Come aggiungere tagBest practiceCategorie di taggingLimiti e requisiti per la denominazione dei tagStrategie comuni di taggingGovernance di taggingUlteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Taggare le tue risorse AWS

I tag sono coppie di chiavi e valori che fungono da metadati per l'organizzazione AWS delle risorse. Con la maggior parte AWS delle risorse, hai la possibilità di aggiungere tag quando crei la risorsa. Esempi di risorse includono un'istanza Amazon Elastic Compute Cloud (Amazon EC2), un bucket Amazon Simple Storage Service (Amazon S3) o un secret in. AWS Secrets Manager

Importante

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. Utilizziamo i tag per fornirti servizi di fatturazione e amministrazione. I tag non sono destinati ad essere utilizzati per dati privati o sensibili.

Con i tag è possibile a gestire, identificare, organizzare, cercare e filtrare le risorse. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri.

Ogni tag è costituito da due parti:

  • Una chiave del tag (ad esempio, CostCenter, Environment o Project). Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.

  • Un valore di tag (ad esempio, 111122223333 oppure Production). Analogamente alle chiavi dei tag, i valori dei tag prevedono una distinzione tra lettere maiuscole e minuscole.

Come aggiungere tag alle tue risorse AWS

Esistono tre modi per aggiungere tag alle AWS risorse:

  • Servizio AWS Funzionamento dell'API: le operazioni dell'API di tagging supportavano direttamente un Servizio AWS. Per scoprire le funzionalità di tagging Servizio AWS fornite da ciascuna di esse, consulta la documentazione del servizio nell'indice della AWS documentazione.

  • Console Tag Editor: alcuni servizi supportano anche l'etichettatura con la console AWS Tag Editor.

  • API Resource Groups Tagging: la maggior parte dei servizi supporta anche l'etichettatura utilizzando. AWS Resource Groups Tagging API

Nota

Puoi anche utilizzare AWS Service Catalog TagOptions Library per gestire facilmente i tag sui prodotti forniti. A TagOptionè una coppia chiave-valore gestita in Service Catalog. Non è un AWS tag, ma funge da modello per la creazione di un AWS tag basato su. TagOption

Puoi assegnare un tag alle risorse per tutti i servizi di maturazione dei costi in AWS. Per i seguenti servizi, AWS consiglia un'alternativa più recente Servizi AWS che supporti l'etichettatura per soddisfare meglio i casi d'uso dei clienti.

Directory del cloud Amazon

Amazon CloudSearch

Amazon Cognito Sync

AWS Data Pipeline

Amazon Elastic Transcoder

 Amazon Machine Learning

AWS OpsWorks Stacks

Amazon S3 Glacier Direct

Amazon SimpleDB
Gestore di WorkSpaces applicazioni Amazon

AWS DeepLens

Best practice

Quando crei una strategia di etichettatura per AWS le risorse, segui le best practice:

  • Non aggiungere Informazioni personali di identificazione (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti AWS servizi, inclusa la fatturazione. I tag non sono destinati ad essere utilizzati per dati privati o sensibili.

  • Utilizza un formato standardizzato con distinzione tra maiuscole e minuscole per i tag e applicalo in modo coerente a tutti i tipi di risorse.

  • Prendi in considerazione le linee guida per i tag che supportano più scopi, ad esempio la gestione del controllo dell'accesso alle risorse, il monitoraggio dei costi, l'automazione e l'organizzazione.

  • Utilizza strumenti automatizzati per gestire i tag delle risorse. Tag Editor e l'API Resource Groups Tagging consentono il controllo programmatico dei tag, semplificando la gestione, la ricerca e il filtraggio automatici di tag e risorse.

  • Utilizza molti tag piuttosto che pochi tag.

  • Ricorda che è facile cambiare i tag per soddisfare le mutevoli esigenze aziendali, ma considera le conseguenze delle modifiche future. Ad esempio, modificando i tag di controllo di accesso, è necessario aggiornare anche le policy che fanno riferimento a tali tag e controllare l'accesso alle risorse.

  • È possibile applicare automaticamente gli standard di assegnazione di tag che l'organizzazione sceglie di adottare creando e distribuendo policy di tag tramite AWS Organizations. Le policy di tag consentono di specificare regole di assegnazione di tag che definiscono nomi di chiavi validi e valori validi per ogni chiave. È possibile decidere di monitorare soltanto, con la possibilità di valutare e ripulire i tag esistenti. Una volta che i tag sono conformi agli standard scelti, è possibile attivare l'applicazione nelle policy di tag in modo da impedire la creazione di tag non conformi. Per ulteriori informazioni, consultare Policy di tag nella Guida per l'utente di AWS Organizations .

Categorie di tagging

Le aziende che sono più efficaci nell'uso dei tag in genere creano raggruppamenti di tag rilevanti per l'attività per organizzare le proprie risorse in base alle dimensioni tecniche, aziendali e di sicurezza. Le aziende che utilizzano processi automatizzati per gestire la propria infrastruttura includono anche tag aggiuntivi specifici per l'automazione.

Tag tecnici Tag per automazione Tag aziendali Tag di sicurezza

  • Nome – Identifica le singole risorse

  • ID applicazione – Identifica le risorse correlate a un'applicazione specifica

  • Ruolo applicazione – Descrive la funzione di una determinata risorsa (ad esempio server web, broker messaggi, database)

  • Cluster – Identifica le farm di risorse che condividono una configurazione comune ed eseguono una funzione specifica per un'applicazione

  • Ambiente – Distingue tra sviluppo, test e risorse di produzione

  • Versione – Consente di distinguere tra le versioni di risorse o applicazioni

  • Data/ora – Indica la data o l'ora in cui una risorsa deve essere avviata, arrestata, eliminata o ruotata

  • Opt-in/opt out – Indica se una risorsa deve essere inclusa in un'attività automatizzata come avvio, arresto o ridimensionamento di istanze

  • Sicurezza: determina i requisiti, ad esempio la crittografia o l'abilitazione dei log di flusso di Amazon VPC, identifica le tabelle di instradamento o i gruppi di sicurezza che necessitano di ulteriori controlli

  • Progetto – Identifica i progetti supportati dalla risorsa

  • Proprietario – Identifica chi è responsabile della risorsa

  • Centro di costo/Business Unit – Identifica il centro di costo o la business unit associata a una risorsa, in genere per l'allocazione e il monitoraggio dei costi

  • Cliente – Identifica un client specifico che serve un particolare gruppo di risorse

  • Riservatezza – Un identificativo per il livello di riservatezza dei dati specifico supportato da una risorsa.

  • Compliance – Un identificativo per i carichi di lavoro che devono rispettare requisiti di conformità specifici

Limiti e requisiti per la denominazione dei tag

I seguenti requisiti di denominazione e utilizzo di base si applicano ai tag:

  • Ogni risorsa può avere un massimo di 50 tag creati dall'utente.

  • I tag creati dal sistema che iniziano con aws: sono riservati all'uso AWS e non vengono conteggiati per questo limite. Non è possibile modificare o eliminare un tag che inizia con il prefisso aws:.

  • Per ciascuna risorsa, ogni chiave del tag deve essere univoca e ogni chiave del tag può avere un solo valore.

  • Il tag della chiave deve essere composto da un minimo di 1 e un massimo di 128 caratteri Unicode in UTF-8.

  • Il valore del tag deve essere composto da un minimo di 0 e un massimo di 256 caratteri Unicode in UTF-8.

  • I caratteri consentiti possono variare in base al servizio AWS . Per informazioni sui caratteri che puoi usare per etichettare le risorse in un particolare AWS servizio, consulta la relativa documentazione. In generale, i caratteri consentiti sono lettere, numeri, spazi rappresentabili in formato UTF-8, oltre ai seguenti caratteri: _ . : / = + - @.

  • I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole. Come best practice, è consigliabile definire una strategia per l'uso delle lettere maiuscole e minuscole nei tag e implementarla costantemente in tutti i tipi di risorse. Ad esempio, puoi decidere se utilizzare Costcenter, costcenter o CostCenter e utilizzare la stessa convenzione per tutti i tag. Non utilizzare tag simili con lettere maiuscole o minuscole incoerenti.

Strategie comuni di tagging

Utilizza le seguenti strategie di assegnazione tag per individuare e gestire le risorse AWS .

Tag per l'organizzazione delle risorse

I tag sono un buon modo per organizzare AWS le risorse in AWS Management Console. È possibile configurare i tag da visualizzare con le risorse e cercare e filtrare per tag. Con il AWS Resource Groups servizio, è possibile creare gruppi di AWS risorse basati su uno o più tag o porzioni di tag. Puoi anche creare gruppi in base alla loro presenza in uno AWS CloudFormation stack. Utilizzando Resource Groups e Tag Editor, è possibile consolidare e visualizzare i dati per applicazioni che consistono in più servizi, risorse e regioni in un'unica posizione.

Tag per l'allocazione dei costi

AWS Cost Explorer e report di fatturazione dettagliati consentono di suddividere AWS i costi per tag. In genere, si utilizzano tag aziendali come centro di costo/unità aziendale, cliente o progetto per associare AWS i costi alle dimensioni tradizionali di allocazione dei costi. Un report di allocazione dei costi può includere qualsiasi tag. Questa possibilità permette di associare i costi secondo parametri tecnici o di sicurezza, ad esempio in relazione ad applicazioni, ambienti o programmi di conformità specifici. Di seguito è riportato un esempio di report di allocazione parziale dei costi.

Report sull'allocazione dei costi basato sui tag di esempio

Per alcuni servizi, è possibile utilizzare un createdBy tag AWS generato per l'allocazione dei costi, per tenere conto delle risorse che altrimenti potrebbero non essere categorizzate. Il tag createdBy è disponibile solo per i servizi e le risorse AWS supportati. Il suo valore contiene dati associati a specifici eventi API o console. Per ulteriori informazioni, consultare la pagina AWS Tag di allocazione dei costi generati da nella Guida per l'utente di AWS Billing and Cost Management .

Tag per automazione

I tag specifici delle risorse o dei servizi vengono spesso utilizzati per filtrare le risorse durante le attività di automazione. I tag di automazione vengono utilizzati per attivare o disattivare le attività automatiche o per identificare versioni specifiche delle risorse da archiviare, aggiornare o eliminare. Ad esempio, è possibile eseguire script start o stop automatizzati che disattivano gli ambienti di sviluppo durante le ore non lavorative per ridurre i costi. In questo scenario, i tag delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sono un modo semplice per identificare le istanze per rifiutare questa operazione. Per gli script che trovano ed eliminano istantanee di Amazon EBS obsolete o non funzionanti, i tag snapshot possono aggiungere una dimensione aggiuntiva ai criteri di ricerca. out-of-date

Tag per il controllo degli accessi

Le policy IAM supportano condizioni basate su tag, consentendo di vincolare le autorizzazioni IAM in base a tag o valori di tag specifici. Ad esempio, le autorizzazioni per utente o ruolo IAM possono includere condizioni per limitare le chiamate API EC2 ad ambienti specifici (ad esempio sviluppo, test o produzione) in base ai tag. La stessa strategia può essere utilizzata per limitare le chiamate API a reti Amazon Virtual Private Cloud (Amazon VPC) specifiche. Il supporto per le autorizzazioni IAM a livello di risorse basate su tag è specifico del servizio. Quando si utilizzano condizioni basate su tag per il controllo di accesso, assicurarsi di definire e limitare chi può modificare i tag. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso API alle risorse AWS , consultare Servizi AWS che funzionano con IAM in Guida per l'utente di IAM.

Governance di tagging

Una strategia di tagging efficace utilizza tag standardizzati e li applica in modo coerente e programmatico su tutte le risorse. AWS È possibile utilizzare approcci sia reattivi che proattivi per gestire i tag nel proprio ambiente. AWS

  • La governance reattiva serve a trovare risorse che non sono etichettate correttamente utilizzando strumenti come l'API Resource Groups Tagging e Regole di AWS Config script personalizzati. Per trovare le risorse manualmente, è possibile utilizzare il Tag editor e i report di fatturazione dettagliati.

  • La governance proattiva utilizza strumenti come Service Catalog AWS CloudFormation, tag policy in AWS Organizations o autorizzazioni a livello di risorsa IAM per garantire che i tag standardizzati vengano applicati in modo coerente alla creazione delle risorse.

    Ad esempio, è possibile utilizzare la AWS CloudFormation Resource Tags proprietà per applicare tag ai tipi di risorse. In Catalogo dei servizi, è possibile aggiungere tag di portfolio e prodotti combinati e applicati automaticamente a un prodotto quando viene avviato. Le forme più rigorose di governance proattiva includono operazioni automatizzate. Ad esempio, è possibile utilizzare l'API per il tagging di gruppi di risorse per cercare i tag di un ambiente AWS oppure eseguire script per mettere in quarantena o eliminare risorse contrassegnate in modo non corretto.

Ulteriori informazioni

Questa pagina fornisce informazioni generali sull'etichettatura AWS delle risorse. Per ulteriori informazioni sull'etichettatura delle risorse in un particolare AWS servizio, consulta la relativa documentazione. Di seguito sono riportate valide fonti di informazioni sul tagging: