标签策略快速入门

本文为您介绍如何快速地使用标签策略来规范标签的操作。

背景信息

标签策略支持当前账号标签策略和资源目录标签策略两种。更多信息,请参见标签策略模式

首次使用标签策略时,建议您先在资源较少的测试账号上启用标签策略,等待测试成功后,再在生产账号上启用标签策略。

当前账号标签策略

步骤一:启用标签策略

  1. 登录标签控制台

  2. 在左侧导航栏,选择标签策略 > 策略库

  3. 策略库页面,单击启用标签策略

  4. 启用标签策略对话框,单击确定

    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

步骤二:创建标签策略

您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。

  1. 在左侧导航栏,选择标签策略 > 策略库

  2. 策略库页面,单击创建标签策略

  3. 基本信息区域,输入策略名称和描述。

  4. 策略信息区域,选择以下任意一种方式,配置策略内容。

    • 快速录入(推荐)

      选择策略场景,然后根据不同的策略场景配置不同的规则。

      • 资源绑定指定标签值

        您可以在标签策略中设置资源绑定指定的标签值,结合不同的执行方式,实现不合规标签自动检测、不合规标签自动修复、对不合规标签的绑定操作进行事前拦截等。

        规则

        说明

        标签键

        输入标签键名称。

        指定允许的标签值

        标签键允许使用的标签值。支持输入多值。支持输入通配符星号(*),表示允许任意标签值。

        策略执行方式

        • 事后检测

          事后检测为该标签策略场景的默认执行方式,您可以直接在检测结果页面查看检测结果。您可以根据需要启用以下的检测规则:

          • 为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

          • 指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

            说明

            资源目录标签策略不支持指定资源组范围参数。

          • 指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

          • 启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

        • 事前拦截

          事前拦截将在创建新资源以及为已有资源绑定标签时进行检测,检测不通过时将对操作进行拦截。具体如下:

          • 创建资源时拦截不合规标签。

            不合规情况

            • 不合规情况1:资源创建时绑定了标签策略中设置的标签键,但标签值不合规。

            • 不合规情况2:资源创建时未绑定标签策略中设置的标签键。

            默认和邀请功能

            • 默认功能:只对不合规情况1触发拦截。支持事前拦截默认功能的资源类型及API,请参见支持标签策略的云服务支持事前拦截的API(默认)列。

            • 邀测功能:对不合规情况1和2都会触发拦截。如需试用,请联系阿里云的服务经理申请体验资格。支持事前拦截邀测功能的资源类型及API,请参见支持标签策略的云服务支持创建资源时拦截的API(邀测)列。

            示例

            标签策略中设置了创建ECS实例时,必须绑定标签CostCenter:Beijing。当您创建ECS实例时,默认情况下,只针对绑定标签键CostCenter(不区分大小写)的情况进行检测,标签合规(例如:CostCenter:Beijing)时ECS实例会创建成功,标签不合规(例如:costcenter:Shanghai)时ECS实例会创建失败。当您启用邀测功能后,会针对未绑定标签键CostCenter(不区分大小写)情况进行检测,即未绑定标签CostCenter:Beijing的ECS实例会创建失败。

          • 为已存在的资源绑定标签时拦截不合规标签。

            为已存在的资源绑定标签时,校验标签策略中设置的标签键和标签值是否符合规则。如符合规则,则标签绑定成功,否则,标签绑定失败。

      • 资源自动继承资源组标签

        您可以为资源组绑定标签,然后在标签策略中设置资源自动继承资源组标签,就可以实现当资源组中创建资源或者将资源加入到资源组时,该资源自动继承资源组的指定标签。

        规则

        说明

        标签键

        输入标签键名称。

        为此标签键指定检测的资源类型

        默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

        指定资源组范围

        默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

        说明

        资源目录标签策略不支持指定资源组范围参数。

        指定需要排除的资源ID

        指定资源组内需要排除的资源ID,即这些资源不自动继承资源组标签。最多可以指定20个资源ID。

        指定地域范围

        默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

      • 标签值匹配指定正则表达式

        您可以在标签策略中设置标签值需要满足的正则表达式,以此约束标签值的合规性。对于不满足正则表达式的标签值,支持自动修复。

        规则

        说明

        标签键

        输入标签键名称。

        指定允许的标签值

        输入正则表达式,约束标签值的格式。

        策略执行方式

        事后检测为该标签策略场景的默认执行方式,您可以直接在检测结果页面查看检测结果。您还可以根据需要启用以下的检测规则:

        • 为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

        • 指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

          说明

          资源目录标签策略不支持指定资源组范围参数。

        • 指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

        • 启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

      您可以单击添加策略场景和标签键,对多个策略场景和标签键配置规则。

    • JSON

      编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法

  5. 单击创建

步骤三:绑定标签策略

当您成功创建标签策略后,您还需要将标签策略绑定到当前账号,才能对当前账号中的资源进行标签规范化管控。

  1. 在左侧导航栏,选择标签策略 > 策略库

  2. 策略库页面,单击目标标签策略操作列的绑定

  3. 绑定对话框,单击确定

    该标签策略绑定到当前登录的阿里云账号。

(可选)步骤四:查看有效策略

标签策略绑定成功后,阿里云账号可以查看自己已绑定的有效策略。

  1. 在左侧导航栏,选择标签策略 > 有效策略

  2. 单击策略场景页签,然后单击标签键名称,查看有效策略及对应的检测任务。

步骤五:验证标签策略是否生效

登录当前阿里云账号或其下的RAM用户,执行标签操作,验证标签策略是否生效。例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。

资源目录标签策略

根据安全最佳实践,推荐您为资源目录的管理账号创建一个RAM用户,并授予AdministratorAccess权限,充当资源目录的管理员(简称为RD管理员)。以下操作将使用RD管理员完成。关于创建RAM用户并授权的操作,请参见创建RAM用户为RAM用户授权

步骤一:启用标签策略

  1. 登录标签控制台

  2. 在左侧导航栏,选择标签策略 > 策略库

  3. 策略库页面,单击启用标签策略

  4. 启用标签策略对话框,选择标签策略模式。

    您可以同时选择以下两种模式,也可以任选其一:

    • 资源目录开通标签策略:为资源目录启用标签策略。

    • 当前账号开通标签策略:为管理账号本身启用标签策略。

  5. 单击确定

    启用标签策略时,会自动创建一个服务关联角色(AliyunServiceRoleForTag)解决跨服务访问问题。更多信息,请参见标签服务关联角色

步骤二:创建标签策略

您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。

  1. 在左侧导航栏,选择标签策略 > 策略库

  2. 策略库页面的资源目录策略页签,单击创建标签策略

  3. 基本信息区域,输入策略名称和描述。

  4. 策略信息区域,选择以下任意一种方式,配置策略内容。

    • 快速录入(推荐)

      选择策略场景,然后根据不同的策略场景配置不同的规则。

      • 资源绑定指定标签值

        您可以在标签策略中设置资源绑定指定的标签值,结合不同的执行方式,实现不合规标签自动检测、不合规标签自动修复、对不合规标签的绑定操作进行事前拦截等。

        规则

        说明

        标签键

        输入标签键名称。

        指定允许的标签值

        标签键允许使用的标签值。支持输入多值。支持输入通配符星号(*),表示允许任意标签值。

        策略执行方式

        • 事后检测

          事后检测为该标签策略场景的默认执行方式,您可以直接在检测结果页面查看检测结果。您可以根据需要启用以下的检测规则:

          • 为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

          • 指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

            说明

            资源目录标签策略不支持指定资源组范围参数。

          • 指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

          • 启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

        • 事前拦截

          事前拦截将在创建新资源以及为已有资源绑定标签时进行检测,检测不通过时将对操作进行拦截。具体如下:

          • 创建资源时拦截不合规标签。

            不合规情况

            • 不合规情况1:资源创建时绑定了标签策略中设置的标签键,但标签值不合规。

            • 不合规情况2:资源创建时未绑定标签策略中设置的标签键。

            默认和邀请功能

            • 默认功能:只对不合规情况1触发拦截。支持事前拦截默认功能的资源类型及API,请参见支持标签策略的云服务支持事前拦截的API(默认)列。

            • 邀测功能:对不合规情况1和2都会触发拦截。如需试用,请联系阿里云的服务经理申请体验资格。支持事前拦截邀测功能的资源类型及API,请参见支持标签策略的云服务支持创建资源时拦截的API(邀测)列。

            示例

            标签策略中设置了创建ECS实例时,必须绑定标签CostCenter:Beijing。当您创建ECS实例时,默认情况下,只针对绑定标签键CostCenter(不区分大小写)的情况进行检测,标签合规(例如:CostCenter:Beijing)时ECS实例会创建成功,标签不合规(例如:costcenter:Shanghai)时ECS实例会创建失败。当您启用邀测功能后,会针对未绑定标签键CostCenter(不区分大小写)情况进行检测,即未绑定标签CostCenter:Beijing的ECS实例会创建失败。

          • 为已存在的资源绑定标签时拦截不合规标签。

            为已存在的资源绑定标签时,校验标签策略中设置的标签键和标签值是否符合规则。如符合规则,则标签绑定成功,否则,标签绑定失败。

      • 资源自动继承资源组标签

        您可以为资源组绑定标签,然后在标签策略中设置资源自动继承资源组标签,就可以实现当资源组中创建资源或者将资源加入到资源组时,该资源自动继承资源组的指定标签。

        规则

        说明

        标签键

        输入标签键名称。

        为此标签键指定检测的资源类型

        默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

        指定资源组范围

        默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

        说明

        资源目录标签策略不支持指定资源组范围参数。

        指定需要排除的资源ID

        指定资源组内需要排除的资源ID,即这些资源不自动继承资源组标签。最多可以指定20个资源ID。

        指定地域范围

        默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

      • 标签值匹配指定正则表达式

        您可以在标签策略中设置标签值需要满足的正则表达式,以此约束标签值的合规性。对于不满足正则表达式的标签值,支持自动修复。

        规则

        说明

        标签键

        输入标签键名称。

        指定允许的标签值

        输入正则表达式,约束标签值的格式。

        策略执行方式

        事后检测为该标签策略场景的默认执行方式,您可以直接在检测结果页面查看检测结果。您还可以根据需要启用以下的检测规则:

        • 为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。

        • 指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。

          说明

          资源目录标签策略不支持指定资源组范围参数。

        • 指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。

        • 启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。目前只支持通过标签指定资源范围。

      您可以单击添加策略场景和标签键,对多个策略场景和标签键配置规则。

    • JSON

      编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法

  5. 单击创建

步骤三:绑定标签策略

当您成功创建标签策略后,您还需要将标签策略绑定到目标账号,才能对目标账号中的资源进行标签规范化管控。

  1. 在左侧导航栏,选择标签策略 > 策略库

  2. 策略库页面,单击资源目录策略页签。

  3. 单击目标标签策略操作列的绑定

  4. 绑定对话框,选择绑定目标,然后单击确定

    各绑定目标的生效范围如下:

    • Root资源夹:标签策略对整个资源目录中的全部成员生效。

    • 指定资源夹:标签策略仅对指定资源夹中的全部成员生效。

    • 指定成员:标签策略仅对指定成员生效。

    说明

    资源目录标签策略不能绑定到资源目录的管理账号,但是,您可以为管理账号创建和绑定当前账号标签策略。

(可选)步骤四:查看有效策略

标签策略绑定成功后,RD管理账号可以查看Root资源夹、资源夹和成员已生效的有效策略,成员可以查看自己已生效的有效策略。有效策略是根据标签策略继承关系计算得出的。更多信息,请参见标签策略继承和有效策略计算

  1. 在左侧导航栏,选择标签策略 > 有效策略

  2. 查看有效策略。

    • 单击全部成员有效策略页签,查看资源目录成员绑定的有效策略及对应的检测任务。

    • 单击当前目录有效策略页签,查看资源目录管理账号本身和资源目录节点绑定的有效策略及对应的检测任务。

步骤五:验证标签策略是否生效

  1. RD管理员访问绑定了标签策略的RD成员。

    具体操作,请参见成员登录阿里云控制台

  2. 在成员的管理控制台上,执行标签操作,验证标签策略是否生效。

    例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。