Balisage d'objets
Les balises sont assez simples: elles stockent une seule paire clé-valeur et sont utilisées comme métadonnées pour les ressources AWS pour vous aider à rester organisé. Nous allons vous montrer comment les utiliser et comment définir des règles de balisage efficaces pour votre organisation.
Sommaire
À quoi sert le marquage?
Dans un compte partagé avec de nombreuses ressources AWS, il peut être difficile de tout trier. Vous pouvez séparer physiquement les environnements en créant de nouveaux comptes AWS et les lier sous la même facturation à l'aide d'AWS Organizations, mais cela est principalement destiné aux environnements de développement, de test, de préparation et de production, et en tant que tel, est limité à quatre comptes.
Les balises présentent une solution rapide et facile à la plupart de ces problèmes d'organisation. Par exemple, supposons que votre organisation gère des projets pour de nombreux clients, tous sous le même compte AWS. Vous pouvez exécuter quelques serveurs EC2 par projet, quelques compartiments S3, etc. Vous pouvez créer une balise «projet» et l'attribuer à toutes ces ressources en fonction du nom du projet. Désormais, au lieu que votre console de gestion EC2 soit encombrée de nombreuses instances, vous pouvez filtrer assez facilement en fonction de la balise du projet:
Bien que la séparation basée sur le projet soit la solution de balisage la plus simple, vous pouvez utiliser de nombreuses stratégies de balisage. Vous pouvez les utiliser pour distinguer les ressources de développement, de test et de préparation (bien que vous devriez probablement utiliser AWS Organizations pour séparer physiquement la production, pour des raisons de sécurité), filtrer en fonction de la version ou marquer les ressources comme nécessitant des niveaux de conformité ou de confidentialité spéciaux.
Cela dépend vraiment de vous pour ce que vous les utilisez. Une fois que vous avez une politique de balisage claire à l'esprit, vous pouvez la mettre en place à l'aide de la console AWS Organizations. Les ressources qui ne sont pas conformes à la politique de balisage seront signalées par l'éditeur de balises et pourront être facilement corrigées.
Comment définir et rechercher des balises
À l'avenir, vous devriez définir des balises chaque fois que des ressources sont créées (la définition d'une politique de balisage aide à cela), mais le balisage rétroactif des ressources est assez facile. Dans AWS Management Console, sélectionnez «Groupes de ressources» dans la barre de menu supérieure et ouvrez «Éditeur de balises».
Vous pouvez rechercher des ressources par région et par type, ou les laisser vides pour une liste de tout. Vous pouvez également filtrer par tags existants.
Une fois que vous avez sélectionné quelque chose à baliser, vous pouvez cliquer sur «Gérer les balises des ressources sélectionnées» pour modifier leurs balises.
Cliquez sur «Ajouter une balise» pour créer une nouvelle balise et l'appliquer aux ressources sélectionnées. Sélectionnez «Examiner et appliquer les modifications» et les nouvelles balises doivent être définies.
Vous pouvez également rechercher par balises à partir de l'AWS CLI, en utilisant get-resources:
aws resourcegroupstaggingapi get-resources --tag-filters Key=Environment,Values=Production --tags-per-page 100
La plupart des services vous permettront également de modifier les balises de ressources à partir de la CLI, en utilisant add-tags-to-resource et l'ARN:
aws rds add-tags-to-resource
--resource-name arn:aws:rds:us-east-1:123456789012:db:database-mysql
--tags "({"Key": "Name","Value": "MyDatabase"},{"Key": "Environment","Value": "test"})"
Application d'une politique de balise
Pour vous éviter d'avoir à baliser manuellement les ressources pour rester organisé, vous pouvez appliquer une politique de balisage à l'échelle du compte qui s'appliquera à toutes les nouvelles ressources créées dans votre compte. Cela n'empêchera pas les utilisateurs de créer des ressources sans balises appropriées. Vous devrez donc toujours informer vos employés de votre politique de marquage, mais cela vous permettra de voir quelles ressources ne sont pas conformes et de résoudre rapidement le problème.
Pour ce faire, vous devrez activer la fonctionnalité à partir de la console AWS Organizations. Sous «Organiser les comptes», cliquez sur «Racine» et activez «Stratégies de balise» dans la barre latérale. Vous pouvez en fait définir des règles de balisage différentes pour différents comptes, si vous séparez vos environnements de développement et de production.
Sous l'onglet «Politiques», vous devriez maintenant pouvoir cliquer sur «Politiques de balise» et créer une nouvelle politique.
Donnez-lui un nom et une description, puis spécifiez la clé de balise que vous souhaitez appliquer. Il est probablement préférable de cocher "Utiliser les majuscules spécifiées" pour éviter toute erreur. Vous pouvez également définir une liste de valeurs autorisées pour la balise.
La dernière option, "Empêcher les opérations non conformes pour ce tag", n'empêche pas la création de nouvelles ressources sans le tag, mais empêche les mises à jour de tags non conformes.
Cliquez sur "Créer". Vous devrez joindre la politique avant qu'elle ne prenne effet. Cliquez sur votre compte racine (ou sur celui auquel vous souhaitez l'appliquer), sélectionnez «Stratégies de balise» dans la barre latérale et attachez la stratégie nouvellement créée.
Vous devrez également autoriser la console Tag Policies Console à accéder aux règles de votre organisation. Cliquez sur "Paramètres" et faites défiler vers le bas pour trouver "Stratégies de balises". Activez ceci.
Désormais, vous devriez pouvoir afficher les ressources non conformes à partir de l'éditeur de balises, sous Stratégies de balises> Ce compte AWS.
Malheureusement, il n’existe pas de moyen simple de mettre à jour les balises à partir de cet écran. Vous devrez les rechercher dans l’onglet Editeur de balises ou cliquer sur les ressources et mettre à jour manuellement les balises à partir de la console de gestion de cette ressource.
