启用标签策略

标签策略需要启用后才能正常使用。

背景信息

启用方式

标签策略支持当前账号标签策略和资源目录标签策略两种。您可以根据实际的使用场景和当前登录的账号类型,启用对应的标签策略。具体如下表所示。

使用场景

当前登录账号类型

标签策略模式

操作步骤

企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用当前账号标签策略,规范管理阿里云账号及RAM用户的标签操作。

阿里云账号(未加入资源目录)

当前账号标签策略:管控阿里云账号及其下RAM用户的标签。

使用阿里云账号启用标签策略

如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用资源目录标签策略,规范管理RD中各成员的标签操作。

资源目录的管理账号

您可以根据需要,同时启用或分别启用以下两种模式的标签策略:

  • 资源目录标签策略:管控整个资源目录内(不含管理账号本身)的标签。

    重要

    如果资源目录的任意一个成员启用了当前账号标签策略,则资源目录的管理账号不能启用资源目录标签策略。此时,您需要禁用成员的当前账号标签策略后,重新启用资源目录标签策略。

  • 当前账号标签策略:仅管控管理账号本身的标签。

使用资源目录管理账号启用标签策略

资源目录的成员

根据资源目录是否启用标签策略,分为以下两种情况:

  • 如果资源目录未启用标签策略,则资源目录的成员可以启用当前账号标签策略,只管控成员下的标签。

  • 如果资源目录已启用标签策略,则资源目录的成员不允许启用当前账号标签策略。标签策略将统一由资源目录的管理账号管理,成员只能查看自己的有效策略。

使用资源目录成员启用标签策略

RAM权限

您可以使用阿里云账号(主账号)或其下的RAM用户启用标签策略,安全最佳实践推荐您使用RAM用户。您需要为该RAM用户授予以下权限。具体操作,请参见创建自定义权限策略为RAM用户授权

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "tag:GetConfigRuleReport",
              "tag:GenerateConfigRuleReport",
              "tag:GetEffectivePolicy",
              "tag:ListConfigRulesForTarget",
              "tag:ListPoliciesForTarget",
              "tag:ListTargetsForPolicy",
              "tag:ListPolicies",
              "tag:GetPolicy",
              "tag:GetPolicyEnableStatus",
              "tag:DetachPolicy",
              "tag:DeletePolicy",
              "tag:ModifyPolicy",
              "tag:AttachPolicy",
              "tag:CreatePolicy",
              "tag:DisablePolicyType",
              "tag:EnablePolicyType"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "rd:ListAccountsForParent",
                "rd:ListFoldersForParent",
                "rd:GetResourceDirectory",
                "config:GetAggregateResourceComplianceByConfigRule",
                "config:ListAggregateConfigRuleEvaluationResults",
                "config:GetAggregateConfigRulesReport",
                "config:GetResourceComplianceGroupByRegion",
                "config:ListConfigRuleEvaluationResults",
                "config:GetConfigRulesReport",
                "config:ListRemediations",
                "oos:ListExecutions"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

使用阿里云账号启用标签策略

未加入资源目录的阿里云账号可以启用当前账号标签策略。

  1. 登录标签控制台

  2. 在左侧导航栏,选择标签策略 > 策略库

  3. 策略库页面,单击启用标签策略

  4. 启用标签策略对话框,单击确定

    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

使用资源目录管理账号启用标签策略

资源目录的管理账号可以启用资源目录标签策略和当前账号标签策略。

  1. 登录标签控制台

  2. 在左侧导航栏,选择标签策略 > 策略库

  3. 策略库页面,单击启用标签策略

  4. 启用标签策略对话框,选择标签策略模式。

    您可以同时选择以下两种模式,也可以任选其一:

    • 资源目录开通标签策略:为资源目录启用标签策略。

    • 当前账号开通标签策略:为管理账号本身启用标签策略。

  5. 单击确定

    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

使用资源目录成员启用标签策略

当资源目录未启用标签策略时,资源目录的成员可以启用当前账号标签策略。

  1. 登入成员账号。

    具体操作,请参见成员登录阿里云控制台

  2. 登录标签控制台

  3. 在左侧导航栏,选择标签策略 > 策略库

  4. 策略库页面,单击启用标签策略

  5. 启用标签策略对话框,单击确定

    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色