您可以使用标签策略强行制止不合规的标签绑定,规范标签操作。

使用前必读

应用场景

强制标签
  • 创建资源时强制绑定合规标签。
    • 默认情况:仅针对在标签策略中设置的标签生效。

      例如:标签策略中设置了创建ECS实例时,必须强制绑定标签CostCenter:Beijing。当您创建ECS实例时,只会针对绑定标签键CostCenter(不区分大小写)的情况进行校验,合规会创建成功,不合规会创建失败;未绑定标签或绑定了非标签键CostCenter(不区分大小写)以外的标签,不会触发标签策略执行,即ECS实例可以正常创建。

    • 邀测功能:对未绑定任何标签以及绑定了其他标签的情况生效。如需试用,请联系阿里云的服务经理申请体验资格。

      例如:标签策略中设置了创建ECS实例时,必须强制绑定标签CostCenter:Beijing。则当您创建ECS实例时,只有绑定了标签CostCenter:Beijing,才能创建成功;未绑定标签CostCenter:Beijing或绑定了其他标签时,都会创建失败。

      目前邀测功能只支持部分云服务及API,详情请参见支持标签策略的云服务支持创建资源时必须绑定标签的API列。

  • 为资源绑定标签时强制标签合规。

    为资源绑定标签时,校验标签是否符合标签策略的规则。

最佳实践

  • 支持强制标签的云服务及资源类型,请参见支持标签策略的云服务是否支持强制标签列。
  • 设置强制标签,会影响到资源的生产。建议在测试账号进行充分的测试后,再应用到生产账号。
  • 标签策略强制执行可能会影响到其他的云服务。例如:设置了ECS实例的标签强制策略,则弹性伸缩服务和容器服务在进行ECS实例的扩容或缩容时,可能会因为未给实例绑定符合规范的标签而导致ECS实例的扩容或缩容失败。在使用前,请充分确认相关服务能够进行符合规范的标签操作。

操作步骤

以下将提供一个多账号模式的示例,使用资源目录管理账号启用并创建标签策略,强制资源目录成员在创建ECS实例时,需要为该ECS实例绑定成本中心标签。其中标签键为CostCenter,标签值为BeijingShanghai。设置的标签合规时,ECS实例创建成功;否则,创建失败。

根据安全最佳实践,推荐您为资源目录的管理账号创建一个RAM用户,并授予AdministratorAccess权限,充当资源目录的管理员(简称为RD管理员)。以下操作将使用RD管理员完成。关于如何创建RAM用户并授权的操作,请参见创建RAM用户为RAM用户授权

  1. 启用标签策略。

    具体操作,请参见启用标签策略

  2. 创建标签策略。
    1. 策略库页面的策略列表页签,单击创建标签策略
    2. 输入策略名称。
    3. 可选:输入策略描述。
    4. 使用快速录入模式配置策略信息。
      1. 标签键文本框,输入CostCenter
      2. 选中为此标签键指定允许值,然后单击指定值
      3. 输入允许的标签值,然后单击确定

        您可以单击添加其它值,添加多个标签。本示例中将添加BeijingShanghai两个标签值。

      4. 选中强制执行,然后单击指定资源类型
      5. 指定强制执行的范围对话框,阅读并确认强制执行的风险,然后选中要执行的资源类型为ECS的instance
      6. 单击确定
    5. 单击创建
  3. 绑定标签策略。
    1. 在标签策略列表中,找到步骤2创建的标签策略,单击其操作列的绑定
    2. 绑定对话框,选择绑定目标,然后单击确定
      不同绑定目标的生效范围如下。您可以先绑定到某一个用于测试的成员上,测试无误后,再绑定到Root资源夹或指定资源夹上。
      • Root资源夹:标签策略对整个资源目录内的全部成员生效。
      • 指定资源夹:标签策略仅对指定资源夹内的全部成员生效。
      • 指定成员:标签策略仅对指定成员生效。
  4. 验证标签策略是否生效。
    1. RD管理员访问步骤3绑定的资源目录成员。
      具体操作,请参见成员登录阿里云控制台
    2. 在成员的管理控制台上,创建一个ECS实例,验证标签策略是否生效。
      • 创建成功

        当ECS实例绑定标签CostCenter:BeijingCostCenter:Shanghai时,ECS实例将会创建成功。

      • 创建失败

        默认情况,仅针对在标签策略中设置的标签生效。即出现以下情况会创建失败:

        • 输入的标签键或标签值大小写不合规。例如:costCenter:beijing
        • 只设置了标签键CostCenter,未设置标签值或设置的标签值不合规。

        如果您开通了邀测功能,除以上两种情况外,未绑定任何标签或绑定了其他标签的情况,也会创建失败。

错误码

错误码错误信息示例说明
Forbidden.TagPolicyThe operation is failure, because the valid tag policy values of 'TagValue' are ["red","green","orange","blue","pink","white","black","grey"], but the value is "xxx".标签键合规,但标签值不合规,导致资源创建失败。请输入标签策略中TagValue规定的标签值。
The operation is failure, because the valid tag policy values of 'TagKey' are ["colorful"], but the value is "colorFul".标签键大小写不合规,导致资源创建失败。请输入与标签策略中TagKey大小写完全一致的标签键。
The operation is failure, because the tag policy keys ["color"] are necessary.标签不合规,缺少标签键color,导致资源创建失败。请输入标签策略中color规定的标签。