标签策略概述

标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略,企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持当前账号标签策略和资源目录标签策略两种,可以满足企业在不同阶段对标签规范化管控的需求。

应用场景

当企业在云上的资源越来越多时,企业可以通过标签对资源进行标记,实现资源分类、标签分账和自动化运维等。 但是,在给资源绑定标签的过程中,可能会遇到一些问题。例如:创建资源后,忘了绑定标签;只绑定了部分标签(例如:绑定了运维相关的标签,遗漏了财务相关的标签。);绑定的标签拼写错误等。这些问题会导致企业在标签分账时,出现不易划分财务归属的资源记录;企业在自动化运维时,出现不能自动化执行的资源。标签策略将在以下场景提供解决方案:

  • 标签自动检测

    资源创建后,您可以通过标签策略监听资源变更情况,及时发现绑定了不合规标签的资源,包含以下两种情况:

    • 资源绑定了标签,但是标签不规范。

    • 资源未绑定指定标签。

    自动检测的方式可以自动化地、全面地提早发现问题。

    具体操作,请参见使用标签策略实现标签自动检测

  • 标签自动修复

    基于标签自动检测的结果,如果您的规则符合自动修复的条件,并开启了自动修复,则无需人工操作,标签策略会对不合规资源的标签进行自动修复。

    具体操作,请参见使用标签策略实现标签自动修复

  • 不合规标签事前拦截

    自动检测具有一定时延,可能会存在:从创建资源到触发检测的时间段内,资源未绑定合规标签。此外,标签最佳实践推荐您从一开始创建资源时就进行标签规范化管控。此时,您可以通过标签策略,实现资源创建时就强制绑定合规标签,拦截不合规标签。

    默认情况下,仅针对在标签策略中设置的标签生效。当您开启事前拦截的强校验功能后,还可以对未绑定任何标签以及绑定了其他标签的情况生效。

    具体操作,请参见使用标签策略实现不合规标签的事前拦截

  • 资源组标签自动继承到组内资源

    为资源组绑定标签后,当在资源组中创建资源或者将资源加入到资源组时,该资源会自动继承资源组的标签。

    具体操作,请参见使用标签策略实现基于资源组的标签自动继承

标签策略模式

标签策略支持当前账号标签策略和资源目录标签策略两种。您可以根据实际的使用场景和当前登录的账号类型,启用对应的标签策略。具体如下表所示。

使用场景

当前登录账号类型

标签策略模式

操作步骤

企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用当前账号标签策略,规范管理阿里云账号及RAM用户的标签操作。

阿里云账号(未加入资源目录)

当前账号标签策略:管控阿里云账号及其下RAM用户的标签。

使用阿里云账号启用标签策略

如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用资源目录标签策略,规范管理RD中各成员的标签操作。

资源目录的管理账号

您可以根据需要,同时启用或分别启用以下两种模式的标签策略:

  • 资源目录标签策略:管控整个资源目录内(不含管理账号本身)的标签。

    重要

    如果资源目录的任意一个成员启用了当前账号标签策略,则资源目录的管理账号不能启用资源目录标签策略。此时,您需要禁用成员的当前账号标签策略后,重新启用资源目录标签策略。

  • 当前账号标签策略:仅管控管理账号本身的标签。

使用资源目录管理账号启用标签策略

资源目录的成员

根据资源目录是否启用标签策略,分为以下两种情况:

  • 如果资源目录未启用标签策略,则资源目录的成员可以启用当前账号标签策略,只管控成员下的标签。

  • 如果资源目录已启用标签策略,则资源目录的成员不允许启用当前账号标签策略。标签策略将统一由资源目录的管理账号管理,成员只能查看自己的有效策略。

使用资源目录成员启用标签策略

使用限制

限制项

规格

当前账号标签策略中最多允许创建标签策略的数量

100个

资源目录标签策略中最多允许创建标签策略的数量

100个

每个标签策略的最大长度

2048个字符

事前拦截策略的生效时间

  • 绑定策略目标后,5分钟内事前拦截策略生效。

  • 修改策略内容后,5分钟内事前拦截策略生效。

自动检测的生效时间

  • 标签策略绑定成功后,1小时内触发自动检测。

  • 目标账号中创建资源成功后,10分钟内触发自动检测。

  • 目标账号中的资源变更时,会实时触发自动检测。

  • 修改策略内容后,系统会在目标账号中启动一次全量检测。全量检测的时间长短取决于资源数量的多少。资源越多,全量检测的时间越长。

自动修复的生效时间

检测出不合规资源后,10分钟内自动修复。

最佳实践

支持标签策略的云服务

云服务

云服务代码

资源类型

是否支持标签自动检测和修复

是否支持资源组标签自动继承

是否支持事前拦截

支持事前拦截默认功能的API

支持事前拦截强校验功能的API

云服务器ECS

ecs

instance

RunInstances

RunInstances

CreateInstance

CreateInstance

TagResources

eni

CreateNetworkInterface

CreateNetworkInterface

TagResources

securitygroup

CreateSecurityGroup

CreateSecurityGroup

TagResources

disk

CreateDisk

CreateDisk

TagResources

snapshot

CreateSnapshot

CreateSnapshot

TagResources

ddh

AllocateDedicatedHosts

AllocateDedicatedHosts

TagResources

image

CreateImage

CreateImage

CopyImage

TagResources

keypair

ImportKeyPair

ImportKeyPair

CreateKeyPair

CreateKeyPair

TagResources

launchtemplate

CreateLaunchTemplate

CreateLaunchTemplate

TagResources

snapshotpolicy

CreateAutoSnapshotPolicy

CreateAutoSnapshotPolicy

云数据库RDS

rds

instance

CreateDBInstance

TagResources

负载均衡

slb

instance

TagResources

certificate

TagResources

acl

TagResources

应用型负载均衡

alb

acl

TagResources - 给资源添加标签

loadbalancer

TagResources - 给资源添加标签

securitypolicy

TagResources - 给资源添加标签

servergroup

TagResources - 给资源添加标签

专有网络VPC

vpc

vpc

TagResources

vswitch

TagResources

routetable

TagResources

NAT网关

vpc

natgateway

TagResources

VPN网关

vpc

vpngateway

TagResources

共享带宽

vpc

commonbandwidthpackage

TagResources

弹性公网IP

vpc

eip

TagResources

云企业网

cen

cen

TagResources

bandwidthpackage

TagResources

CDN

cdn

domain

对象存储

oss

bucket

云数据库Tair(兼容Redis®

kvstore

instance

CreateInstance - 创建一个Tair(兼容Redis)实例

TagResources - 为一个或多个实例绑定标签

云数据库MongoDB版

dds

instance

TagResources

云数据库HBase版

multimod

cluster

TagResources

云原生关系型数据库PolarDB

polardb

cluster

文件存储NAS

nas

filesystem

TagResources

DDoS防护

ddoscoo

instance

TagResources - 为指定资源绑定标签

CreateTagResources - 为资源关联标签

容器服务

cs

cluster

API网关服务

apigateway

api

apigroup

app

instance

plugin

云解析DNS

alidns

domain

TagResources - 添加修改资源标签

弹性伸缩

ess

scalinggroup

CreateScalingGroup

CreateScalingGroup

TagResources

弹性容器实例

eci

containergroup

CreateContainerGroup - 创建一个容器组

CreateContainerGroup - 创建一个容器组

UpdateContainerGroup - 更新一个容器组

imagecache

UpdateImageCache - 更新一个镜像缓存

CreateImageCache - 创建一个镜像缓存

virtualnode

UpdateVirtualNode - 更新一个虚拟节点

CreateVirtualNode - 创建一个虚拟节点

CreateVirtualNode - 创建一个虚拟节点

消息队列RocketMQ版

mq

group

TagResources

instance

TagResources

topic

TagResources

堡垒机

bastionhost

instance

TagResources

资源编排

ros

changeset

TagResources

stack

CreateStack

CreateStack

UpdateStack

TagResources

template

TagResources

说明:

事前拦截分为创建资源时拦截为资源绑定标签时拦截两种场景,不同云服务、不同资源类型、不同API对两种场景的支持情况不同。以ECS的instance为例,CreateInstance是在创建ECS实例时拦截不合规标签,TagResources是在为ECS实例绑定标签时拦截不合规标签。

事前拦截的强校验功能需要手动开启后才会生效。更多信息,请参见使用标签策略实现不合规标签的事前拦截