標簽策略是用來幫助企業實施標簽規范化的一種策略。通過標簽策略,企業可以限定資源上必須綁定的合規標簽。合規標簽可以提升企業在標簽分賬、標簽分權、自動化運維等場景的管理效率。標簽策略支持當前賬號標簽策略和資源目錄標簽策略兩種,可以滿足企業在不同階段對標簽規范化管控的需求。
應用場景
當企業在云上的資源越來越多時,企業可以通過標簽對資源進行標記,實現資源分類、標簽分賬和自動化運維等。 但是,在給資源綁定標簽的過程中,可能會遇到一些問題。例如:創建資源后,忘了綁定標簽;只綁定了部分標簽(例如:綁定了運維相關的標簽,遺漏了財務相關的標簽。);綁定的標簽拼寫錯誤等。這些問題會導致企業在標簽分賬時,出現不易劃分財務歸屬的資源記錄;企業在自動化運維時,出現不能自動化執行的資源。標簽策略將在以下場景提供解決方案:
標簽自動檢測
資源創建后,您可以通過標簽策略監聽資源變更情況,及時發現綁定了不合規標簽的資源,包含以下兩種情況:
資源綁定了標簽,但是標簽不規范。
資源未綁定指定標簽。
自動檢測的方式可以自動化地、全面地提早發現問題。
具體操作,請參見使用標簽策略實現標簽自動檢測。
標簽自動修復
基于標簽自動檢測的結果,如果您的規則符合自動修復的條件,并開啟了自動修復,則無需人工操作,標簽策略會對不合規資源的標簽進行自動修復。
具體操作,請參見使用標簽策略實現標簽自動修復。
不合規標簽事前攔截
自動檢測具有一定時延,可能會存在:從創建資源到觸發檢測的時間段內,資源未綁定合規標簽。此外,標簽最佳實踐推薦您從一開始創建資源時就進行標簽規范化管控。此時,您可以通過標簽策略,實現資源創建時就強制綁定合規標簽,攔截不合規標簽。
默認情況下,僅針對在標簽策略中設置的標簽生效。當您開啟事前攔截的強校驗功能后,還可以對未綁定任何標簽以及綁定了其他標簽的情況生效。
具體操作,請參見使用標簽策略實現不合規標簽的事前攔截。
資源組標簽自動繼承到組內資源
為資源組綁定標簽后,當在資源組中創建資源或者將資源加入到資源組時,該資源會自動繼承資源組的標簽。
具體操作,請參見使用標簽策略實現基于資源組的標簽自動繼承。
標簽策略模式
標簽策略支持當前賬號標簽策略和資源目錄標簽策略兩種。您可以根據實際的使用場景和當前登錄的賬號類型,啟用對應的標簽策略。具體如下表所示。
使用場景 | 當前登錄賬號類型 | 標簽策略模式 | 操作步驟 |
企業云上業務比較簡單,使用的是單個阿里云賬號及RAM用戶的管理模式,此時,您可以通過阿里云賬號啟用當前賬號標簽策略,規范管理阿里云賬號及RAM用戶的標簽操作。 | 阿里云賬號(未加入資源目錄) | 當前賬號標簽策略:管控阿里云賬號及其下RAM用戶的標簽。 | |
如果企業云上業務比較復雜,已使用資源目錄(RD)搭建了云上的多賬號管理體系,此時,您可以通過RD管理賬號啟用資源目錄標簽策略,規范管理RD中各成員的標簽操作。 | 資源目錄的管理賬號 | 您可以根據需要,同時啟用或分別啟用以下兩種模式的標簽策略:
| |
資源目錄的成員 | 根據資源目錄是否啟用標簽策略,分為以下兩種情況:
|
使用限制
限制項 | 規格 |
當前賬號標簽策略中最多允許創建標簽策略的數量 | 100個 |
資源目錄標簽策略中最多允許創建標簽策略的數量 | 100個 |
每個標簽策略的最大長度 | 2048個字符 |
事前攔截策略的生效時間 |
|
自動檢測的生效時間 |
|
自動修復的生效時間 | 檢測出不合規資源后,10分鐘內自動修復。 |
最佳實踐
支持標簽策略的云服務
云服務 | 云服務代碼 | 資源類型 | 是否支持標簽自動檢測和修復 | 是否支持資源組標簽自動繼承 | 支持事前攔截默認功能的API① | 支持事前攔截強校驗功能的API② |
云服務器ECS | ecs | instance | 是 | 是 | ||
無 | ||||||
eni | 是 | 否 | ||||
無 | ||||||
securitygroup | 是 | 是 | ||||
無 | ||||||
disk | 是 | 是 | ||||
無 | ||||||
snapshot | 是 | 否 | ||||
無 | ||||||
ddh | 是 | 是 | ||||
無 | ||||||
image | 否 | 否 | ||||
無 | ||||||
無 | ||||||
keypair | 否 | 否 | ||||
無 | ||||||
launchtemplate | 是 | 是 | ||||
無 | ||||||
snapshotpolicy | 否 | 否 | ||||
云數據庫RDS | rds | instance | 是 | 是 | 無 | |
無 | ||||||
負載均衡 | slb | instance | 是 | 是 | 無 | |
certificate | 否 | 否 | 無 | |||
acl | 否 | 否 | 無 | |||
應用型負載均衡 | alb | acl | 否 | 否 | 無 | |
loadbalancer | 否 | 否 | 無 | |||
securitypolicy | 否 | 否 | 無 | |||
servergroup | 否 | 否 | 無 | |||
專有網絡VPC | vpc | vpc | 是 | 是 | 無 | |
vswitch | 是 | 否 | 無 | |||
routetable | 是 | 否 | 無 | |||
NAT網關 | vpc | natgateway | 是 | 是 | 無 | |
VPN網關 | vpc | vpngateway | 否 | 否 | 無 | |
共享帶寬 | vpc | commonbandwidthpackage | 否 | 否 | 無 | |
彈性公網IP | vpc | eip | 是 | 是 | 無 | |
云企業網 | cen | cen | 是 | 是 | 無 | |
bandwidthpackage | 否 | 否 | 無 | |||
CDN | cdn | domain | 是 | 是 | 無 | 無 |
對象存儲 | oss | bucket | 是 | 是 | 無 | 無 |
云數據庫Tair(兼容Redis?) | kvstore | instance | 是 | 是 | 無 | |
無 | ||||||
云數據庫MongoDB版 | dds | instance | 是 | 是 | 無 | |
云數據庫HBase版 | multimod | cluster | 是 | 是 | 無 | |
云原生關系型數據庫PolarDB | polardb | cluster | 是 | 是 | 無 | 無 |
文件存儲NAS | nas | filesystem | 是 | 是 | 無 | |
DDoS防護 | ddoscoo | instance | 是 | 是 | 無 | |
無 | ||||||
容器服務 | cs | cluster | 是 | 是 | 無 | 無 |
API網關服務 | apigateway | api | 是 | 是 | 無 | 無 |
apigroup | 是 | 是 | 無 | 無 | ||
app | 否 | 否 | 無 | 無 | ||
instance | 否 | 否 | 無 | 無 | ||
plugin | 否 | 否 | 無 | 無 | ||
云解析DNS | alidns | domain | 否 | 否 | 無 | |
彈性伸縮 | ess | scalinggroup | 否 | 否 | ||
無 | ||||||
彈性容器實例 | eci | containergroup | 否 | 否 | ||
無 | ||||||
imagecache | 否 | 否 | 無 | |||
無 | ||||||
virtualnode | 否 | 否 | 無 | |||
消息隊列RocketMQ版 | mq | group | 否 | 否 | 無 | |
instance | 否 | 否 | 無 | |||
topic | 否 | 否 | 無 | |||
堡壘機 | bastionhost | instance | 否 | 否 | 無 | |
資源編排 | ros | changeset | 否 | 否 | 無 | |
stack | 否 | 否 | ||||
無 | ||||||
無 | ||||||
template | 否 | 否 | 無 |
說明:
①事前攔截分為創建資源時攔截和為資源綁定標簽時攔截兩種場景,不同云服務、不同資源類型、不同API對兩種場景的支持情況不同。以ECS的instance為例,CreateInstance是在創建ECS實例時攔截不合規標簽,TagResources是在為ECS實例綁定標簽時攔截不合規標簽。
②事前攔截的強校驗功能需要手動開啟后才會生效。更多信息,請參見強校驗功能。