Migliori pratiche e strategie - AWS Risorse per l'etichettatura e editor di tag
Best practiceLe migliori pratiche per la denominazione dei tagStrategie comuni di tagging

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migliori pratiche e strategie

Queste sezioni forniscono informazioni sulle migliori pratiche e strategie per etichettare le AWS risorse e utilizzare Tag Editor.

Le migliori pratiche di etichettatura

Quando crei una strategia di etichettatura per AWS le risorse, segui le migliori pratiche:

  • Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti AWS servizi, inclusa la fatturazione. I tag non sono destinati ad essere utilizzati per dati privati o sensibili.

  • Utilizza un formato standardizzato con distinzione tra maiuscole e minuscole per i tag e applicalo in modo coerente a tutti i tipi di risorse.

  • Prendi in considerazione le linee guida per i tag che supportano più scopi, ad esempio la gestione del controllo dell'accesso alle risorse, il monitoraggio dei costi, l'automazione e l'organizzazione.

  • Utilizza strumenti automatizzati per gestire i tag delle risorse. Tag Editor e Resource Groups Tagging API consentono il controllo programmatico dei tag, semplificando la gestione, la ricerca e il filtraggio automatici di tag e risorse.

  • Utilizza molti tag piuttosto che pochi tag.

  • Ricorda che è facile cambiare i tag per soddisfare le mutevoli esigenze aziendali, ma considera le conseguenze delle modifiche future. Ad esempio, modificando i tag di controllo di accesso, è necessario aggiornare anche le policy che fanno riferimento a tali tag e controllare l'accesso alle risorse.

  • È possibile applicare automaticamente gli standard di assegnazione di tag che l'organizzazione sceglie di adottare creando e distribuendo policy di tag tramite AWS Organizations. Le policy di tag consentono di specificare regole di assegnazione di tag che definiscono nomi di chiavi validi e valori validi per ogni chiave. È possibile decidere di monitorare soltanto, con la possibilità di valutare e ripulire i tag esistenti. Una volta che i tag sono conformi agli standard scelti, è possibile attivare l'applicazione nelle policy di tag in modo da impedire la creazione di tag non conformi. Per ulteriori informazioni, consultare Policy di tag nella Guida per l'utente di AWS Organizations .

Le migliori pratiche per la denominazione dei tag

Queste sono alcune best practice e convenzioni di denominazione che consigliamo di utilizzare con i tag.

I nomi chiave dei AWS tag fanno distinzione tra maiuscole e minuscole, quindi assicurati che vengano utilizzati in modo coerente. Ad esempio, i tag keys CostCenter e costcenter sono diversi. Una chiave di tag potrebbe essere configurata come tag di allocazione dei costi per l'analisi e la rendicontazione finanziaria e l'altra chiave potrebbe non essere configurata per lo stesso uso.

Alcuni tag sono predefiniti AWS o creati automaticamente da vari. Servizi AWS Molti tag AWS generati utilizzano nomi chiave tutti minuscoli, con trattini che separano le parole nel nome e prefissi seguiti da due punti per identificare il servizio di origine del tag. Ad esempio, consulta quanto segue:

  • aws:ec2spot:fleet-request-idè un tag che identifica l'Amazon EC2 Spot Instance Request che ha avviato l'istanza.

  • aws:cloudformation:stack-nameè un tag che identifica lo AWS CloudFormation stack che ha creato la risorsa.

  • elasticbeanstalk:environment-nameè un tag che identifica l'applicazione che ha creato la risorsa.

Valuta la possibilità di assegnare un nome ai tag utilizzando le seguenti regole:

  • Usa tutte le lettere minuscole per le parole.

  • Usa i trattini per separare le parole.

  • Utilizza un prefisso seguito da due punti per identificare il nome dell'organizzazione o il nome abbreviato.

Ad esempio, per una società fittizia denominata AnyCompany, è possibile definire tag come:

  • anycompany:cost-centerper identificare il codice interno del centro di costo.

  • anycompany:environment-typeper identificare se l'ambiente è di sviluppo, test o produzione.

  • anycompany:application-idper identificare l'applicazione per cui è stata creata la risorsa.

Il prefisso garantisce che i tag siano chiaramente riconoscibili in base alla definizione dell'organizzazione e non a uno strumento di AWS terze parti che l'utente potrebbe utilizzare. L'uso di tutte le lettere minuscole con i trattini per i separatori evita confusione su come scrivere il nome di un tag. Ad esempio, anycompany:project-id è più semplice da ricordare rispetto ANYCOMPANY:ProjectID, anycompany:projectID oppure Anycompany:ProjectId.

Limiti e requisiti per la denominazione dei tag

I seguenti requisiti di denominazione e utilizzo di base si applicano ai tag:

  • Ogni risorsa può avere un massimo di 50 tag creati dall'utente.

  • I tag creati dal sistema che iniziano con aws: sono riservati all'uso AWS e non vengono conteggiati per questo limite. Non è possibile modificare o eliminare un tag che inizia con il prefisso aws:.

  • Per ciascuna risorsa, ogni chiave del tag deve essere univoca e ogni chiave del tag può avere un solo valore.

  • La chiave del tag deve contenere un minimo di 1 e un massimo di 128 caratteri Unicode in -8. UTF

  • Il valore del tag deve essere compreso tra un minimo di 0 e un massimo di 256 caratteri Unicode in UTF -8.

  • I caratteri consentiti possono variare in base al AWS servizio. Per informazioni sui caratteri che è possibile utilizzare per etichettare le risorse in un particolare AWS servizio, consulta la relativa documentazione. In generale, i caratteri consentiti sono lettere, numeri, spazi rappresentabili in UTF -8 e i seguenti caratteri: _.:/= + - @.

  • I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole. Come best practice, è consigliabile definire una strategia per l'uso delle lettere maiuscole e minuscole nei tag e implementarla costantemente in tutti i tipi di risorse. Ad esempio, puoi decidere se utilizzare Costcenter, costcenter o CostCenter e utilizzare la stessa convenzione per tutti i tag. Non utilizzare tag simili con lettere maiuscole o minuscole incoerenti.

Strategie comuni di tagging

Utilizza le seguenti strategie di assegnazione tag per individuare e gestire le risorse AWS .

Tag per l'organizzazione delle risorse

I tag sono un ottimo modo per organizzare AWS le risorse in. AWS Management ConsoleÈ possibile configurare i tag da visualizzare con le risorse e cercare e filtrare per tag. Con il AWS Resource Groups servizio, è possibile creare gruppi di AWS risorse basati su uno o più tag o porzioni di tag. Puoi anche creare gruppi in base alla loro presenza in uno AWS CloudFormation stack. Utilizzando Resource Groups e Tag Editor, è possibile consolidare e visualizzare i dati per applicazioni che consistono in più servizi, risorse e regioni in un'unica posizione.

Tag per l'allocazione dei costi

AWS Cost Explorer e report di fatturazione dettagliati consentono di suddividere AWS i costi per tag. In genere, si utilizzano tag aziendali come centro di costo/unità aziendale, cliente o progetto per associare AWS i costi alle dimensioni tradizionali di allocazione dei costi. Un report di allocazione dei costi può includere qualsiasi tag. Questa possibilità permette di associare i costi secondo parametri tecnici o di sicurezza, ad esempio in relazione ad applicazioni, ambienti o programmi di conformità specifici.

Per alcuni servizi, è possibile utilizzare un createdBy tag AWS generato per l'allocazione dei costi, per tenere conto delle risorse che altrimenti potrebbero non essere categorizzate. Il tag createdBy è disponibile solo per i servizi e le risorse AWS supportati. Il suo valore contiene dati associati a eventi specifici API o della console. Per ulteriori informazioni, consultare la pagina AWS Tag di allocazione dei costi generati da nella Guida per l'utente di AWS Billing and Cost Management .

Tag per automazione

I tag specifici delle risorse o dei servizi vengono spesso utilizzati per filtrare le risorse durante le attività di automazione. I tag di automazione vengono utilizzati per attivare o disattivare le attività automatiche o per identificare versioni specifiche delle risorse da archiviare, aggiornare o eliminare. Ad esempio, è possibile eseguire script start o stop automatizzati che disattivano gli ambienti di sviluppo durante le ore non lavorative per ridurre i costi. In questo scenario, i tag delle istanze Amazon Elastic Compute Cloud (AmazonEC2) sono un modo semplice per identificare le istanze a cui rinunciare a questa azione. Per gli script che trovano ed eliminano EBS istantanee Amazon obsolete o in movimento out-of-date, i tag snapshot possono aggiungere una dimensione aggiuntiva ai criteri di ricerca.

Tag per il controllo degli accessi

IAMle politiche supportano le condizioni basate sui tag, che consentono di limitare le IAM autorizzazioni in base a tag o valori di tag specifici. Ad esempio, le autorizzazioni IAM utente o di ruolo possono includere condizioni per limitare le EC2 API chiamate ad ambienti specifici (come sviluppo, test o produzione) in base ai relativi tag. La stessa strategia può essere utilizzata per limitare API le chiamate a specifiche reti Amazon Virtual Private Cloud (AmazonVPC). Il supporto per le autorizzazioni a livello di risorsa basate IAM su tag è specifico del servizio. Quando si utilizzano condizioni basate su tag per il controllo di accesso, assicurarsi di definire e limitare chi può modificare i tag. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'APIaccesso alle AWS risorse, consulta i AWS servizi che funzionano con nella Guida per l'utente. IAM IAM

Governance di tagging

Una strategia di tagging efficace utilizza tag standardizzati e li applica in modo coerente e programmatico su tutte le risorse. AWS È possibile utilizzare approcci sia reattivi che proattivi per gestire i tag nel proprio ambiente. AWS

  • La governance reattiva serve a trovare risorse che non sono etichettate correttamente utilizzando strumenti come Resource Groups Tagging API e Regole di AWS Config script personalizzati. Per trovare le risorse manualmente, è possibile utilizzare il Tag editor e i report di fatturazione dettagliati.

  • La governance proattiva utilizza strumenti come Service Catalog AWS CloudFormation, politiche di tag o autorizzazioni a AWS Organizations IAM livello di risorsa per garantire che i tag standardizzati vengano applicati in modo coerente alla creazione delle risorse.

    Ad esempio, è possibile utilizzare la AWS CloudFormation Resource Tags proprietà per applicare tag ai tipi di risorse. In Catalogo dei servizi, è possibile aggiungere tag di portfolio e prodotti combinati e applicati automaticamente a un prodotto quando viene avviato. Le forme più rigorose di governance proattiva includono operazioni automatizzate. Ad esempio, puoi utilizzare il Resource Groups Tagging API per cercare i tag di un AWS ambiente o eseguire script per mettere in quarantena o eliminare risorse etichettate in modo errato.