Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)
Un tag AWS è una coppia chiave-valore che contiene i metadata. I tag vengono associati alle risorse Amazon S3, ad esempio i bucket. Puoi aggiungere i tag quando crei la risorsa oppure gestire quelli di una risorsa esistente. Non sono previsti costi aggiuntivi per l’utilizzo dei tag oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3
Come funzionano i tag
Amazon S3 supporta due tipi di tag:
-
Tag generati da AWS: AWS applica automaticamente questi tag e non è possibile modificarli o rimuoverli. Per ulteriori informazioni sui tag generati da AWS, consulta Utilizzo dei tag generati da AWS.
-
Tag definiti dall’utente: l’utente applica questi tag alle risorse S3 e li gestisce.
Tag definiti dall’utente
Un tag definito dall’utente è una coppia chiave-valore del tag che si utilizza per etichettare le risorse. I tag definiti dall’utente sono formati da una chiave obbligatoria e da un valore facoltativo. Un tag definito dall’utente ha i seguenti componenti principali:
Chiave del tag
La chiave di tag corrisponde al nome obbligatorio del tag. Ad esempio, project è la chiave del tag nella seguente coppia chiave-valore del tag:
| Chiave | Valore |
|---|---|
project |
Trinity |
La chiave del tag è una stringa che fa distinzione tra maiuscole e minuscole e deve contenere tra 1 e 128 caratteri Unicode. Le chiavi possono contenere solo lettere o numeri Unicode, spazi bianchi e i simboli seguenti:
_: carattere di sottolineatura.: punto:: due punti/: barra=: segno uguale+: segno più@: chiocciola-: dash
Valore del tag
Il valore del tag è una stringa opzionale. Ad esempio, Trinity è il valore del tag in questa coppia chiave-valore del tag:
| Chiave | Valore |
|---|---|
project |
Trinity |
Il valore del tag è una stringa che fa distinzione tra maiuscole e minuscole, contenente tra 0 e 256 caratteri Unicode. I valori possono contenere solo lettere o numeri Unicode, spazi bianchi e i simboli seguenti:
_: carattere di sottolineatura.: punto:: due punti/: barra=: segno uguale+: segno più@: chiocciola-: dash
Per informazioni sui caratteri consentiti per i tag definiti dall’utente e altre limitazioni, consulta Limitazioni per i tag definiti dall’utente nella Guida per l’utente di Gestione dei costi e fatturazione AWS.
Set di tag
Ogni risorsa S3 ha un set di tag che contiene tutte le coppie di chiavi di tag e valore assegnate a quel bucket. Un set di tag può essere vuoto o può contenere fino a 50 tag definiti dall’utente, tranne nel caso di assegnazione di tag agli oggetti. È possibile avere un massimo di 10 tag per oggetto.
Sebbene ogni chiave debba essere univoca in un set di tag, è possibile utilizzare lo stesso valore più volte. Ad esempio, si può avere lo stesso valore Trinity, per le seguenti due chiavi di tag:
| Chiave | Valore |
|---|---|
project |
Trinity |
cost-center |
Trinity |
Se si aggiunge un tag con la stessa chiave di un tag esistente, il nuovo valore sovrascrive quello precedente.
AWS non applica significati semantici ai tag. I tag sono interpretati prettamente come stringhe di caratteri.
Per aggiungere, elencare, modificare o eliminare tag, è possibile utilizzare la console Amazon S3, l’interfaccia a riga di comando AWS (CLI AWS) o l’API Amazon S3.
Modi comuni per utilizzare i tag
Si utilizzano i tag sulle risorse S3 per:
-
Allocazione dei costi: monitorare i costi di archiviazione in base al tag del bucket in Gestione dei costi e fatturazione AWS.
-
Controllo degli accessi basato su attributi (ABAC): è possibile scalare le autorizzazioni di accesso e concedere l’accesso alle risorse S3 in base ai relativi tag.
Nota
È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.
Utilizzo dei tag per l’allocazione dei costi
È possibile tenere traccia dei costi di archiviazione di Amazon S3 applicando i tag alle risorse S3 e attivandoli per l’allocazione dei costi.
Per iniziare a tenere traccia dei costi:
-
Aggiungi i tag alle risorse S3 o utilizza i tag esistenti. Ad esempio, è possibile etichettare i bucket con un tag che identifica un progetto o un gruppo di progetti.
-
Attiva i tag per l’allocazione dei costi nella console Gestione dei costi e fatturazione AWS. Consulta Attivazione dei tag per l’allocazione dei costi definiti dall’utente nella Guida per l’utente di Gestione dei costi e fatturazione AWS. È possibile attivare i tag definiti dall’utente o generati da AWS. Per ulteriori informazioni, consulta Organizzazione e monitoraggio dei costi utilizzando i tag di allocazione dei costi AWS.
AWS utilizza i tag attivati per organizzare i costi delle risorse in vari strumenti di fatturazione e gestione dei costi, come:
-
Report di allocazione dei costi
Fornisce una visualizzazione di alto livello dei costi organizzati in base ai tag attivati. Per ulteriori informazioni, consulta Utilizzo del report mensile di allocazione dei costi nella Guida per l’utente di AWS.
-
Report di costi e utilizzo
Fornisce il set più dettagliato di dati di costi e utilizzo di AWS, comprese le suddivisioni dei costi basate su tag. Per ulteriori informazioni, consulta Cosa sono i report di costi e utilizzo di AWS? nella Guida per l’utente di esportazione dei dati di AWS.
Risorse Amazon S3 che supportano il monitoraggio dei costi con tag
Le seguenti risorse Amazon S3 supportano il monitoraggio dei costi di archiviazione utilizzando i tag.
Bucket per uso generale
Per ulteriori informazioni, consulta . Utilizzo dei tag per l'allocazione dei costi per i bucket S3
Bucket di directory
Per ulteriori informazioni, consulta Utilizzo di tag con i bucket di directory S3.
Utilizzo dei tag per il controllo degli accessi basato su attributi (ABAC)
Il controllo degli accessi basato su attributi (ABAC) è una strategia che definisce le autorizzazioni in base agli attributi, ad esempio i tag. È possibile collegare i tag alle entità AWS Identity and Access Management (IAM) (utenti o ruoli) e alle risorse AWS, come Punti di accesso Amazon S3 e bucket di directory. Quindi, è possibile controllare le autorizzazioni a queste risorse utilizzando condizioni basate su tag nelle policy di controllo degli accessi per consentire o negare le operazioni quando tali condizioni sono soddisfatte.
Con ABAC, si utilizzano le chiavi di condizione basate su tag nelle organizzazioni AWS, in IAM e nelle policy delle risorse S3. Per le aziende, ABAC in Amazon S3 supporta l’autorizzazione su più account AWS.
Nelle policy IAM, è possibile controllare l’accesso alle risorse S3 in base ai tag del bucket utilizzando le chiavi di condizione.
Chiavi di condizione supportate
È possibile utilizzare le seguenti chiavi di condizione AWS per tutte le risorse Amazon S3 che supportano ABAC.
aws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys
Alcune risorse supportano chiavi di condizione di Amazon S3 aggiuntive. Per un elenco completo delle chiavi di condizione che possono essere utilizzate per ABAC e delle policy di esempio, consulta i seguenti argomenti relativi ai tag della risorsa.
Risorse Amazon S3 che supportano ABAC
Le seguenti risorse Amazon S3 supportano il controllo degli accessi basato su attributi (ABAC) con tag.
Access point
Per ulteriori informazioni, consulta Utilizzo di tag con punti di accesso S3 per bucket per uso generico e Utilizzo di tag con Punti di accesso S3 per bucket di directory.
Processi di operazioni batch
Per ulteriori informazioni, consulta Controllo dei lavori di accesso ed etichettatura mediante tag.
Bucket di directory
Per ulteriori informazioni, consulta Utilizzo di tag con i bucket di directory S3.
Oggetti
Per ulteriori informazioni, consulta Classificazione degli oggetti utilizzando i tag.
-
S3 Access Grants
Per ulteriori informazioni, consulta Gestione dei tag per S3 Access Grants.
-
Gruppi Storage Lens S3
Per ulteriori informazioni, consulta Gestione dei tag delle risorse AWS con i gruppi Storage Lens.
Pianificazione della strategia di tagging
Ti consigliamo di creare un set di chiavi di tag in grado di soddisfare i requisiti di ciascun tipo di risorsa. Tramite un set di chiavi di tag coerente la gestione delle risorse risulta notevolmente semplificata. Puoi cercare e filtrare le risorse in base ai tag aggiunti. Per ulteriori informazioni sull'implementazione di una strategia efficace di tagging di risorse, consulta il Whitepaper di AWS sulle best practice di tagging.
Best practice per l’utilizzo dei tag delle risorse Amazon S3
Quando si utilizzano i tag, è consigliabile attenersi alle seguenti best practice:
Documentare le convenzioni per l’utilizzo dei tag che devono essere seguite da tutti i team dell’organizzazione. In particolare, è necessario assicurarsi che i nomi siano descrittivi e coerenti. Ad esempio, standardizzare il formato
environment:prodanziché utilizzare il tagenv:productionper alcune risorse.Importante
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag.
Automatizzare l’utilizzo dei tag per garantire la coerenza. Ad esempio, è possibile includere tag in un modello CloudFormation. Quando le risorse vengono create con il modello, i tag vengono automaticamente applicati.
Utilizzare i tag solo quando necessario. Evitare la proliferazione e la complessità non necessarie dei tag.
Controllare periodicamente i tag per verificarne la pertinenza e la precisione. Rimuovere o modificare i tag obsoleti secondo necessità.
Prendere in considerazione la possibilità di creare tag con l’editor di tag AWS nella Console di gestione AWS. È possibile utilizzare l’editor di tag per aggiungere tag a più risorse AWS supportate, incluse le risorse Amazon S3, contemporaneamente. Per ulteriori informazioni, consulta Tag Editor nella Guida per l’utente di AWS Resource Groups.
Gestione dei tag per risorse Amazon S3
Per ulteriori informazioni su come gestire i tag per le risorse Amazon S3, consulta gli argomenti seguenti:
