本文为您介绍如何快速地使用标签策略来规范标签的操作。
背景信息
标签策略支持当前账号标签策略和资源目录标签策略两种。更多信息,请参见标签策略模式。
首次使用标签策略时,建议您先在资源较少的测试账号上启用标签策略,等待测试成功后,再在生产账号上启用标签策略。
当前账号标签策略
步骤一:启用标签策略
步骤二:创建标签策略
您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。
在左侧导航栏,选择。
在策略库页面,单击创建标签策略。
在基本信息区域,输入策略名称和描述。
在策略信息区域,选择以下任意一种方式,配置策略内容。
快速录入(推荐)
选择策略场景,然后根据不同的策略场景配置不同的规则。
资源绑定指定标签值
您可以在标签策略中设置资源绑定指定的标签值,结合不同的执行方式,实现不合规标签自动检测、不合规标签自动修复、对不合规标签的绑定操作进行事前拦截等。
规则
说明
标签键
输入标签键名称。
指定允许的标签值
标签键允许使用的标签值。支持输入多值。支持输入通配符星号(*),表示允许任意标签值。
策略执行方式
事后检测
事后检测为该标签策略场景的默认执行方式,您可以根据需要启用以下的检测规则,然后在有效策略详情页面查看检测结果。
为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围:您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
指定资源名称正则:您可以根据需要指定资源名称正则,指定后,仅检测名称符合该正则表达式的资源。
例如:设置资源名称正则表达式
abc-.*,表示检测的资源范围是以abc-开头的资源。启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。
事前拦截
事前拦截将在创建新资源以及为已有资源绑定标签时进行检测,检测不通过时将对操作进行拦截。更多信息,请参见使用标签策略实现不合规标签的事前拦截。
标签值匹配指定正则表达式
您可以在标签策略中设置标签值需要满足的正则表达式,以此约束标签值的合规性。对于不满足正则表达式的标签值,支持自动修复。
规则
说明
标签键
输入标签键名称。
指定允许的标签值
输入正则表达式,约束标签值的格式。
策略执行方式
事后检测为该标签策略场景的默认执行方式,您可以根据需要启用以下的检测规则,然后在有效策略详情页面查看检测结果。
为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围:您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
指定资源名称正则:您可以根据需要指定资源名称正则,指定后,仅检测名称符合该正则表达式的资源。
例如:设置资源名称正则表达式
abc-.*,表示检测的资源范围是以abc-开头的资源。启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。
资源自动继承资源组标签
您可以为资源组绑定标签,然后在标签策略中设置资源自动继承资源组标签,这样当资源组中创建资源或者将资源加入到资源组时,该资源就可以自动继承资源组的指定标签。
规则
说明
标签键
输入标签键名称。
对于当前账号标签策略,输入标签键后,您可以单击查看已绑定该标签的资源组,查看绑定了该标签键的资源组列表。
为此标签键指定检测的资源类型
默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围
默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定需要排除的资源ID
指定资源组内需要排除的资源ID,即这些资源不自动继承资源组标签。最多可以指定20个资源ID。
指定地域范围
默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围
您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
您可以单击添加策略场景和标签键,对多个策略场景和标签键配置规则。
JSON
编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法。
单击创建。
步骤三:绑定标签策略
当您成功创建标签策略后,您还需要将标签策略绑定到当前账号,才能对当前账号中的资源进行标签规范化管控。
在左侧导航栏,选择。
单击目标标签策略操作列的绑定。
在绑定对话框,单击确定。
该标签策略绑定到当前登录的阿里云账号。
(可选)步骤四:查看有效策略
标签策略绑定成功后,阿里云账号可以查看自己已绑定的有效策略。
在左侧导航栏,选择。
单击标签键,在有效策略详情页面查看当前账号绑定的有效策略信息,包括基本信息、绑定关系、检测结果以及修复记录。
步骤五:验证标签策略是否生效
登录当前阿里云账号或其下的RAM用户,执行标签操作,验证标签策略是否生效。例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。
资源目录标签策略
根据安全最佳实践,推荐您为资源目录的管理账号创建一个RAM用户,并授予AdministratorAccess权限,充当资源目录的管理员(简称为RD管理员)。以下操作将使用RD管理员完成。关于创建RAM用户并授权的操作,请参见创建RAM用户和为RAM用户授权。
步骤一:启用标签策略
步骤二:创建标签策略
您可以创建标签策略,通过配置策略内容,限定资源上必须绑定的标签,确保资源绑定合规的标签。
在左侧导航栏,选择。
在策略库页面的资源目录策略页签,单击创建标签策略。
在基本信息区域,输入策略名称和描述。
在策略信息区域,选择以下任意一种方式,配置策略内容。
快速录入(推荐)
选择策略场景,然后根据不同的策略场景配置不同的规则。
资源绑定指定标签值
您可以在标签策略中设置资源绑定指定的标签值,结合不同的执行方式,实现不合规标签自动检测、不合规标签自动修复、对不合规标签的绑定操作进行事前拦截等。
规则
说明
标签键
输入标签键名称。
指定允许的标签值
标签键允许使用的标签值。支持输入多值。支持输入通配符星号(*),表示允许任意标签值。
策略执行方式
事后检测
事后检测为该标签策略场景的默认执行方式,您可以根据需要启用以下的检测规则,然后在有效策略详情页面查看检测结果。
为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围:您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
指定资源名称正则:您可以根据需要指定资源名称正则,指定后,仅检测名称符合该正则表达式的资源。
例如:设置资源名称正则表达式
abc-.*,表示检测的资源范围是以abc-开头的资源。启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。
事前拦截
事前拦截将在创建新资源以及为已有资源绑定标签时进行检测,检测不通过时将对操作进行拦截。更多信息,请参见使用标签策略实现不合规标签的事前拦截。
标签值匹配指定正则表达式
您可以在标签策略中设置标签值需要满足的正则表达式,以此约束标签值的合规性。对于不满足正则表达式的标签值,支持自动修复。
规则
说明
标签键
输入标签键名称。
指定允许的标签值
输入正则表达式,约束标签值的格式。
策略执行方式
事后检测为该标签策略场景的默认执行方式,您可以根据需要启用以下的检测规则,然后在有效策略详情页面查看检测结果。
为此标签键指定检测的资源类型:事后检测默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围:默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定地域范围:默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围:您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
指定资源名称正则:您可以根据需要指定资源名称正则,指定后,仅检测名称符合该正则表达式的资源。
例如:设置资源名称正则表达式
abc-.*,表示检测的资源范围是以abc-开头的资源。启用自动修复:对不合规资源的标签进行自动修复。您需要指定合规标签值和执行自动修复的资源范围。
资源自动继承资源组标签
您可以为资源组绑定标签,然后在标签策略中设置资源自动继承资源组标签,这样当资源组中创建资源或者将资源加入到资源组时,该资源就可以自动继承资源组的指定标签。
规则
说明
标签键
输入标签键名称。
对于当前账号标签策略,输入标签键后,您可以单击查看已绑定该标签的资源组,查看绑定了该标签键的资源组列表。
为此标签键指定检测的资源类型
默认检测支持的所有资源类型。您也可以根据需要指定资源类型,指定后,仅检测指定的资源类型。
指定资源组范围
默认检测所有资源组中的资源。您也可以根据需要指定资源组范围进行检测。最多可以指定20个资源组。
说明资源目录标签策略不支持指定资源组范围参数。
指定需要排除的资源ID
指定资源组内需要排除的资源ID,即这些资源不自动继承资源组标签。最多可以指定20个资源ID。
指定地域范围
默认检测所有地域中的资源。您也可以根据需要指定地域范围进行检测。最多可以指定20个地域。
指定标签范围
您可以根据需要指定标签范围进行检测,指定后,仅检测绑定了指定标签的资源。多个标签之间是“与”关系。最多可以指定20个标签。
您可以单击添加策略场景和标签键,对多个策略场景和标签键配置规则。
JSON
编写JSON格式的策略信息。该方式适用于对标签策略有高阶需求的用户。使用前,您需要掌握策略语法知识。更多信息,请参见标签策略语法。
单击创建。
步骤三:绑定标签策略
当您成功创建标签策略后,您还需要将标签策略绑定到目标账号,才能对目标账号中的资源进行标签规范化管控。
在左侧导航栏,选择。
在策略库页面,单击资源目录策略页签。
单击目标标签策略操作列的绑定。
在绑定对话框,选择绑定目标,然后单击确定。
各绑定目标的生效范围如下:
Root资源夹:标签策略对整个资源目录中的全部成员生效。
指定资源夹:标签策略仅对指定资源夹中的全部成员生效。
指定成员:标签策略仅对指定成员生效。
说明资源目录标签策略不能绑定到资源目录的管理账号,但是,您可以为管理账号创建和绑定当前账号标签策略。
(可选)步骤四:查看有效策略
标签策略绑定成功后,RD管理账号可以查看Root资源夹、资源夹和成员已生效的有效策略,成员可以查看自己已生效的有效策略。有效策略是根据标签策略继承关系计算得出的。更多信息,请参见标签策略继承和有效策略计算。
在左侧导航栏,选择。
查看有效策略。
单击全部成员列表页签,查看已绑定标签策略的资源目录成员列表。您可以单击操作列的查看检测结果,在有效策略详情页面查看有效策略信息,包括基本信息、绑定关系、检测结果以及修复记录。
单击目录结构列表页签,查看资源目录节点绑定的有效策略信息。您可以单击标签键,在有效策略详情页面查看有效策略信息,包括基本信息、绑定关系、检测结果以及修复记录。
步骤五:验证标签策略是否生效
RD管理员访问绑定了标签策略的RD成员。
具体操作,请参见成员登录阿里云控制台。
在成员的管理控制台上,执行标签操作,验证标签策略是否生效。
例如:如果您为VPC实例设置了标签策略,要求其必须绑定标签
CostCenter:Beijing。当您绑定合规标签CostCenter:Beijing时,会绑定成功;绑定其他不合规标签(例如:costCenter:Shanghai)时,会绑定失败。此时,证明标签策略已生效。