标签策略需要启用后才能正常使用。
背景信息
启用方式
标签策略支持当前账号标签策略和资源目录标签策略两种。您可以根据实际的使用场景和当前登录的账号类型,启用对应的标签策略。具体如下表所示。
使用场景 | 当前登录账号类型 | 标签策略模式 | 操作步骤 |
企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用当前账号标签策略,规范管理阿里云账号及RAM用户的标签操作。 | 阿里云账号(未加入资源目录) | 当前账号标签策略:管控阿里云账号及其下RAM用户的标签。 | |
如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用资源目录标签策略,规范管理RD中各成员的标签操作。 | 资源目录的管理账号 | 您可以根据需要,同时启用或分别启用以下两种模式的标签策略:
| |
资源目录的成员 | 根据资源目录是否启用标签策略,分为以下两种情况:
|
RAM权限
推荐您使用RAM用户启用标签策略。具体如下:
当前账号标签策略:为阿里云账号(主账号)下的RAM用户授予以下自定义权限策略。
{ "Version": "1", "Statement": [ { "Action": [ "tag:GetConfigRuleReport", "tag:GenerateConfigRuleReport", "tag:GetEffectivePolicy", "tag:ListConfigRulesForTarget", "tag:ListPoliciesForTarget", "tag:ListTargetsForPolicy", "tag:ListPolicies", "tag:GetPolicy", "tag:GetPolicyEnableStatus", "tag:DetachPolicy", "tag:DeletePolicy", "tag:ModifyPolicy", "tag:AttachPolicy", "tag:CreatePolicy", "tag:DisablePolicyType", "tag:EnablePolicyType", "tag:ListSupportResourceTypes" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "rd:ListAccountsForParent", "rd:ListFoldersForParent", "rd:GetResourceDirectory", "config:GetAggregateResourceComplianceByConfigRule", "config:ListAggregateConfigRuleEvaluationResults", "config:GetAggregateConfigRulesReport", "config:GetResourceComplianceGroupByRegion", "config:ListConfigRuleEvaluationResults", "config:GetConfigRulesReport", "config:ListRemediations", "oos:ListExecutions" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "tag.aliyuncs.com" } } } ] }
资源目录标签策略:为资源目录管理账号下的RAM用户先授予资源目录管理权限(AliyunResourceDirectoryFullAccess),然后再授予上述的自定义权限策略。
使用阿里云账号启用当前账号标签策略
未加入资源目录的阿里云账号可以启用当前账号标签策略。
使用资源目录管理账号启用资源目录标签策略
资源目录的管理账号可以启用资源目录标签策略,该标签策略对资源目录的所有成员(不包括管理账号本身)生效。
使用资源目录成员启用当前账号标签策略
当资源目录未启用标签策略时,资源目录的成员可以为本身启用标签策略。
登入成员账号。
具体操作,请参见成员登录阿里云控制台。
登录标签控制台。
在左侧导航栏,选择 。
在当前账号设置页签,设置标签策略为开启。
在启用标签策略对话框,单击开启。
启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色。