标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略,企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持当前账号标签策略和资源目录标签策略两种,可以满足企业在不同阶段对标签规范化管控的需求。
应用场景
当企业在云上的资源越来越多时,企业可以通过标签对资源进行标记,实现资源分类、标签分账和自动化运维等。 但是,在给资源绑定标签的过程中,可能会遇到一些问题。例如:创建资源后,忘了绑定标签;只绑定了部分标签(例如:绑定了运维相关的标签,遗漏了财务相关的标签。);绑定的标签拼写错误等。这些问题会导致企业在标签分账时,出现不易划分财务归属的资源记录;企业在自动化运维时,出现不能自动化执行的资源。标签策略将在以下场景提供解决方案:
标签自动检测
资源创建后,您可以通过标签策略监听资源变更情况,及时发现绑定了不合规标签的资源,包含以下两种情况:
资源绑定了标签,但是标签不规范。
资源未绑定指定标签。
自动检测的方式可以自动化地、全面地提早发现问题。
具体操作,请参见使用标签策略实现标签自动检测。
标签自动修复
基于标签自动检测的结果,如果您的规则符合自动修复的条件,并开启了自动修复,则无需人工操作,标签策略会对不合规资源的标签进行自动修复。
具体操作,请参见使用标签策略实现标签自动修复。
不合规标签事前拦截
自动检测具有一定时延,可能会存在:从创建资源到触发检测的时间段内,资源未绑定合规标签。此外,标签最佳实践推荐您从一开始创建资源时就进行标签规范化管控。此时,您可以通过标签策略,实现资源创建时就强制绑定合规标签,拦截不合规标签。
默认情况下,仅针对在标签策略中设置的标签生效。当您开启事前拦截的强校验功能后,还可以对未绑定任何标签以及绑定了其他标签的情况生效。
具体操作,请参见使用标签策略实现不合规标签的事前拦截。
资源组标签自动继承到组内资源
为资源组绑定标签后,当在资源组中创建资源或者将资源加入到资源组时,该资源会自动继承资源组的标签。
具体操作,请参见使用标签策略实现基于资源组的标签自动继承。
标签策略模式
标签策略支持当前账号标签策略和资源目录标签策略两种。您可以根据实际的使用场景和当前登录的账号类型,启用对应的标签策略。具体如下表所示。
使用场景 | 当前登录账号类型 | 标签策略模式 | 操作步骤 |
企业云上业务比较简单,使用的是单个阿里云账号及RAM用户的管理模式,此时,您可以通过阿里云账号启用当前账号标签策略,规范管理阿里云账号及RAM用户的标签操作。 | 阿里云账号(未加入资源目录) | 当前账号标签策略:管控阿里云账号及其下RAM用户的标签。 | |
如果企业云上业务比较复杂,已使用资源目录(RD)搭建了云上的多账号管理体系,此时,您可以通过RD管理账号启用资源目录标签策略,规范管理RD中各成员的标签操作。 | 资源目录的管理账号 | 您可以根据需要,同时启用或分别启用以下两种模式的标签策略:
| |
资源目录的成员 | 根据资源目录是否启用标签策略,分为以下两种情况:
|
使用限制
限制项 | 规格 |
当前账号标签策略中最多允许创建标签策略的数量 | 100个 |
资源目录标签策略中最多允许创建标签策略的数量 | 100个 |
每个标签策略的最大长度 | 2048个字符 |
事前拦截策略的生效时间 |
|
自动检测的生效时间 |
|
自动修复的生效时间 | 检测出不合规资源后,10分钟内自动修复。 |
最佳实践
支持标签策略的云服务
云服务 | 云服务代码 | 资源类型 | 是否支持标签自动检测和修复 | 是否支持资源组标签自动继承 | 是否支持事前拦截 | 支持事前拦截默认功能的API① | 支持事前拦截强校验功能的API② |
云服务器ECS | ecs | instance | 是 | 是 | 是 | ||
无 | |||||||
eni | 是 | 否 | 是 | ||||
无 | |||||||
securitygroup | 是 | 是 | 是 | ||||
无 | |||||||
disk | 是 | 是 | 是 | ||||
无 | |||||||
snapshot | 是 | 否 | 是 | ||||
无 | |||||||
ddh | 是 | 是 | 是 | ||||
无 | |||||||
image | 否 | 否 | 是 | ||||
无 | |||||||
无 | |||||||
keypair | 否 | 否 | 是 | ||||
无 | |||||||
launchtemplate | 是 | 是 | 是 | ||||
无 | |||||||
snapshotpolicy | 否 | 否 | 是 | ||||
云数据库RDS | rds | instance | 是 | 是 | 是 | 无 | |
无 | |||||||
负载均衡 | slb | instance | 是 | 是 | 是 | 无 | |
certificate | 否 | 否 | 是 | 无 | |||
acl | 否 | 否 | 是 | 无 | |||
应用型负载均衡 | alb | acl | 否 | 否 | 是 | 无 | |
loadbalancer | 否 | 否 | 是 | 无 | |||
securitypolicy | 否 | 否 | 是 | 无 | |||
servergroup | 否 | 否 | 是 | 无 | |||
专有网络VPC | vpc | vpc | 是 | 是 | 是 | 无 | |
vswitch | 是 | 否 | 是 | 无 | |||
routetable | 是 | 否 | 是 | 无 | |||
NAT网关 | vpc | natgateway | 是 | 是 | 是 | 无 | |
VPN网关 | vpc | vpngateway | 否 | 否 | 是 | 无 | |
共享带宽 | vpc | commonbandwidthpackage | 否 | 否 | 是 | 无 | |
弹性公网IP | vpc | eip | 是 | 是 | 是 | 无 | |
云企业网 | cen | cen | 是 | 是 | 是 | 无 | |
bandwidthpackage | 否 | 否 | 是 | 无 | |||
CDN | cdn | domain | 是 | 是 | 否 | 无 | 无 |
对象存储 | oss | bucket | 是 | 是 | 否 | 无 | 无 |
云数据库Tair(兼容Redis®) | kvstore | instance | 是 | 是 | 是 | 无 | |
无 | |||||||
云数据库MongoDB版 | dds | instance | 是 | 是 | 是 | 无 | |
云数据库HBase版 | multimod | cluster | 是 | 是 | 是 | 无 | |
云原生关系型数据库PolarDB | polardb | cluster | 是 | 是 | 否 | 无 | 无 |
文件存储NAS | nas | filesystem | 是 | 是 | 是 | 无 | |
DDoS防护 | ddoscoo | instance | 是 | 是 | 是 | 无 | |
无 | |||||||
容器服务 | cs | cluster | 是 | 是 | 否 | 无 | 无 |
API网关服务 | apigateway | api | 是 | 是 | 否 | 无 | 无 |
apigroup | 是 | 是 | 否 | 无 | 无 | ||
app | 否 | 否 | 否 | 无 | 无 | ||
instance | 否 | 否 | 否 | 无 | 无 | ||
plugin | 否 | 否 | 否 | 无 | 无 | ||
云解析DNS | alidns | domain | 否 | 否 | 是 | 无 | |
弹性伸缩 | ess | scalinggroup | 否 | 否 | 是 | ||
无 | |||||||
弹性容器实例 | eci | containergroup | 否 | 否 | 是 | ||
无 | |||||||
imagecache | 否 | 否 | 是 | 无 | |||
无 | |||||||
virtualnode | 否 | 否 | 是 | 无 | |||
消息队列RocketMQ版 | mq | group | 否 | 否 | 是 | 无 | |
instance | 否 | 否 | 是 | 无 | |||
topic | 否 | 否 | 是 | 无 | |||
堡垒机 | bastionhost | instance | 否 | 否 | 是 | 无 | |
资源编排 | ros | changeset | 否 | 否 | 是 | 无 | |
stack | 否 | 否 | 是 | ||||
无 | |||||||
无 | |||||||
template | 否 | 否 | 是 | 无 |
说明:
①事前拦截分为创建资源时拦截和为资源绑定标签时拦截两种场景,不同云服务、不同资源类型、不同API对两种场景的支持情况不同。以ECS的instance为例,CreateInstance是在创建ECS实例时拦截不合规标签,TagResources是在为ECS实例绑定标签时拦截不合规标签。
②事前拦截的强校验功能需要手动开启后才会生效。更多信息,请参见使用标签策略实现不合规标签的事前拦截。