Como adicionar tagsPráticas recomendadasCategorias de marcaçãoLimites e requisitos de nomenclatura de tagsEstratégias comuns de marcaçãoGovernança de marcaçãoSaiba mais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Marcando seus recursos AWS

As tags são pares de chaves e valores que atuam como metadados para organizar seus AWS recursos. Com a maioria dos AWS recursos, você tem a opção de adicionar tags ao criar o recurso. Exemplos de recursos incluem uma instância do Amazon Elastic Compute Cloud (Amazon EC2), um bucket do Amazon Simple Storage Service (Amazon S3) ou um segredo no AWS Secrets Manager.

Importante

Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. Usamos tags para fornecer serviços de cobrança e administração. As tags não devem ser usadas para dados privados ou confidenciais.

As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar recursos. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios.

Cada tag tem duas partes:

  • Uma chave de tag (por exemplo CostCenter, Environment ou Project). Chaves de tag fazem distinção entre maiúsculas e minúsculas.

  • Um valor de tag (por exemplo, 111122223333 ou Production). Como chaves de tag, os valores das tags diferenciam maiúsculas de minúsculas.

Como adicionar tags aos seus AWS recursos

Há três maneiras de adicionar tags aos seus AWS recursos:

  • AWS service (Serviço da AWS) Operação de API — As operações de API de marcação suportaram diretamente um AWS service (Serviço da AWS). Para descobrir qual funcionalidade de marcação cada uma AWS service (Serviço da AWS) fornece, consulte a documentação do serviço no índice da AWS documentação.

  • Console do Tag Editor: alguns serviços também oferecem suporte à atribuição de tags com o console do Tag Editor da AWS.

  • API de marcação de grupos de recursos: a maioria dos serviços também oferece suporte à atribuição de tags usando o AWS Resource Groups Tagging API.

nota

Você também pode usar a AWS Service Catalog TagOptions Biblioteca para gerenciar facilmente as tags em produtos provisionados. A TagOptioné um par de valores-chave gerenciado no Service Catalog. Não é uma AWS tag, mas serve como um modelo para criar uma AWS tag com base na TagOption.

É possível etiquetar recursos para todos os serviços que aumentam os custos na AWS. Para os serviços a seguir, AWS recomenda uma alternativa mais recente Serviços da AWS que ofereça suporte à marcação para melhor atender aos casos de uso do cliente.

Amazon Cloud Directory

Amazon CloudSearch

Amazon Cognito Sync

AWS Data Pipeline

Amazon Elastic Transcoder

 Amazon Machine Learning

AWS OpsWorks Stacks

Amazon S3 Glacier Direct

Amazon SimpleDB
Gerenciador WorkSpaces de aplicativos da Amazon

AWS DeepLens

Práticas recomendadas

Ao criar uma estratégia de marcação para AWS recursos, siga as melhores práticas:

  • Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags podem ser acessadas por vários AWS serviços, incluindo faturamento. As tags não devem ser usadas para dados privados ou confidenciais.

  • Use um formato padronizado que diferencia maiúsculas de minúsculas para tags e aplique-o de forma consistente a todos os tipos de recursos.

  • Considere as diretrizes de tags que oferecem suporte a diversas finalidades, como gerenciar o controle de acesso a recursos, o rastreamento de custos, a automação e a organização.

  • Use ferramentas automatizadas para ajudar a gerenciar as tags de recursos. O Tag Editor e a API de marcação de grupos de recursos capacitam o controle programático de tags, tornando fácil gerenciar, pesquisar e filtrar tags e recursos automaticamente.

  • Use muitas tags em vez de muito poucas.

  • Lembre-se de que é fácil alterar tags para acomodar os requisitos de negócios em constante mudança, mas considere as consequências de mudanças futuras. Por exemplo, alterar tags de controle de acesso significa que você também deve atualizar as políticas que fazem referência a essas tags e controlar o acesso aos recursos.

  • É possível aplicar automaticamente os padrões de marcação que sua organização escolher adotar criando e implantando políticas de etiquetas com o AWS Organizations. As políticas de etiquetas permitem especificar regras de marcação que definem nomes de chave válidos e os valores que são válidos para cada chave. É possível optar por apenas monitorar, dando a você a oportunidade de avaliar e limpar suas etiquetas existentes. Quando suas etiquetas estiverem em conformidade com os padrões escolhidos, você poderá ativar a imposição nas políticas de etiquetas para evitar a criação de etiquetas não compatíveis. Para obter mais informações, consulte Políticas de etiquetas no Guia do usuário do AWS Organizations .

Categorias de marcação

As empresas que apresentam maior eficiência no uso de tags geralmente criam agrupamentos de tags relevantes para o negócio, a fim de organizar os recursos nas dimensões técnicas, comerciais e de segurança. As empresas que usam processos automatizados para gerenciar a infraestrutura também incluem tags adicionais específicas para automação.

Etiquetas técnicas Tags para automação Etiquetas comerciais Etiquetas de segurança

  • Nome – identifica recursos individuais

  • ID do aplicativo – identifica recursos relacionados a um aplicativo específico

  • Função do aplicativo – descreve a função de um recurso específico (como servidor Web, agente de mensagens, banco de dados)

  • Cluster – identifica farms de recursos que compartilham uma configuração comum e executam uma função específica para um aplicativo

  • Ambiente – diferencia recursos de desenvolvimento, teste e produção

  • Versão – ajuda a distinguir entre versões de recursos ou aplicativos

  • Data/hora – identifica a data ou a hora em que um recurso deve ser iniciado, interrompido, excluído ou alternado

  • Aceitar/recusar – indica se um recurso deve ser incluído em uma atividade automatizada, como iniciar, interromper ou redimensionar instâncias

  • Segurança: determina requisitos, como criptografia ou habilitação de logs de fluxo da Amazon VPC; identifica tabelas de rotas ou grupos de segurança que precisam de análise adicional

  • Projeto – identifica projetos compatíveis com o recurso

  • Proprietário – identifica o responsável pelo recurso

  • Centro de custo/unidade de negócios – identifica o centro de custo ou a unidade de negócios associada a um recurso, normalmente para alocação e rastreamento de custos

  • Cliente – identifica um cliente específico atendido por um grupo de recursos específico

  • Confidencialidade – um identificador para o nível de confidencialidade de dados específico compatível com um recurso.

  • Conformidade – um identificador de cargas de trabalho que devem aderir a requisitos de conformidade específicos

Limites e requisitos de nomenclatura de tags

Os seguintes requisitos básicos de uso e de nomenclatura e se aplicam às tags:

  • Cada recurso pode ter no máximo 50 tags criadas pelo usuário.

  • As tags criadas pelo sistema que começam com aws: são reservadas para uso da AWS e não contam em relação a esse limite. Não é possível editar nem excluir uma tag que começa com o prefixo aws:.

  • Em todos os recursos, cada chave de tag deve ser exclusiva e possuir apenas um valor.

  • A chave de tag deve ter no mínimo 1 e no máximo 128 caracteres Unicode em UTF-8.

  • O valor da tag deve ter no mínimo 0 e no máximo de 256 caracteres Unicode em UTF-8.

  • Os caracteres permitidos podem variar de acordo com o AWS serviço. Para obter informações sobre quais caracteres você pode usar para marcar recursos em um AWS serviço específico, consulte sua documentação. Em geral, os caracteres permitidos são letras, números, espaços representáveis em UTF-8 e os seguintes caracteres: _ . : / = + - @.

  • As chaves e valores das tags diferenciam maiúsculas de minúsculas. Como melhor prática, adote uma estratégia para letras maiúsculas em tags e implemente-a de forma consistente em todos os tipos de recursos. Por exemplo, decida se deseja usar Costcenter, costcenter ou CostCenter e use a mesma convenção para todas as tags. Evite usar tags semelhantes com tratamento do tamanho de letra inconsistente.

Estratégias comuns de marcação

Use as estratégias de marcação a seguir para ajudar a identificar e gerenciar recursos da AWS .

Tags para organização de recursos

As tags são uma boa maneira de organizar AWS recursos no AWS Management Console. É possível configurar tags para serem exibidas com recursos, além de pesquisar e filtrar por tags. Com o AWS Resource Groups serviço, você pode criar grupos de AWS recursos com base em uma ou mais tags ou partes de tags. Você também pode criar grupos com base em sua ocorrência em uma AWS CloudFormation pilha. Usando o Resource Groups e o Tag Editor, é possível consolidar e visualizar dados de aplicações que consistem em múltiplos serviços, recursos e regiões em um só lugar.

Tags para alocação de custos

AWS O Cost Explorer e os relatórios detalhados de faturamento permitem que você divida AWS os custos por tag. Normalmente, você usa etiquetas comerciais, como centro de custos/unidade de negócios, cliente ou projeto, para associar AWS custos às dimensões tradicionais de alocação de custos. Porém, um relatório de alocação de custos pode incluir qualquer tag. Isso permite associar custos a dimensões técnicas ou de segurança, como aplicativos, ambientes ou programas de conformidade específicos. Veja a seguir um exemplo de um relatório de alocação de custos parcial.

Exemplo de relatório de alocação de custos baseado em tags

Para alguns serviços, você pode usar uma createdBy tag AWS gerada para fins de alocação de custos, para ajudar a contabilizar recursos que, de outra forma, poderiam não ser categorizados. A tag createdBy está disponível apenas para serviços e recursos compatíveis com a AWS . O valor contém dados associados a uma API específica ou a eventos do console. Para obter mais informações, consulte Tags de alocação de custos geradas pela AWS noGuia do usuário do AWS Billing and Cost Management .

Tags para automação

As tags específicas de recursos ou serviços são geralmente usadas para filtrar recursos durante atividades de automação. As tags de automação são usadas para aceitar ou recusar tarefas automatizadas ou para identificar versões específicas de recursos para arquivar, atualizar ou excluir. Por exemplo, é possível executar scripts start ou stop automatizados que desativam ambientes de desenvolvimento fora do horário comercial para reduzir custos. Nesse cenário, as etiquetas de instância do Amazon Elastic Compute Cloud (Amazon EC2) são uma forma simples de identificar instâncias para recusar essa ação. Para scripts que localizam e excluem snapshots obsoletos ou contínuos do Amazon EBS, as tags de snapshot podem adicionar uma dimensão extra aos critérios de pesquisa. out-of-date

Tags para controle de acesso

As políticas do IAM oferecem suporte a condições baseadas em etiquetas, permitindo restringir permissões do IAM com base em etiquetas ou em valores de etiquetas específicos. Por exemplo, as permissões de usuário ou perfil do IAM podem incluir condições para limitar as chamadas de API do EC2 para ambientes específicos (como desenvolvimento, teste ou produção) com base nas etiquetas. A mesma estratégia pode ser usada para limitar chamadas de API para redes específicas da Amazon Virtual Private Cloud (Amazon VPC). O suporte para permissões do IAM baseadas em etiquetas no nível de recursos é específico para o serviço. Ao usar condições baseadas em tags para controle de acesso, certifique-se de definir e restringir quem pode modificar as tags. Para obter mais informações sobre como usar tags para controlar o acesso da API aos recursos da AWS , consulte Serviços da AWS que operam com o IAM no Guia do usuário do IAM.

Governança de marcação

Uma estratégia de marcação eficaz usa tags padronizadas e as aplica de forma consistente e programática em todos os recursos. AWS Você pode usar abordagens reativas e proativas para controlar as tags em seu AWS ambiente.

  • A governança reativa serve para encontrar recursos que não estão devidamente marcados usando ferramentas como a API Resource Groups Tagging e Regras do AWS Config scripts personalizados. Para localizar recursos manualmente, é possível usar o Editor de tags e os relatórios de faturamento detalhado.

  • A governança proativa usa ferramentas como Service Catalog AWS CloudFormation, políticas de tags ou permissões em AWS Organizations nível de recurso do IAM para garantir que as tags padronizadas sejam aplicadas de forma consistente na criação do recurso.

    Por exemplo, você pode usar a AWS CloudFormation Resource Tags propriedade para aplicar tags aos tipos de recursos. No Service Catalog, é possível adicionar etiquetas de portfólio e de produto que são combinadas e aplicadas a um produto automaticamente quando ele é iniciado. As formas mais rigorosas de governança proativa incluem tarefas automatizadas. Por exemplo, é possível usar a API de marcação de grupos de recursos para pesquisar tags do ambiente da AWS ou executar scripts para colocar recursos marcados incorretamente em quarentena ou para excluí-los.

Saiba mais

Esta página fornece informações gerais sobre AWS recursos de marcação. Para obter mais informações sobre a marcação de recursos em um AWS serviço específico, consulte sua documentação. Veja a seguir outras fontes de informações sobre marcação: