Tag-Richtlinien und Remediation für AWS

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Tag-Audits wenden Richtlinien auf erkannte CIs an, um die Tag-Compliance zu bestimmen. Vorhandensein von Tags, angemessene Anzahl von Tags und Vorhandensein angegebener Schlüssel-Wert-Paare.

    Tag-Richtlinien

    Führen Sie ein Tag-Audit aus, um erkannte CIs für die folgenden Tag-Richtlinientypen zu prüfen:
    • Tag-Anzahl: Überprüft CIs auf die von Ihnen angegebene Tag-Schlüssel-Anzahl
    • Tag-Präsenz: Überprüft CIs auf das Vorhandensein der von Ihnen angegebenen Tag-Schlüsselwerte
    • Tag-Schlüssel und -Wert: Überprüft CIs auf das Vorhandensein von von Ihnen angegebenen Schlüssel-Wert-Paaren.
    Geben Sie den Zeichenfolgewert oder die Tag-Schlüssel, nach denen Sie suchen, in einem kommagetrennten Format im Richtlinientyp „Tag Presence“ (Tag-Vorhandensein) an. Sie können auch eine Zahl im Richtlinientyp „Tag Count“ (Tag-Anzahl) angeben, um CIs mit einem oder mehreren Tags zu identifizieren. Nachdem Sie die Tag-Audits ausgeführt haben, können Sie die Audit-Ergebnisse anzeigen und Korrekturmaßnahmen konfigurieren, die auf der Qualität des Compliance-Index basieren. Optional können Sie auch Benutzergruppen und Benutzern Folgeaufgaben für Korrekturaufgaben für nicht konforme CIs zuweisen.

    Die automatische Korrektur funktioniert mit der Rolle Assume Role (Rolle übernehmen) für AWS, um das Tagging von Cloud-Ressourcen zu automatisieren, indem die Schritte in Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurierenausgeführt werden.

    Die „Rolle übernehmen“ muss über die folgenden Berechtigungen (Richtlinie) verfügen, damit die Remediation funktioniert:

    { 

    "Version": "2012-10-17", 

    "Statement": [ 

        { 

            "Effect": "Allow", 

            "Action": "tag:TagResources", 

            "Resource": [ 

                "arn:aws:ec2:*:*:instance/*", 

                "arn:aws:ec2:*:*:security-group/*", 

                "arn:aws:ec2:*:*:volume/*", 

                "arn:aws:ec2:*:*:vpc/*", 

                "arn:aws:ec2:*:*:subnet/*", 

                "arn:aws:ec2:*:*:network-interface/*", 

                "arn:aws:elasticloadbalancing:*:*:loadbalancer/*", 

                "arn:aws:ec2:*:*:availability-zone/*", 

                "arn:aws:ec2:*:*:public-ip/*", 

                "arn:aws:storagegateway:*:*:gateway/*", 

                "arn:aws:resource-groups:*:*:group/*" 

            ] 

        } 

    ] 

}
    Hinweis:

    Wenn bei der Tag-Korrektur festgestellt wird, dass Discovery ohne Anmeldeinformationen ist, wird MID-Server mit Tag-Verwaltungsfunktionalität ausgewählt. Fügen Sie daher die Tag-Verwaltungsfunktionalität dem richtigen MID-Server hinzu, indem Sie die IAM-Rolle für den Serviceaccount anhängen. Diese Aktion ist wichtig, da es mehrere Konten geben kann, aus denen die IAM-Rolle MID Servers auswählen muss.

    Hinweis:
    Sie müssen über die Berechtigungen ITOM-Transparenz verfügen, um eine Remediation für CIs in CMDBauszuführen. Weitere Informationen Kontakt Kundenservice und Support.