Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC) - Amazon Simple Storage Service
Come funzionano i tagModi comuni per utilizzare i tagPianificazione della strategia di taggingGestione dei tag per risorse Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)

Un AWS tag è una coppia chiave-valore che contiene i metadati. I tag vengono associati alle risorse Amazon S3, ad esempio i bucket. Puoi aggiungere i tag quando crei la risorsa oppure gestire quelli di una risorsa esistente. Non sono previsti costi aggiuntivi per l’utilizzo dei tag oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Come funzionano i tag

Amazon S3 supporta due tipi di tag:

Tag definiti dall’utente

Un tag definito dall’utente è una coppia chiave-valore del tag che si utilizza per etichettare le risorse. I tag definiti dall’utente sono formati da una chiave obbligatoria e da un valore facoltativo. Un tag definito dall’utente ha i seguenti componenti principali:

Chiave del tag

La chiave di tag corrisponde al nome obbligatorio del tag. Ad esempio, project è la chiave del tag nella seguente coppia chiave-valore del tag:

Chiave Valore
project Trinity

La chiave del tag è una stringa che fa distinzione tra maiuscole e minuscole e deve contenere tra 1 e 128 caratteri Unicode. Le chiavi possono contenere solo lettere o numeri Unicode, spazi bianchi e i simboli seguenti:

  • _: carattere di sottolineatura

  • .: punto

  • :: due punti

  • /: barra

  • =: segno uguale

  • +: segno più

  • @: chiocciola

  • -: dash

Valore del tag

Il valore del tag è una stringa opzionale. Ad esempio, Trinity è il valore del tag in questa coppia chiave-valore del tag:

Chiave Valore
project Trinity

Il valore del tag è una stringa che fa distinzione tra maiuscole e minuscole, contenente tra 0 e 256 caratteri Unicode. I valori possono contenere solo lettere o numeri Unicode, spazi bianchi e i simboli seguenti:

  • _: carattere di sottolineatura

  • .: punto

  • :: due punti

  • /: barra

  • =: segno uguale

  • +: segno più

  • @: chiocciola

  • -: dash

Per informazioni sui caratteri consentiti per i tag definiti dall’utente e altre limitazioni, consulta Limitazioni per i tag definiti dall’utente nella Guida per l’utente di AWS Billing and Cost Management .

Set di tag

Ogni risorsa S3 ha un set di tag che contiene tutte le coppie di chiavi di tag e valore assegnate a quel bucket. Un set di tag può essere vuoto o può contenere fino a 50 tag definiti dall’utente, tranne nel caso di assegnazione di tag agli oggetti. È possibile avere un massimo di 10 tag per oggetto.

Sebbene ogni chiave debba essere univoca in un set di tag, è possibile utilizzare lo stesso valore più volte. Ad esempio, si può avere lo stesso valore Trinity, per le seguenti due chiavi di tag:

Chiave Valore
project Trinity
cost-center Trinity

Se si aggiunge un tag con la stessa chiave di un tag esistente, il nuovo valore sovrascrive quello precedente.

AWS non applica alcun significato semantico ai tag. I tag sono interpretati prettamente come stringhe di caratteri.

Per aggiungere, elencare, modificare o eliminare tag, puoi utilizzare la console Amazon S3, l'interfaccia a riga di AWS comando (AWS CLI) o l'API Amazon S3.

Modi comuni per utilizzare i tag

Si utilizzano i tag sulle risorse S3 per:

  1. Allocazione dei costi: monitorare i costi di archiviazione in base al tag del bucket in AWS Billing and Cost Management.

  2. Controllo degli accessi basato su attributi (ABAC): è possibile scalare le autorizzazioni di accesso e concedere l’accesso alle risorse S3 in base ai relativi tag.

Nota

È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.

Utilizzo dei tag per l’allocazione dei costi

È possibile tenere traccia dei costi di archiviazione di Amazon S3 applicando i tag alle risorse S3 e attivandoli per l’allocazione dei costi.

Per iniziare a tenere traccia dei costi:

  1. Aggiungi i tag alle risorse S3 o utilizza i tag esistenti. Ad esempio, è possibile etichettare i bucket con un tag che identifica un progetto o un gruppo di progetti.

  2. Attiva i tag per l'allocazione dei costi nella console. AWS Billing and Cost Management Consulta Attivazione dei tag per l’allocazione dei costi definiti dall’utente nella Guida per l’utente di AWS Billing and Cost Management . È possibile attivare tag definiti o AWS generati dall'utente. Per ulteriori informazioni, vedere Organizzazione e monitoraggio dei costi utilizzando i tag di allocazione AWS dei costi.

AWS utilizza i tag attivati per organizzare i costi delle risorse in vari strumenti di fatturazione e gestione dei costi, come:

  • Report di allocazione dei costi

    Fornisce una visualizzazione di alto livello dei costi organizzati in base ai tag attivati. Per ulteriori informazioni, consulta Utilizzo del report mensile di allocazione dei costi nella Guida per l’utente di AWS .

  • Report di costi e utilizzo

    Fornisce il set più dettagliato di dati su AWS costi e utilizzo, comprese le suddivisioni dei costi basate su tag. Per ulteriori informazioni, consulta Cosa sono i report sui AWS costi e sull'utilizzo? nella Guida per l'utente di AWS Data Export.

Risorse Amazon S3 che supportano il monitoraggio dei costi con tag

Le seguenti risorse Amazon S3 supportano il monitoraggio dei costi di archiviazione utilizzando i tag.

Utilizzo dei tag per il controllo degli accessi basato su attributi (ABAC)

Il controllo degli accessi basato su attributi (ABAC) è una strategia che definisce le autorizzazioni in base agli attributi, ad esempio i tag. Puoi allegare tag a entità AWS Identity and Access Management (IAM) (utenti o ruoli) e a AWS risorse, come punti di accesso Amazon S3 e bucket di directory. Quindi, è possibile controllare le autorizzazioni a queste risorse utilizzando condizioni basate su tag nelle policy di controllo degli accessi per consentire o negare le operazioni quando tali condizioni sono soddisfatte.

Con ABAC, utilizzi chiavi di condizione basate su tag nelle politiche delle risorse AWS delle tue organizzazioni, IAM e S3. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle policy IAM, è possibile controllare l’accesso alle risorse S3 in base ai tag del bucket utilizzando le chiavi di condizione.

Chiavi di condizione supportate

Puoi utilizzare le seguenti chiavi di AWS condizione per tutte le risorse Amazon S3 che supportano ABAC.

  • aws:ResourceTag/key-name

  • aws:RequestTag/key-name

  • aws:TagKeys

Alcune risorse supportano chiavi di condizione di Amazon S3 aggiuntive. Per un elenco completo delle chiavi di condizione che possono essere utilizzate per ABAC e delle policy di esempio, consulta i seguenti argomenti relativi ai tag della risorsa.

Risorse Amazon S3 che supportano ABAC

Le seguenti risorse Amazon S3 supportano il controllo degli accessi basato su attributi (ABAC) con tag.

Pianificazione della strategia di tagging

Ti consigliamo di creare un set di chiavi di tag in grado di soddisfare i requisiti di ciascun tipo di risorsa. Con un set di chiavi di tag coerente, la gestione delle risorse risulta semplificata. Puoi cercare e filtrare le risorse in base ai tag aggiunti. Per ulteriori informazioni su come implementare una strategia efficace di etichettatura delle risorse, consulta il white paper sulle migliori pratiche di etichettatura. AWS

Best practice per l’utilizzo dei tag delle risorse Amazon S3

Quando si utilizzano i tag, è consigliabile attenersi alle seguenti best practice:

  • Documentare le convenzioni per l’utilizzo dei tag che devono essere seguite da tutti i team dell’organizzazione. In particolare, è necessario assicurarsi che i nomi siano descrittivi e coerenti. Ad esempio, standardizzare il formato environment:prod anziché utilizzare il tag env:production per alcune risorse.

    Importante

    Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag.

  • Automatizzare l’utilizzo dei tag per garantire la coerenza. Ad esempio, è possibile includere tag in un modello. CloudFormation Quando le risorse vengono create con il modello, i tag vengono automaticamente applicati.

  • Utilizzare i tag solo quando necessario. Evitare la proliferazione e la complessità non necessarie dei tag.

  • Controllare periodicamente i tag per verificarne la pertinenza e la precisione. Rimuovere o modificare i tag obsoleti secondo necessità.

  • Prendi in considerazione la possibilità di creare tag con il AWS Tag Editor nella Console di AWS gestione. Puoi utilizzare Tag Editor per aggiungere tag a più AWS risorse supportate, incluse le risorse Amazon S3, contemporaneamente. Per ulteriori informazioni, consulta Tag Editor nella Guida per l’utente di AWS Resource Groups.

Gestione dei tag per risorse Amazon S3

Per ulteriori informazioni su come gestire i tag per le risorse Amazon S3, consulta gli argomenti seguenti: