La migliore funzionalità di AWS che probabilmente non stai utilizzando: l’etichettatura degli oggetti

Logo AWS

I tag sono piuttosto semplici: memorizzano una singola coppia chiave-valore e vengono utilizzati come metadati per le risorse AWS per aiutarti a rimanere organizzato. Ti mostreremo come usarli e come impostare criteri di tagging efficaci per la tua organizzazione.

A cosa serve la codifica?

In un account condiviso con molte risorse AWS, può essere difficile ordinare tutto. Puoi separare fisicamente gli ambienti creando nuovi account AWS e collegarli alla stessa fatturazione utilizzando AWS Organizations, ma questo è principalmente pensato per ambienti di sviluppo, test, staging e produzione e, come tale, è limitato a quattro account.

I tag rappresentano una soluzione rapida e semplice alla maggior parte di questi problemi organizzativi. Ad esempio, supponiamo che la tua organizzazione stia gestendo progetti per molti clienti, tutti con lo stesso account AWS. Potresti eseguire un paio di server EC2 per progetto, alcuni bucket S3, ecc. Puoi creare un tag “progetto” e assegnarlo a tutte queste risorse in base al nome del progetto. Ora, invece che la tua console di gestione EC2 sia affollata da molte istanze, puoi filtrare abbastanza facilmente in base al tag del progetto:

Filtra in base al tag del progetto.

Sebbene la separazione in base al progetto sia la soluzione più semplice per l’etichettatura dei problemi, ce ne sono molte diverse strategie di tagging che puoi utilizzare. Puoi utilizzarli per distinguere tra risorse di sviluppo, test e staging (anche se probabilmente dovresti utilizzare AWS Organizations per separare fisicamente la produzione, per motivi di sicurezza), filtrare in base alla versione o contrassegnare le risorse come che richiedono particolari livelli di conformità o riservatezza.

Dipende davvero da te per cosa li usi. Una volta che hai in mente una policy di tagging chiara, puoi impostarla utilizzando la console AWS Organizations. Le risorse che non rispettano la politica di tagging verranno contrassegnate dall’editor di tag e possono essere facilmente risolte.

Come impostare e cercare i tag

In futuro, dovresti impostare tag ogni volta che vengono create risorse (l’impostazione di una politica di tagging aiuta in questo), ma la codifica retroattiva delle risorse è piuttosto semplice. Dalla Console di gestione AWS, seleziona “Gruppi di risorse” nella barra dei menu in alto e apri “Editor di tag”.

apri editor di tag

Puoi cercare le risorse per regione e tipo, oppure lasciarle vuote per un elenco di tutto. Puoi anche filtrare per tag esistenti.

filtrare le risorse

Dopo aver selezionato qualcosa da taggare, puoi fare clic su “Gestisci tag delle risorse selezionate” per modificare i loro tag.

seleziona e modifica i tag

Fare clic su “Aggiungi tag” per creare un nuovo tag e applicarlo alle risorse selezionate. Seleziona “Rivedi e applica modifiche” e i nuovi tag dovrebbero essere impostati.

Puoi anche cercare per tag da AWS CLI, utilizzando get-resources:

aws resourcegroupstaggingapi get-resources 
--tag-filters Key=Environment,Values=Production 
--tags-per-page 100

La maggior parte dei servizi ti consentirà anche di modificare i tag delle risorse dalla CLI, utilizzando add-tags-to-resource e l’ARN:

aws rds add-tags-to-resource 
    --resource-name arn:aws:rds:us-east-1:123456789012:db:database-mysql 
    --tags "[{"Key": "Name","Value": "MyDatabase"},{"Key": "Environment","Value": "test"}]"

Applicazione di una policy sui tag

Per evitare di dover taggare manualmente le risorse per rimanere organizzati, puoi applicare una norma di codifica a livello di account che si applicherà a tutte le nuove risorse create nel tuo account. Ciò non impedirà agli utenti di creare risorse senza tag appropriati, quindi dovrai comunque istruire i tuoi dipendenti sulla tua politica di tagging, ma ti consentirà di visualizzare quali risorse non sono conformi e risolvere rapidamente il problema.

Per farlo, dovrai attivare la funzionalità dalla console di AWS Organizations. In “Organizza account”, fai clic su “Root” e abilita “Norme sui tag” nella barra laterale. Puoi effettivamente impostare criteri di tagging diversi per account diversi, se stai separando i tuoi ambienti di sviluppo e produzione.

console delle organizzazioni

Nella scheda “Politiche”, ora dovresti essere in grado di fare clic su “Politiche di tag” e creare una nuova politica.

aggiungi criterio di etichettatura

Dagli un nome e una descrizione e specifica la chiave del tag che vuoi applicare. Probabilmente è meglio selezionare “Utilizza le maiuscole specificate” per evitare errori. Puoi anche impostare un elenco di valori consentiti per il tag.

nuova norma sui tag

L’ultima opzione, “Impedisci operazioni non conformi per questo tag”, non impedisce la creazione di nuove risorse senza il tag, ma impedisce gli aggiornamenti dei tag non conformi.

Fai clic su “Crea”. Dovrai allegare la politica prima che abbia effetto. Fai clic sul tuo account root (o su qualsiasi cosa a cui desideri applicarlo), seleziona “Tag Policies” nella barra laterale e allega la politica appena creata.

allega la politica dei tag

Dovrai anche concedere a Tag Policy Console l’accesso ai criteri della tua organizzazione. Fai clic su “Impostazioni” e scorri verso il basso per trovare “Norme sui tag”. Abilita questo.

abilita i criteri di tag

Ora dovresti essere in grado di visualizzare le risorse non conformi dall’editor di tag, in Criteri di tag > Questo account AWS.

vista conformità tag

Sfortunatamente, non c’è un modo semplice per aggiornare i tag da questa schermata: dovrai cercarli nella scheda Tag Editor o fare clic sulle risorse e aggiornare manualmente i tag dalla console di gestione di quella risorsa.