使用 AWS Resource Explorer 排查 AWS 标签合规性问题

本文介绍了如何利用 AWS Resource Explorer 的即时资源发现功能,通过两个具体场景,快速识别和修复资源标签不合规问题,包括缺失成本中心标签和标签值大小写错误,从而确保准确的成本分摊和基于属性的访问控制(ABAC)正常运作。

使用 AWS Resource Explorer 排查 AWS 标签合规性问题

凭借 AWS Resource Explorer 于 2025 年 10 月 13 日推出的即时资源发现功能,客户现在可以从在 AWS 管理控制台或 Resource Explorer 控制台中进行统一搜索的第一次搜索开始,立即发现资源。对于云运维团队而言,故障排除和问题解决、资源变更、调查资源依赖关系、识别安全风险以及优化成本等操作是关键的日常活动。通过资源搜索,客户可以更快地找到他们想要操作的目标资源。即时资源发现功能消除了开启 Resource Explorer 才能开始查找资源的要求。

在本博客中,我们将介绍两个场景:

首先,假设您是一位客户,注意到生产资源的总 AWS 账单与按标签键 costCenter 分组后的成本总和不相符。您认为这可能是因为某些资源缺少必需的标签键 costCenter 或标签值不正确。您希望识别并修复任何不合规的资源,以确保准确的成本分摊。

其次,假设您是一位客户,您的团队无法访问某些应该对他们可用的生产资源(基于您对标记为 environment = prod 的资源使用了基于属性的访问控制(ABAC))。您希望调查并解决 ABAC 未按预期工作的问题。

注意: 在这两个场景中,您至少需要拥有 AWSResourceExplorerFullAccess 托管策略中的权限。

场景 1:成本中心标签缺失排查

您是一位客户,注意到总 AWS 账单与按标签键 costCenter 分组后的成本总和不相符。您希望确保所有标记为 environment = prod 的资源也都具有相应的标签键 costCenter,以准确跟踪支出。

首先,您可以在管理控制台顶部的“统一搜索”框中输入资源名称(例如“SNS”)进行搜索。您会立即开始看到您正在搜索的区域(例如 us-east-1)中的资源结果。接着,您可以导航至“在 Resource Explorer 中显示更多”以查看更多资源。

图 1. 在统一搜索中搜索“SNS”会返回区域内的资源结果。

在 Resource Explorer 控制台中,您可以看到资源结果已根据您的查询(搜索)和使用 us-east-1 中的索引和视图进行了筛选。您可以移除“SNS”查询以查看不同服务中的资源。此外,您会在控制台顶部看到一个横幅,提示您启用跨区域搜索。要了解更多关于索引和视图的信息,请访问 Resource Explorer 的术语和概念

图 2. 一键启用所有区域的跨区域搜索。

当在多个区域(例如 us-east-1us-west-2eu-west-1)进行操作时,您可以点击以启用跨区域搜索,以便在您的账户中跨服务和跨区域查看资源。要了解更多关于如何设置跨区域搜索的信息,请访问 通过创建聚合器索引启用跨区域搜索

在所有区域启用跨区域搜索,会将您账户中所有区域的数据编入索引,并将数据整合到您选择的聚合器区域中。索引完成后,您可以搜索具有标签 environment=prod 但缺失标签键 costCenter 的资源(查询语法:tag:environment=prod -tag.key:costcenter)。您会看到有 9 个跨不同服务和区域的不符合公司标签策略的资源。您可以跟进相关团队,将这些资源分配并标记到适当的成本中心。

图 3. 搜索具有标签 environment = prod 但缺失标签键 costCenter 的资源。

场景 2:标签值大小写错误导致 ABAC 访问问题

您的团队无法访问某些应该对他们可用的生产资源(基于您对标记为 environment = prod 的资源使用了基于属性的访问控制(ABAC))。

在 Resource Explorer 控制台中,从您的跨区域视图(您的聚合器索引所在处)开始,搜索所有标记为 environment = prod 的资源。

图 4. 搜索所有具有标签 environment = prod 的资源。

您使用左上角的复选框选中所有返回的资源,然后点击右上角的“操作”按钮。选择“管理标签”以了解更多关于这些资源标签的信息。

图 5. 从“操作”菜单中选择“管理标签”以对多个选定资源进行操作。

在“管理标签”面板中,您可以检查 environment 标签键的值。您会看到当前有两个值:1) prod,和 2) Prod。贵公司的最佳实践要求标签值为小写或驼峰式命名,而这个大小写错误正是导致您团队访问问题的根本原因。

图 6. 标签值(prod 与 Prod)中的大小写错误正在导致访问问题。

您选择小写的 prod 值以在所有选定资源中统一标签格式,然后选择“查看标签更改”。

图 7. 选择小写的 prod 值以在所有资源中统一标签格式。

在模态窗口中点击“确认并应用标签更改”,将更新应用到您选定的资源。

图 8. 确认并在所有资源上应用标签更改。

当您的标签成功更新后,会出现一个绿色的横幅。现在,您的团队可以访问账户中的所有生产资源,并且您已经纠正了不合规资源的标签。

(注意:“管理标签”操作仅适用于单个账户内的可标记资源。)

图 9. 控制台顶部的绿色横幅显示标签已成功更新。

结论

AWS Resource Explorer 是一种搜索和发现工具,可帮助您查找和管理您的 AWS 资源。它无需初始设置即可提供对资源的即时可见性,简化了云资源管理。此功能在支持 Resource Explorer 的所有 AWS 区域免费提供。要开始探索您的资源,请访问 AWS Resource Explorer 控制台,或查看文档产品页面以了解更多信息。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次