本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記麥西資源
標籤是可選的標籤,您可以定義並指派給 AWS 資源,包括特定類型的 Amazon Macie 資源。標籤可協助您以不同的方式識別、分類及管理資源,例如依用途、擁有者、環境或其他條件。例如,您可以使用標籤來套用原則、分配成本、區分資源版本,或識別支援特定合規性需求或工作流程的資源。
您可以將標籤指派給下列類型的 Macie 資源:允許清單、自訂資料識別碼、發現項目的篩選規則和抑制規則,以及敏感資料探索工作。如果您是組織的 Macie 管理員,也可以為組織中的成員帳戶指派標籤。
資源最多可以擁有 50 個標籤。每個標籤皆包含由您定義的必要「標籤金鑰」與選用「標籤值」。標籤關鍵字是一般標示,可做為更特定標籤值的品類。標籤值是標籤金鑰的描述項。
例如,如果您建立自訂資料識別碼和敏感資料探索工作以分析工作流程中不同點的資料 (一組用於暫存資料,另一組用於生產資料),則可以為這些資源指派Stack標籤索引鍵。此標籤鍵的標籤值可能Staging適用於設計用於分析暫存資料的自訂資料識別碼和工作,以及其他Production資料。
定義和指派標籤給資源時,請記住下列事項:
-
每個資源的上限為 50 個標籤。
-
對於每個資源,每個標籤鍵必須是唯一的,並且只能有一個標籤值。
-
標籤鍵與值皆區分大小寫。最佳做法是,我們建議您定義策略,以便將標籤資本化,並在資源中一致地實作該策略。
標籤鍵最多可包含 128 UTF -8 個字元。標籤值最多可包含 256 UTF -8 個字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@
-
前aws:綴保留供使用 AWS。您不能在您定義的任何標籤鍵或值中使用它。此外,您無法變更或移除使用此前置詞的標籤鍵或值。使用此字首的標籤不會計入每個資源 50 個標籤的配額。
-
您指派的任何標籤僅適用於您的標籤, AWS 帳戶 且僅適用於您指派標籤的標籤。 AWS 區域
-
如果刪除資源,也會刪除指定給資源的任何標籤。
有關其他限制、提示和最佳做法,請參閱標記 AWS 資源使用指南。
請勿在標籤中儲存機密或其他類型的敏感資料。標籤可以從許多人訪問 AWS 服務,包括 AWS Billing and Cost Management。它們不打算用於敏感數據。
若要新增和管理 Macie 資源的標籤,您可以使用 Amazon Macie 主控台、Amazon Macie API、主控 AWS Resource Groups 台上的標籤編輯器或標記。 AWS Resource Groups API使用 Macie,您可以在建立資源時將標籤新增至資源。您也可以新增和管理個別現有資源的標籤。使用 Resource Groups,您可以大量新增和管理跨越多個現有資源的標籤 AWS 服務,包括 Macie。若要取得更多資訊,請參閱〈標記 AWS 資源使用指南〉。
開始標記資源之後,您可以在 AWS Identity and Access Management (IAM) 策略中定義以標籤為基礎的資源層級權限。透過這種方式使用標籤,您可以對您中的哪些使用者和角色 AWS 帳戶 有權建立和標記資源,以及哪些使用者和角色有權更一般地新增、編輯和移除標籤。若要根據標籤控制存取,您可以在IAM策略的「條件」元素中使用與標籤相關的條件索引鍵。
例如,如果資源的Owner標籤指定了使用者名稱,您可以建立一個政策,允許使用者完全存取所有 Amazon Macie 資源:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "macie2:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊,請參閱《使用指南》中的〈使用標籤控制 AWS 資源存取〉。IAM
要將標籤添加到單個 Amazon Macie 資源,您可以使用 Amazon Macie 控制台或 Amazon Macie。API若要同時將標籤新增至多個 Macie 資源,請使用 AWS Resource Groups 主控台上的「標籤編輯器」或「標記」的標AWS Resource Groups 記API作業。
將標籤新增至資源可能會影響資源的存取。在將標籤新增至資源之前,請先檢閱任何可能使用標籤來控制資源存取的 AWS Identity and Access Management (IAM) 策略。
- Console
-
當您建立允許清單、自訂資料識別碼或敏感資料探索任務時,Amazon Macie 主控台會提供將標籤新增至資源的選項。在建立資源時,請遵循主控台上的指示,將標籤新增至這些類型的資源。若要將標籤新增至篩選器或抑制規則或組織中的成員帳號,您必須先建立資源,才能將標籤新增至該資源。
若要使用 Amazon Macie 主控台將一或多個標籤新增至現有資源,請按照下列步驟操作。
將標籤加入資源
在https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。
-
根據您要新增標籤的資源類型,執行下列其中一個動作:
-
對於允許清單,請在導覽窗格中選擇 [允許清單]。
然後,在表格中選取清單的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於自訂資料識別碼,請在導覽窗格中選擇 [自訂資料識別碼]。
然後,在表格中,選取自訂資料識別碼的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於篩選或抑制規則,請在導覽窗格中選擇「發現項目」。
然後,在「儲存的規則」清單中,選擇規則旁邊的編輯圖示 (
)。然後選擇管理標籤。
-
對於組織中的成員帳戶,請在導覽窗格中選擇 [帳戶]。
然後,在表格中選取帳戶的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於敏感性資料探索工作,請在導覽窗格中選擇「工作」。
然後,在表格中選取工作的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
[管理標籤] 視窗會列出目前指定給資源的所有標籤。
-
在「管理標籤」視窗中,選擇 「編輯標籤」。
-
選擇 Add tag (新增標籤)。
-
在 [金鑰] 方塊中,輸入要新增至資源之標籤的標籤金鑰。然後,在「值」方塊中,選擇性地輸入鍵的標籤值。
標籤金鑰最多可包含 128 個字元。標籤值最多可包含 256 個字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@
-
若要將其他標籤新增至資源,請選擇 [新增標籤],然後重複上述步驟。您最多可以為資源指派 50 個標籤。
-
完成新增標籤後,請選擇 [儲存]。
- API
-
若要建立資源並以程式設計方式為其新增一或多個標籤,請針對您要建立的資源類型使用適當的Create作業:
在您的請求中,使用tags參數來為每個要新增至資源的標籤指定標籤鍵 (keyvalue) 和可選標籤值 ()。該tags參數指定string-to-string 標籤鍵及其相關標籤值的映射。
若要將一或多個標籤新增至現有資源,請使用 Amazon Macie 的TagResource作業,API或者,如果您使用的是 AWS CLI,請執行標籤資源命令。在您的請求中,指定要新增標籤的資源的 Amazon 資源名稱 (ARN)。使用tags參數可為每個要新增至資源的標籤指定標籤鍵 (keyvalue) 和選擇性標籤值 ()。與Create操作和命令的情況一樣,該tags參數指定標籤鍵及其關聯標籤值的 string-to-string 映射。
例如,下列 AWS CLI 命令會將含有Stack標籤值的Production標籤鍵加入至指定的工作。此範例針對 Microsoft Windows 進行格式化,並使用脫字符號 (^) 行接續字元來提高可讀性。
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Production\"}
其中:
在下列範例中,指令會將數個標籤新增至工作:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Production\",\"CostCenter\":\"12345\",\"Owner\":\"jane-doe\"}
對於tags地圖中的每個標籤,key和參value數都是必需的。不過,value引數的值可以是空字串。如果您不想將標籤值與標籤鍵建立關聯,請不要指定value引數的值。例如,下列 AWS CLI 命令會加入沒有關聯Owner標籤值的標籤鍵:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Owner\":\"\"}
如果標記作業成功,Macie 會傳回空的 HTTP 204 回應。否則,Macie 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
您可以使用亞馬遜 Macie 控制台或亞馬遜 Macie 來查看亞馬遜 Macie 資源的標籤(標籤鍵和標籤值)。API如果您希望同時為多個 Macie 資源執行此操作,可以使用 AWS Resource Groups
控制台上的「標籤編輯器」或「標記」的標記操作。AWS Resource Groups API
- Console
-
請依照下列步驟使用 Amazon Macie 主控台檢閱資源的標籤。
若要檢閱資源的標籤
在https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。
-
根據您要檢閱其標籤的資源類型,執行下列其中一項作業:
-
對於允許清單,請在導覽窗格中選擇 [允許清單]。
然後,在表格中選取清單的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於自訂資料識別碼,請在導覽窗格中選擇 [自訂資料識別碼]。
然後,在表格中,選取自訂資料識別碼的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於篩選或抑制規則,請在導覽窗格中選擇「發現項目」。
然後,在「儲存的規則」清單中,選擇規則旁邊的編輯圖示 (
)。然後選擇管理標籤。
-
對於組織中的成員帳戶,請在導覽窗格中選擇 [帳戶]。
然後,在表格中選取帳戶的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於敏感性資料探索工作,請在導覽窗格中選擇「工作」。
然後,在表格中選取工作的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
[管理標籤] 視窗會列出目前指定給資源的所有標籤。例如,以下影像展示了指派給自訂資料識別碼的標籤。
在此範例中,會將三個標籤指派給自訂資料識別碼:沒有關聯標籤值的 Owner 標CostCenter籤鍵 (—);以 12345 做為關聯標籤值的標籤鍵;以及將生產作為關聯標籤值的 Stack 標籤鍵。
-
完成檢閱標籤後,請選擇「取消」以關閉視窗。
- API
-
若要以程式設計方式擷取和檢閱現有資源的標籤,您可以針對要檢閱標籤的資源類型使用適當的Get或Describe作業。例如,如果您使用GetCustomDataIdentifier作業或從 AWS Command Line Interface (AWS CLI) 執行get-custom-data-identifier命令,則回應會包含一個tags物件。物件會列出目前指派給資源的所有標籤 (包括標籤鍵和標籤值)。
您也可以使用 Amazon Macie API 的ListTagsForResource操作。在您的請求中,使用resourceArn參數來指定資源的 Amazon 資源名稱 (ARN)。如果您使用的是 AWS CLI,請執行list-tags-for-resource命令並使用resource-arn參數來指定資源ARN的。例如:
C:\> aws macie2 list-tags-for-resource --resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample
在前面的例子中,arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample 是現有敏感資料探索工作ARN的。
如果作業成功,Macie 會傳回一個tags物件,列出目前指定給資源的所有標籤 (包括標籤鍵和標籤值)。例如:
{
"tags": {
"Stack": "Production",
"CostCenter": "12345",
"Owner": ""
}
}
其中StackCostCenter、和Owner是指派給資源的標籤鍵。 Production是與標籤鍵相關聯的標Stack籤值。 12345是與標籤鍵相關聯的標CostCenter籤值。標Owner籤鍵沒有關聯的標籤值。
若要擷取具有標籤的所有 Macie 資源清單,以及指派給這些資源的所有標籤,請使用「標 AWS Resource Groups 記API」GetResources作業。在您的請求中,將ResourceTypeFilters參數的值設定為macie2。若要使用執行此操作 AWS CLI,請執行 get-resources 命令,並將resource-type-filters參數的值設定為。macie2例如:
C:\> aws resourcegroupstaggingapi get-resources --resource-type-filters "macie2"
如果作業成功,Resource Groups 會傳回一個ResourceTagMappingList陣列,其中包含具有標籤的所有 Macie 資源,以及指派給這些資源的標籤鍵和值。ARNs
要編輯 Amazon Macie 資源的標籤(標籤鍵或標籤值),您可以使用 Amazon Macie 控制台或 Amazon Macie。API若要同時針對多個 Macie 資源執行此操作,請使用 AWS Resource Groups
主控台上的「標籤編輯器」或「標記」的標AWS Resource Groups 記API作業。
編輯資源的標籤可能會影響資源的存取。在編輯資源的標籤鍵或值之前,請先檢閱可能使用標籤來控制資源存取的任何 AWS Identity and Access Management (IAM) 策略。
- Console
-
請依照下列步驟使用 Amazon Macie 主控台編輯資源的標籤。
若要編輯資源的標籤
在https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。
-
根據您要編輯其標籤的資源類型,執行下列其中一項作業:
-
對於允許清單,請在導覽窗格中選擇 [允許清單]。
然後,在表格中選取清單的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於自訂資料識別碼,請在導覽窗格中選擇 [自訂資料識別碼]。
然後,在表格中,選取自訂資料識別碼的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於篩選或抑制規則,請在導覽窗格中選擇「發現項目」。
然後,在「儲存的規則」清單中,選擇規則旁邊的編輯圖示 (
)。然後選擇管理標籤。
-
對於組織中的成員帳戶,請在導覽窗格中選擇 [帳戶]。
然後,在表格中選取帳戶的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於敏感性資料探索工作,請在導覽窗格中選擇「工作」。
然後,在表格中選取工作的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
[管理標籤] 視窗會列出目前指定給資源的所有標籤。
-
在「管理標籤」視窗中,選擇 「編輯標籤」。
-
執行下列任何一項:
-
若要將標籤值加入至標籤關鍵字,請在標籤關鍵字旁的「值」方塊中輸入值。
-
若要變更現有的標籤關鍵字,請選擇標籤旁邊的「移除」。然後選擇「新增標籤」。在出現的「關鍵字」方塊中,輸入新的標籤關鍵字。選擇性地在「值」方塊中輸入關聯的標籤值。
-
若要變更現有標籤值,請在包含該值的「值」方塊中選擇「X」。然後在「值」方塊中輸入新標籤值。
-
若要移除現有的標籤值,請在包含該值的「值」方塊中選擇「X」。
-
若要移除現有標籤 (包括標籤鍵值和標籤值),請選擇標籤旁邊的「移除」。
資源最多可以擁有 50 個標籤。標籤金鑰最多可包含 128 個字元。標籤值最多可包含 256 個字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@
-
編輯完標籤後,請選擇 [儲存]。
- API
-
當您以程式設計方式編輯資源的標籤時,您可以使用新值覆寫現有標籤。因此,編輯標籤的最佳方式取決於您要編輯標籤鍵、標籤值還是兩者。若要編輯標籤關鍵字,請移除目前的標籤並新增標籤。
若只要編輯或移除與標籤金鑰關聯的標籤值,請使用 Amazon Macie 的TagResource作業覆寫現有值,API或者,如果您使用的是 AWS Command Line Interface (AWS CLI),則執行標籤資源命令。在您的請求中,指定要編輯或移除其標籤值的資源的 Amazon 資源名稱 (ARN)。
若要編輯標籤關鍵字的標籤值,請使用tags參數指定要變更其標籤值的標籤鍵,並指定鍵的新標籤值。例如,下列命令會Production將指派給指定敏感資料探索工作的Stack標籤索引鍵的標籤值從變更Staging為。此範例針對 Microsoft Windows 進行格式化,並使用脫字符號 (^) 行接續字元來提高可讀性。
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"Staging\"}
其中:
若要從標籤鍵移除標籤值,請勿在參數中指定value引tags數的值。例如:
C:\> aws macie2 tag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tags={\"Stack\":\"\"}
如果操作成功,馬西返回一個空的 HTTP 204 響應。否則,Macie 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
要從 Amazon Macie 資源中刪除標籤,您可以使用 Amazon Macie 控制台或 Amazon Macie。API若要同時針對多個 Macie 資源執行此操作,請使用 AWS Resource Groups 主控台上的「標籤編輯器」或「標記」的標AWS Resource Groups 記API作業。
從資源中移除標籤可能會影響對資源的存取。移除標籤之前,請先檢閱任何可能使用標籤來控制資源存取權的 AWS Identity and Access Management (IAM) 原則。
- Console
-
請依照下列步驟使用 Amazon Macie 主控台從資源移除一或多個標籤。
若要從資源中移除標籤
在https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。
-
根據您要從中移除標籤的資源類型,執行下列其中一個動作:
-
對於允許清單,請在導覽窗格中選擇 [允許清單]。
然後,在表格中選取清單的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於自訂資料識別碼,請在導覽窗格中選擇 [自訂資料識別碼]。
然後,在表格中,選取自訂資料識別碼的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於篩選或抑制規則,請在導覽窗格中選擇「發現項目」。
然後,在「儲存的規則」清單中,選擇規則旁邊的編輯圖示 (
)。然後選擇管理標籤。
-
對於組織中的成員帳戶,請在導覽窗格中選擇 [帳戶]。
然後,在表格中選取帳戶的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
-
對於敏感性資料探索工作,請在導覽窗格中選擇「工作」。
然後,在表格中選取工作的核取方塊。然後選擇「動作」功能表上的 「管理標籤」
[管理標籤] 視窗會列出目前指定給資源的所有標籤。
-
在「管理標籤」視窗中,選擇 「編輯標籤」。
-
執行下列任何一項:
-
若要從資源中移除其他標籤,請針對每個要移除的其他標籤重複上述步驟。
-
完成移除標籤後,請選擇 [儲存]。
- API
-
若要以程式設計方式從資源中移除一或多個標籤,請使用 Amazon Macie API 的UntagResource操作。在您的請求中,使用resourceArn參數指定要從中移除標籤的資源的 Amazon 資源名稱 (ARN)。使用tagKeys參數指定要移除之標籤的標籤鍵。若只要從資源中移除特定標籤值 (而非標籤鍵),請編輯標籤,而不要移除標籤。
如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 untag-resource 命令,並使用resource-arn參數指定要從中移除標籤ARN的資源。使用tag-keys參數指定要移除之標籤的標籤鍵。例如,下列命令會從指定的敏感資料探索工作中移除標Stack籤 (標籤索引鍵和標籤值):
C:\> aws macie2 untag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tag-keys Stack
其中resource-arn指定ARN要從中刪除標籤的作業,並且Stack
要從資源中刪除多個標籤,請添加每個額外的標籤鍵作為tag-keys參數的引數。例如:
C:\> aws macie2 untag-resource ^
--resource-arn arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample ^
--tag-keys Stack Owner
其中resource-arn指定要從中刪除標籤ARN的作業,StackOwner
如果操作成功,馬西返回一個空的 HTTP 204 響應。否則,Macie 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
