardb	cluster	是	是	否	无	无
文件存储NAS	nas	filesystem	是	是	是	TagResources	无
DDoS防护	ddoscoo	instance	是	是	是	TagResources - 为指定资源绑定标签	无
DDoS防护	ddoscoo	instance	是	是	是	CreateTagResources - 为资源关联标签	无
容器服务	cs	cluster	是	是	否	无	无
API网关服务	apigateway	api	是	是	否	无	无
		apigroup	是	是	否	无	无
		app	否	否	否	无	无
		instance	否	否	否	无	无
		plugin	否	否	否	无	无
云解析DNS	alidns	domain	否	否	是	TagResources	无
弹性伸缩	ess	scalinggroup	否	否	是	CreateScalingGroup	CreateScalingGroup
弹性伸缩	ess	scalinggroup	否	否	是	TagResources	无
弹性容器实例	eci	containergroup	否	否	是	CreateContainerGroup - 创建一个容器组	CreateContainerGroup - 创建一个容器组
		containergroup	否	否	是	UpdateContainerGroup - 更新一个容器组	无
		imagecache	否	否	是	UpdateImageCache - 更新一个镜像缓存	无
		imagecache	否	否	是	CreateImageCache - 创建一个镜像缓存	无
		virtualnode	否	否	是	UpdateVirtualNode - 更新一个虚拟节点	无
		virtualnode	否	否	是	CreateVirtualNode - 创建一个虚拟节点	CreateVirtualNode - 创建一个虚拟节点
消息队列RocketMQ版	mq	group	否	否	是	TagResources	无
		instance	否	否	是	TagResources	无
		topic	否	否	是	TagResources	无
堡垒机	bastionhost	instance	否	否	是	TagResources	无
资源编排	ros	changeset	否	否	是	TagResources	无
		stack	否	否	是	CreateStack	CreateStack
						UpdateStack	无
						TagResources	无
		template	否	否	是	TagResources	无
运维编排	oos	application	否	否	是	CreateApplication - 创建一个应用	无
						UpdateApplication - 更新应用	无
						TagResources - 创建标签资源关系	无
		execution	否	否	是	StartExecution - 启动一个执行	无
		execution	否	否	是	TagResources - 创建标签资源关系	无
		parameter	否	否	是	CreateParameter - 创建一个普通参数	CreateParameter - 创建一个普通参数
						UpdateParameter - 更新一个已存在的普通参数	无
						TagResources - 创建标签资源关系	无
		secretparameter	否	否	是	CreateSecretParameter - 创建一个加密参数	CreateSecretParameter - 创建一个加密参数
						UpdateSecretParameter - 更新一个加密参数	无
						TagResources - 创建标签资源关系	无
		stateconfiguration	否	否	是	CreateStateConfiguration - 创建一个终态配置	无
						UpdateStateConfiguration - 更新一个终态配置	无
						TagResources - 创建标签资源关系	无
		template	否	否	是	CreateTemplate - 创建一个模板	CreateTemplate - 创建一个模板
						UpdateTemplate - 更新一个已经存在的模板	无
						TagResources - 创建标签资源关系	无

说明：

^①强制标签分为创建资源时强制绑定合规标签和为资源绑定标签时强制标签合规两种场景，不同云服务、不同资源类型、不同API对两种场景的支持情况不同。以ECS的instance为例，CreateInstance是在创建ECS实例时强制绑定合规标签，TagResources是在为ECS实例绑定标签时强制标签合规。默认情况下，仅针对在标签策略中设置的标签生效，对于未绑定任何标签以及绑定了其他标签的情况不生效。该列展示的是支持默认情况的API列表。

^②如果要对未绑定任何标签以及绑定了其他标签的情况生效，您需要联系阿里云服务经理开通该邀测功能，然后进行试用。该列展示的是支持邀测功能的API列表。