Melhores práticas e estratégias - AWS Recursos de marcação e editor de tags

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas e estratégias

Essas seções fornecem informações sobre as melhores práticas e estratégias para marcar seus AWS recursos e usar o Editor de tags.

Práticas recomendadas de marcação

Ao criar uma estratégia de marcação para AWS recursos, siga as melhores práticas:

  • Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por vários AWS serviços, incluindo faturamento. As tags não devem ser usadas para dados privados ou confidenciais.

  • Use um formato padronizado que diferencia maiúsculas de minúsculas para tags e aplique-o de forma consistente a todos os tipos de recursos.

  • Considere as diretrizes de tags que oferecem suporte a diversas finalidades, como gerenciar o controle de acesso a recursos, o rastreamento de custos, a automação e a organização.

  • Use ferramentas automatizadas para ajudar a gerenciar as tags de recursos. O Tag Editor e o Resource Groups Tagging API permitem o controle programático das tags, facilitando o gerenciamento, a pesquisa e a filtragem automática de tags e recursos.

  • Use muitas tags em vez de muito poucas.

  • Lembre-se de que é fácil alterar tags para acomodar os requisitos de negócios em constante mudança, mas considere as consequências de mudanças futuras. Por exemplo, alterar tags de controle de acesso significa que você também deve atualizar as políticas que fazem referência a essas tags e controlar o acesso aos recursos.

  • É possível aplicar automaticamente os padrões de marcação que sua organização escolher adotar criando e implantando políticas de etiquetas com o AWS Organizations. As políticas de etiquetas permitem especificar regras de marcação que definem nomes de chave válidos e os valores que são válidos para cada chave. É possível optar por apenas monitorar, dando a você a oportunidade de avaliar e limpar suas etiquetas existentes. Quando suas etiquetas estiverem em conformidade com os padrões escolhidos, você poderá ativar a imposição nas políticas de etiquetas para evitar a criação de etiquetas não compatíveis. Para obter mais informações, consulte Políticas de etiquetas no Guia do usuário do AWS Organizations .

Melhores práticas de nomenclatura de tags

Estas são algumas práticas recomendadas e convenções de nomenclatura que recomendamos usar com suas tags.

Os nomes-chave das AWS tags diferenciam maiúsculas de minúsculas, portanto, certifique-se de que sejam usados de forma consistente. Por exemplo, as chaves de tags CostCenter e costcenter são diferentes. Uma chave de tag pode ser configurada como uma tag de alocação de custos para análise financeira e relatórios, e a outra chave de tag pode não ser configurada para o mesmo uso.

Várias tags são predefinidas AWS ou criadas automaticamente por várias Serviços da AWS. Muitas tags geradas da AWS usam nomes de chaves que usam todas as letras minúsculas, com hifens separando palavras no nome e prefixos seguidos por dois pontos para identificar o serviço de origem da tag. Por exemplo, consulte:

  • aws:ec2spot:fleet-request-idé uma tag que identifica a solicitação de instância EC2 spot da Amazon que iniciou a instância.

  • aws:cloudformation:stack-name é uma tag que identifica a pilha do AWS CloudFormation que criou o recurso.

  • elasticbeanstalk:environment-name é uma tag que identifica a aplicação que criou o recurso.

Considere nomear suas tags usando as seguintes regras:

  • Use todas as letras minúsculas para as palavras.

  • Use hífens para separar palavras.

  • Use um prefixo seguido por dois pontos para identificar o nome da organização ou o nome abreviado.

Por exemplo, para uma empresa fictícia chamada AnyCompany, você pode definir tags como:

  • anycompany:cost-center para identificar o código interno do centro de custos.

  • anycompany:environment-type para identificar se o ambiente é de desenvolvimento, teste ou produção.

  • anycompany:application-id para identificar a aplicação para a qual o recurso foi criado.

O prefixo garante que as tags sejam claramente reconhecíveis conforme definido por sua organização e não por AWS uma ferramenta de terceiros que você possa estar usando. Usar todas as letras minúsculas com hifens para separadores evita confusão sobre como formatar o nome de uma etiqueta em letras maiúsculas. Por exemplo, anycompany:project-id é mais simples de lembrar do que ANYCOMPANY:ProjectID, anycompany:projectID ou Anycompany:ProjectId.

Limites e requisitos de nomenclatura de tags

Os seguintes requisitos básicos de uso e de nomenclatura e se aplicam às tags:

  • Cada recurso pode ter no máximo 50 tags criadas pelo usuário.

  • As tags criadas pelo sistema que começam com aws: são reservadas para uso da AWS e não contam em relação a esse limite. Não é possível editar nem excluir uma tag que começa com o prefixo aws:.

  • Em todos os recursos, cada chave de tag deve ser exclusiva e possuir apenas um valor.

  • A chave da tag deve ter no mínimo 1 e no máximo 128 caracteres Unicode em UTF -8.

  • O valor da tag deve ser no mínimo 0 e no máximo 256 caracteres Unicode em UTF -8.

  • Os caracteres permitidos podem variar de acordo com o AWS serviço. Para obter informações sobre quais caracteres você pode usar para marcar recursos em um AWS serviço específico, consulte sua documentação. Em geral, os caracteres permitidos são letras, números, espaços representáveis em UTF -8 e os seguintes caracteres: _.:/= + - @.

  • As chaves e valores das tags diferenciam maiúsculas de minúsculas. Como melhor prática, adote uma estratégia para letras maiúsculas em tags e implemente-a de forma consistente em todos os tipos de recursos. Por exemplo, decida se deseja usar Costcenter, costcenter ou CostCenter e use a mesma convenção para todas as tags. Evite usar tags semelhantes com tratamento do tamanho de letra inconsistente.

Estratégias comuns de marcação

Use as estratégias de marcação a seguir para ajudar a identificar e gerenciar recursos da AWS .

Tags para organização de recursos

As tags são uma boa maneira de organizar AWS recursos no AWS Management Console. É possível configurar tags para serem exibidas com recursos, além de pesquisar e filtrar por tags. Com o AWS Resource Groups serviço, você pode criar grupos de AWS recursos com base em uma ou mais tags ou partes de tags. Você também pode criar grupos com base em sua ocorrência em uma AWS CloudFormation pilha. Usando o Resource Groups e o Tag Editor, é possível consolidar e visualizar dados de aplicações que consistem em múltiplos serviços, recursos e regiões em um só lugar.

Tags para alocação de custos

AWS O Cost Explorer e os relatórios detalhados de faturamento permitem que você divida AWS os custos por tag. Normalmente, você usa etiquetas comerciais, como centro de custos/unidade de negócios, cliente ou projeto, para associar AWS custos às dimensões tradicionais de alocação de custos. Porém, um relatório de alocação de custos pode incluir qualquer tag. Isso permite associar custos a dimensões técnicas ou de segurança, como aplicativos, ambientes ou programas de conformidade específicos.

Para alguns serviços, você pode usar uma createdBy tag AWS gerada para fins de alocação de custos, para ajudar a contabilizar recursos que, de outra forma, poderiam não ser categorizados. A tag createdBy está disponível apenas para serviços e recursos compatíveis com a AWS . Seu valor contém dados associados a eventos específicos API ou do console. Para obter mais informações, consulte Tags de alocação de custos geradas pela AWS noGuia do usuário do AWS Billing and Cost Management .

Tags para automação

As tags específicas de recursos ou serviços são geralmente usadas para filtrar recursos durante atividades de automação. As tags de automação são usadas para aceitar ou recusar tarefas automatizadas ou para identificar versões específicas de recursos para arquivar, atualizar ou excluir. Por exemplo, é possível executar scripts start ou stop automatizados que desativam ambientes de desenvolvimento fora do horário comercial para reduzir custos. Nesse cenário, as tags de instância do Amazon Elastic Compute Cloud (AmazonEC2) são uma forma simples de identificar instâncias para optar por não participar dessa ação. Para scripts que localizam e excluem EBS instantâneos obsoletos ou contínuos da Amazon, as tags de instantâneo podem adicionar uma dimensão extra aos critérios de pesquisa. out-of-date

Tags para controle de acesso

IAMas políticas oferecem suporte a condições baseadas em tags, permitindo que você restrinja IAM as permissões com base em tags ou valores de tags específicos. Por exemplo, as permissões de IAM usuário ou função podem incluir condições para limitar as EC2 API chamadas a ambientes específicos (como desenvolvimento, teste ou produção) com base em suas tags. A mesma estratégia pode ser usada para limitar as API chamadas para redes específicas da Amazon Virtual Private Cloud (AmazonVPC). Support para IAM permissões baseadas em tags em nível de recurso é específico do serviço. Ao usar condições baseadas em tags para controle de acesso, certifique-se de definir e restringir quem pode modificar as tags. Para obter mais informações sobre o uso de tags para controlar o API acesso aos AWS recursos, consulte AWS os serviços com os quais funcionam IAM no Guia IAM do usuário.

Governança de marcação

Uma estratégia de marcação eficaz usa tags padronizadas e as aplica de forma consistente e programática em todos os recursos. AWS Você pode usar abordagens reativas e proativas para controlar as tags em seu AWS ambiente.

  • A governança reativa serve para encontrar recursos que não estão devidamente marcados usando ferramentas como Resource Groups Tagging API e Regras do AWS Config scripts personalizados. Para localizar recursos manualmente, é possível usar o Editor de tags e os relatórios de faturamento detalhado.

  • A governança proativa usa ferramentas como Service Catalog AWS CloudFormation, políticas de tags ou permissões em AWS Organizations IAM nível de recurso para garantir que as tags padronizadas sejam aplicadas de forma consistente na criação do recurso.

    Por exemplo, você pode usar a AWS CloudFormation Resource Tags propriedade para aplicar tags aos tipos de recursos. No Service Catalog, é possível adicionar etiquetas de portfólio e de produto que são combinadas e aplicadas a um produto automaticamente quando ele é iniciado. As formas mais rigorosas de governança proativa incluem tarefas automatizadas. Por exemplo, você pode usar o Resource Groups Tagging API para pesquisar as tags de um AWS ambiente ou executar scripts para colocar em quarentena ou excluir recursos marcados incorretamente.