啟用標籤策略 - Resource Management

標籤策略需要啟用後才能正常使用。

背景資訊

啟用方式

標籤策略支援當前帳號標籤策略和資來源目錄標籤策略兩種。您可以根據實際的使用情境和當前登入的帳號類型，啟用對應的標籤策略。具體如下表所示。

使用情境	當前登入帳號類型	標籤策略模式	操作步驟
企業雲上業務比較簡單，使用的是單個阿里雲帳號及RAM使用者的管理員模式，此時，您可以通過阿里雲帳號啟用當前帳號標籤策略，規範管理阿里雲帳號及RAM使用者的標籤操作。	阿里雲帳號（未加入資來源目錄）	當前帳號標籤策略：管控阿里雲帳號及其下RAM使用者的標籤。	使用阿里雲帳號啟用當前帳號標籤策略
如果企業雲上業務比較複雜，已使用資來源目錄（RD）搭建了雲上的多帳號管理體系，此時，您可以通過RD管理帳號啟用資來源目錄標籤策略，規範管理RD中各成員的標籤操作。	資來源目錄的管理帳號	您可以根據需要，同時啟用或分別啟用以下兩種模式的標籤策略：資來源目錄標籤策略：管控整個資來源目錄內（不含管理帳號本身）的標籤。重要如果資來源目錄的任意一個成員啟用了當前帳號標籤策略，則資來源目錄的管理帳號不能啟用資來源目錄標籤策略。此時，您需要禁用成員的當前帳號標籤策略後，重新啟用資來源目錄標籤策略。當前帳號標籤策略：僅管控管理帳號本身的標籤。	使用資來源目錄管理帳號啟用資來源目錄標籤策略
	資來源目錄的成員	根據資來源目錄是否啟用標籤策略，分為以下兩種情況：如果資來源目錄未啟用標籤策略，則資來源目錄的成員可以啟用當前帳號標籤策略，只管控成員下的標籤。如果資來源目錄已啟用標籤策略，則資來源目錄的成員不允許啟用當前帳號標籤策略。標籤策略將統一由資來源目錄的管理帳號管理，成員只能查看自己的有效原則。	使用資來源目錄成員啟用當前帳號標籤策略

RAM許可權

推薦您使用RAM使用者啟用標籤策略。具體如下：

當前帳號標籤策略：為阿里雲帳號（主帳號）下的RAM使用者授予以下自訂權限原則。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "tag:GetConfigRuleReport",
              "tag:GenerateConfigRuleReport",
              "tag:GetEffectivePolicy",
              "tag:ListConfigRulesForTarget",
              "tag:ListPoliciesForTarget",
              "tag:ListTargetsForPolicy",
              "tag:ListPolicies",
              "tag:GetPolicy",
              "tag:GetPolicyEnableStatus",
              "tag:DetachPolicy",
              "tag:DeletePolicy",
              "tag:ModifyPolicy",
              "tag:AttachPolicy",
              "tag:CreatePolicy",
              "tag:DisablePolicyType",
              "tag:EnablePolicyType",
              "tag:ListSupportResourceTypes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "rd:ListAccountsForParent",
                "rd:ListFoldersForParent",
                "rd:GetResourceDirectory",
                "config:GetAggregateResourceComplianceByConfigRule",
                "config:ListAggregateConfigRuleEvaluationResults",
                "config:GetAggregateConfigRulesReport",
                "config:GetResourceComplianceGroupByRegion",
                "config:ListConfigRuleEvaluationResults",
                "config:GetConfigRulesReport",
                "config:ListRemediations",
                "oos:ListExecutions"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "tag.aliyuncs.com"
               }
            }
        }
    ]
}

資來源目錄標籤策略：為資來源目錄管理帳號下的RAM使用者先授予資來源目錄系統管理權限（AliyunResourceDirectoryFullAccess），然後再授予上述的自訂權限原則。

具體操作，請參見建立自訂權限原則和為RAM使用者授權。

使用阿里雲帳號啟用當前帳號標籤策略

未加入資來源目錄的阿里雲帳號可以啟用當前帳號標籤策略。

登入標籤控制台。
在左側導覽列，選擇標籤策略 > 設定。
在當前帳號設定頁簽，設定標籤策略為開啟。
在啟用標籤策略對話方塊，單擊開啟。
啟用標籤策略時，會自動建立一個服務關聯角色（AliyunServiceRoleForTag）解決跨服務訪問問題。更多資訊，請參見標籤服務關聯角色。

使用資來源目錄管理帳號啟用資來源目錄標籤策略

資來源目錄的管理帳號可以啟用資來源目錄標籤策略，該標籤策略對資來源目錄的所有成員（不包括管理帳號本身）生效。

登入標籤控制台。
在左側導覽列，選擇標籤策略 > 設定。
在資來源目錄帳號設定頁簽，設定標籤策略為開啟。
說明
管理帳號也可以在當前帳號設定頁簽，為管理帳號本身啟用標籤策略。
在啟用標籤策略對話方塊，單擊開啟。
啟用標籤策略時，會自動建立一個服務關聯角色（AliyunServiceRoleForTag）解決跨服務訪問問題。更多資訊，請參見標籤服務關聯角色。

使用資來源目錄成員啟用當前帳號標籤策略

當資來源目錄未啟用標籤策略時，資來源目錄的成員可以為本身啟用標籤策略。

登入成員帳號。
具體操作，請參見成員登入阿里雲控制台。
登入標籤控制台。
在左側導覽列，選擇標籤策略 > 設定。
在當前帳號設定頁簽，設定標籤策略為開啟。
在啟用標籤策略對話方塊，單擊開啟。
啟用標籤策略時，會自動建立一個服務關聯角色（AliyunServiceRoleForTag）解決跨服務訪問問題。更多資訊，請參見標籤服務關聯角色。