发布于: Aug 26, 2022
该如何使用 Amazon 生成与用户定义型成本分配标签,以及应如何满足相关标记需求。在今天的博文中,将聊聊该如何实施并验证资源标签
本文由 Amazon Web Services 公司高性能计算高级顾问 Roberto Meda 参与贡献。文中提到的部分服务还未在由光环新网运营的亚马逊云科技北京区域和由西云数据运营的亚马逊云科技宁夏区域提供,因此以亚马逊云科技已开通相关服务的区域为描述对象。
正如我们在之前《您需要了解的成本分配基础知识》一文中所述,要建立起有意义的成本分配模型,我们首先需要对各项资源及服务进行标记。标签还能够控制对于 Amazon Web Services 资源的访问,应用于 IAM 用户与角色,并通过 Amazon API 或直接在 Amazon 控制台中定位各类 Amazon 资源。
客户一直询问我们该如何使用 Amazon 生成与用户定义型成本分配标签,以及应如何满足相关标记需求。在今天的博文中,高性能计算高级顾问 Roberto Meda 将聊聊您的团队(特别是 Amazon 管理员)该如何实施并验证资源标签。
首先,我们需要重新回顾关于集中添加及管理资源标签的知识。
如果您以编程方式管理 Amazon 资源,则可以在创建资源时标记资源,并通过遍历来修改现有标签。
如果您使用 Amazon 控制台,则需要单独选定每项 Amazon 资源并管理其相应标签。例如,如果要将项目标签添加至现有 EC2 实例当中,请前往Amazon Console → EC2 → Instances,而后选择目标实例并在其下的标签选项卡中指定标签。
如果有大量标签需要更新,那么整个过程将极为耗时。幸运的是,您可以使用 Amazon 资源组快速搜索 Amazon 资源,并通过 Tag Editor 管理各资源标签。仍然以前文实例标签为例,您可以前往 Amazon Console → Amazon Resource Groups → Tagging → Tag editor,在这里快速搜索 Amazon Web Services EC2 Instance 资源类型,选择需要标记的全部实例,而后一次性修改所有标签。
- 强制使用标签:确保您的用户始终创建标签,并将标签附加至计划部署/正在使用的 Amazon 资源之上
- 验证标签值:验证用户定义的标签值是否与企业的标记策略保持一致
为了实施并验证 Amazon 资源标签,我们主要使用两项 Amazon 服务:Amazon Organizations 与 Amazon IAM。
Amazon Organizations 将帮助您集中管理环境,借此应对 Amazon 上不断增长及扩展的工作负载。无论您身为成长中的初创企业还是大型公司,Amazon Web Services Organizations 都能帮助您集中管理账单,控制访问、合规性与安全性,并在您的各 Amazon 账户之间共享资源。
要强制使用标签,我们将使用 Amazon Organizations 服务控制策略(SCP)。SCP 是一组特定的可调整策略,用于对组织内所有账户的最大可用权限进行集中控制,借此保证您的账户不致与组织内的访问控制准则相冲突。
为了验证标签值,我们需要使用 Amazon Organizations 标签策略。标签策略可帮助您维护统一标签,包括标签键与标签值的首选大小写处理方法。
Amazon 身份与访问管理(IAM)使您能够安全管理对于 Amazon 服务及资源的访问活动。使用 IAM,您可以创建并管理 Amazon 用户与分组,并借助权限机制批准及拒绝各用户/分组对 Amazon 资源的访问行为。
相关文章