Localizar recursos incompatíveis de uma conta Corrigir tags incompatíveis em recursos Localizar e corrigir problemas adicionais de incompatibilidade Gerar um relatório de conformidade em toda a organização

Noções básicas sobre a aplicação

Uma política de tags pode definir que operações de atribuição de tags não compatíveis em tipos de recursos especificados sejam aplicadas. Em outras palavras, solicitações de atribuição de tags não compatíveis em tipos de recursos especificados são impedidas de serem concluídas.

Importante

A imposição não tem efeito nos recursos criados sem tags.

Para aplicar a conformidade com políticas de tag, execute um dos procedimentos a seguir ao criar uma política de tags:

Na guia Visual editor (Editor visual), selecione Impedir operações não compatíveis para esta tag.
Na JSONguia, use o enforced_for campo. Para obter informações sobre a sintaxe da política de tag, consulte Sintaxe e exemplos de políticas de tag.

Siga as melhores práticas descritas a seguir para aplicar a conformidade com as políticas de tag:

Tenha cuidado ao aplicar a compatibilidade – certifique-se de entender os efeitos do uso das políticas de tag e siga os fluxos de trabalho recomendados descritos em Conceitos básicos das políticas de tag. Teste como a aplicação funciona em uma conta de teste antes de expandi-la para mais contas. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.
Saiba quais tipos de recursos você pode aplicar – você só pode impor a compatibilidade com as políticas de tag em tipos de recursos suportados. Os tipos de recursos que são compatíveis com a aplicação da conformidade são listados quando você usa o editor visual para criar uma política de tag.
Entenda as interações com alguns serviços — alguns Serviços da AWS têm agrupamentos de recursos semelhantes a contêineres que criam recursos automaticamente para você, e as tags podem se propagar de um recurso em um serviço para outro. Por exemplo, tags em grupos do Amazon EC2 Auto Scaling e EMR clusters da Amazon podem se propagar automaticamente para as instâncias da Amazon contidas. EC2 Você pode ter políticas de tags para a Amazon EC2 que sejam mais rígidas do que para grupos ou EMR clusters do Auto Scaling. Se você habilitar a aplicação, a política de tag impede que os recursos sejam marcados e pode bloquear o dimensionamento dinâmico e o provisionamento.

As seções a seguir mostram como você pode encontrar recursos não compatíveis e corrigi-los para torná-los compatíveis.

Localizar recursos incompatíveis de uma conta

Para cada conta, você pode obter informações sobre recursos incompatíveis. Você deve executar esse comando de todas as regiões em que a conta tem recursos.

Para encontrar recursos não compatíveis para uma conta com uma política de tags, execute o comando a seguir para salvar os resultados em um arquivo:


$ aws resourcegroupstaggingapi get-resources  --region us-east-1 \
    --include-compliance-details \
    --exclude-compliant-resources > outputfile.txt

Corrigir tags incompatíveis em recursos

Depois de encontrar tags incompatíveis, faça correções usando qualquer um dos seguintes métodos. Você deve estar conectado à conta que tem o recurso com tags incompatíveis:

Use o console ou API as operações de marcação do AWS serviço que criou os recursos não compatíveis.
Use as UntagResourcesoperações AWS Resource Groups TagResourcese para adicionar tags que estejam em conformidade com a política efetiva ou para remover tags não compatíveis.

Localizar e corrigir problemas adicionais de incompatibilidade

Encontrar e corrigir problemas de conformidade é um processo iterativo. Repita as etapas nas duas seções anteriores até que os recursos com os quais você se preocupa estejam compatíveis com sua política de tag.

Gerar um relatório de conformidade em toda a organização

A qualquer momento, você pode gerar um relatório que lista todos os recursos marcados em Contas da AWS toda a sua organização. O relatório mostra se cada recurso está em conformidade com a política de tag efetiva. Observe que pode levar até 48 horas para que as alterações feitas em uma política de tag ou recursos sejam refletidas no relatório de conformidade de toda a organização. Por exemplo, suponha que você tenha uma política de tag que define uma nova tag padronizada para um tipo de recurso. Os recursos desse tipo que não têm essa tag são mostrados como compatíveis no relatório por até 48 horas.

Você pode gerar o relatório a partir da conta de gerenciamento da organização na região us-east-1, desde que ele tenha acesso a um bucket do Amazon S3. O bucket deve ter uma política de bucket anexada, conforme mostrado em Política de bucket do Amazon S3 para relatório de armazenamento. Para gerar o relatório, execute o seguinte comando:


$ aws resourcegroupstaggingapi start-report-creation --region us-east-1

Você pode gerar um relatório de cada vez.

Este relatório pode levar algum tempo para ser concluído. Você pode verificar o status executando o seguinte comando:


$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
    "Status": "SUCCEEDED"
}

Depois que o comando acima retornar SUCCEEDED, você pode abrir o relatório no bucket do Amazon S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar o Amazon EventBridge para monitorar tags incompatíveis

Serviços e tipos de recursos compatíveis com a aplicação