標簽策略需要啟用后才能正常使用。
背景信息
啟用方式
標簽策略支持當前賬號標簽策略和資源目錄標簽策略兩種。您可以根據實際的使用場景和當前登錄的賬號類型,啟用對應的標簽策略。具體如下表所示。
使用場景 | 當前登錄賬號類型 | 標簽策略模式 | 操作步驟 |
企業云上業務比較簡單,使用的是單個阿里云賬號及RAM用戶的管理模式,此時,您可以通過阿里云賬號啟用當前賬號標簽策略,規范管理阿里云賬號及RAM用戶的標簽操作。 | 阿里云賬號(未加入資源目錄) | 當前賬號標簽策略:管控阿里云賬號及其下RAM用戶的標簽。 | |
如果企業云上業務比較復雜,已使用資源目錄(RD)搭建了云上的多賬號管理體系,此時,您可以通過RD管理賬號啟用資源目錄標簽策略,規范管理RD中各成員的標簽操作。 | 資源目錄的管理賬號 | 您可以根據需要,同時啟用或分別啟用以下兩種模式的標簽策略:
| |
資源目錄的成員 | 根據資源目錄是否啟用標簽策略,分為以下兩種情況:
|
RAM權限
您可以使用阿里云賬號(主賬號)或其下的RAM用戶啟用標簽策略,安全最佳實踐推薦您使用RAM用戶。您需要為該RAM用戶授予以下權限。具體操作,請參見創建自定義權限策略和為RAM用戶授權。
{
"Version": "1",
"Statement": [
{
"Action": [
"tag:GetConfigRuleReport",
"tag:GenerateConfigRuleReport",
"tag:GetEffectivePolicy",
"tag:ListConfigRulesForTarget",
"tag:ListPoliciesForTarget",
"tag:ListTargetsForPolicy",
"tag:ListPolicies",
"tag:GetPolicy",
"tag:GetPolicyEnableStatus",
"tag:DetachPolicy",
"tag:DeletePolicy",
"tag:ModifyPolicy",
"tag:AttachPolicy",
"tag:CreatePolicy",
"tag:DisablePolicyType",
"tag:EnablePolicyType"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rd:ListAccountsForParent",
"rd:ListFoldersForParent",
"rd:GetResourceDirectory",
"config:GetAggregateResourceComplianceByConfigRule",
"config:ListAggregateConfigRuleEvaluationResults",
"config:GetAggregateConfigRulesReport",
"config:GetResourceComplianceGroupByRegion",
"config:ListConfigRuleEvaluationResults",
"config:GetConfigRulesReport",
"config:ListRemediations",
"oos:ListExecutions"
],
"Resource": "*",
"Effect": "Allow"
}
]
}使用阿里云賬號啟用標簽策略
未加入資源目錄的阿里云賬號可以啟用當前賬號標簽策略。
使用資源目錄管理賬號啟用標簽策略
資源目錄的管理賬號可以啟用資源目錄標簽策略和當前賬號標簽策略。
使用資源目錄成員啟用標簽策略
當資源目錄未啟用標簽策略時,資源目錄的成員可以啟用當前賬號標簽策略。
登入成員賬號。
具體操作,請參見成員登錄阿里云控制臺。
登錄標簽控制臺。
在左側導航欄,選擇。
在策略庫頁面,單擊啟用標簽策略。
在啟用標簽策略對話框,單擊確定。
啟用標簽策略時,會自動創建一個服務關聯角色(AliyunServiceRoleForTag)解決跨服務訪問問題。更多信息,請參見標簽服務關聯角色。