Tagポリシーのシンタックス
Tagポリシー policy はいくつかのポリシーサブステートメントで構成されます。各ポリシーサブステートメントは、ポリシーキー policy_key、Tagキー tag_key、Tag値 tag_value、および有効範囲などの複数の要素を含みます。
構文フォーマット
ポリシー構文は JSONフォーマット を基盤とします。作成または更新されたポリシーが JSONフォーマットを満たさない場合、送信に成功せず、有効にもなりません。。したがって、ユーザーは JSONフォーマットが正しいことを必ず確認する必要があります。
構文規約
基本的なTagポリシー構文は、Tag値の取得方法によって以下のように区分されます:
{"tags": {"principal担当者": {"tag_key": {"@@assign": "プリンシパル担当者"},"tag_value": {"@@assign": ["value名前1"]},"resource_type_scope":{"@@assign": ["cvm:instance", "cvm:volume"] },"detection":{"@@assign": "on"},//検出はシステムデフォルトで有効化される機能であり、指定されたリソースの指定されたTagキーに基づきTag値がコンプライアンスに合致しているかどうかを検出します。デフォルトで有効ですが、jsonではデフォルトで表示されません"correction": {"@@assign": "on"},//自動修復。1つの値を指定した場合に有効化できますが、複数の指定値では自動修復できません"auto_assign":{"@@assign":"on"},//自動割り当て - Tagキー"enforced_for": { "@@assign": [ "*"] }, //強制実行。値が'value名前1'でない場合、ブロックして、他の値のバインドを許可しません"auto_assign_value": { "@@assign": "on" } //自動割り当て - Tag値}}}
{"tags": {"principal担当者": {"tag_key": {"@@assign": "プリンシパル担当者"},"tag_value_dynamic": {"@@assign": "on"},//ダイナミック値を有効にし、値はサブユーザーがCAMでバインドした同名のTagキーの値に準じます"resource_type_scope":{"@@assign": ["cvm:instance", "cvm:volume"] },"detection":{"@@assign": "on"},//検出はシステムデフォルトで有効化される機能であり、指定されたリソースの指定されたTagキーに基づきTag値がコンプライアンスに合致しているかどうかを検出します。デフォルトで有効ですが、jsonではデフォルトで表示されません。"correction": {"@@assign": "on"},//自動修復。動的値が一つだけの場合、自動修復を有効にできます"auto_assign":{"@@assign":"on"},//自動割り当て - Tagキー"enforced_for": { "@@assign": [ "*"] }, //強制実行。値が'value名前1'でない場合、ブロックして他の値のバインドを許可しません"auto_assign_value": { "@@assign": "on" } //自動割り当て - Tag値}}}
構文の要素
要素 | 必須かどうか | 使用説明 | 例の意味への対応 |
tags | はい | Tagポリシーは常にtagsで始まり、ポリシーの最初の行に位置する固定値です。 | tags 固定値 |
policy_key | はい | ポリシーキー。ポリシーステートメントを一意に識別するためのポリシーキーは、Tagキーと同じ値を取ります。1つのTagポリシー内で複数のポリシーキーを定義できます。大文字と小文字を区別します。 | principal担当者をポリシーキーとして使用します。 |
tag_key | はい | Tagキー。要件に合致するTagキーを識別するためのものであり、ポリシーキーと同じ値を取ります。1つのTagポリシー内で複数のTagキーを定義できます。大文字と小文字を区別します。 | principal担当者をTagキーとして使用します。 |
tag_value | はい | Tag値。Tagキーの要件に合致するTag値 | value氏名1をTag値に割り当てます。principal責任者を許可された値とします。 |
tag_value_dynamic | いいえ | Tag値はダイナミック値を使用するかどうか。有効にした場合、サブユーザーが同名のTagキーにバインドされていることを確保する必要があり、対応する値に基づきます。 | onの場合、動的に当該サブユーザーの同名のTag値を取得します。 |
resource_type_scope | はい | リソースタイプ範囲。Tagキー値として指定された有効範囲 | 有効範囲を
cvm:instance,cvm:volumeに限定します。 |
detection | いいえ | システムはデフォルトで有効です(入力の有無にかかわらず)。 | onの場合、Tagキー値が有効なリソース範囲における検出機能を有効化します。 |
correction | いいえ | オート修復を有効にするかどうか。Tagキー値の自動修復が必要かどうかを制御するスイッチとします。 | onの場合、Tagキー値が有効なリソース範囲におけるオート修復機能を有効化します。 |
auto_assign | いいえ | 自動割り当てを有効にするかどうか。Tagキーを編集Tagの位置にデフォルトで表示する必要があるかどうかを示します。 | onの場合、Tagキーが有効なリソース範囲における自動割り当て機能を有効化します。 |
auto_assign_value | いいえ | 自動割り当てを有効にするかどうか。Tag値を編集Tagの位置にデフォルトで表示する必要があるかどうかを示します。 | onの場合、Tag値が有効なリソース範囲における自動割り当て機能を有効化します。 |
enforced_for | いいえ | 強制実行を有効化するかどうか。要求を満たさないTagキーと値のバインドをブロックする必要があるかどうかを示します。 | *は、Tagキー値すべてのリソースの強制実行機能を有効にします。 |
ポリシーの長さ制限
各ポリシーの長さは4096文字までに制限されており、これを超えるとポリシーを送信できません。上限を超える場合は、新しいポリシーを追加し直してください。詳細はTagポリシーの概要における使用制限を参照してください。
構文の有効化ルール
有効対象
Tagポリシーを複数のユーザーエンティティ(ルートアカウント、ルートアカウント配下のサブユーザー)にバインドできますが、バインドされたユーザーに対してのみ有効になります。
Tagポリシーをルートアカウントにバインドする場合、そのルートアカウントにのみ影響します。
Tagポリシーをサブユーザーにバインドする場合、そのサブユーザーのみに影響します。
有効時間
有効対象がリソースTagを操作する際、Tagポリシーに基づき対応するリソースが対応するTagキー値をバインドしているかどうかをリアルタイムで検出します。この処理の遅延時間は10S以内です。
有効化の優先順位
1つのユーザーエンティティに複数のTagポリシーをバインドできますが、最終的には複数のTagポリシーを1つの有効ポリシーに統合します。統合ルールは以下の通りです:
1. もしポリシーキーが重複していない場合、複数のポリシーキーを適用しますが、有効なポリシー内のすべてのポリシーキーは50個を超えません。もし超えた場合、51番目からはマージされません。
2. ポリシーキーが重複しており、かつ各ポリシーキーで指定されたTag値のルールが異なる場合、最初にバインドされたTagポリシーを優先します。例えば、ポリシーAはkey=1の場合にvalue=1を要求しますが、ポリシーBはkey=1の場合にvalue=2を要求します。しかしポリシーAが先にユーザーにバインドされているため、ポリシーAを優先します。
有効記号
演算子は、Tagポリシーにおける演算ルールを制御するために使用されます。これらの演算子は現在、代入演算子のみをサポートしています。
演算子 | 必須かどうか | 使用説明 | 例の意味への対応 |
@@assign | はい | 指定。指定された内容を指定された要素に割り当てるために使用されます。 | ポリシーキー、Tagキーを principal担当者として指定します。Tag値を バリュー氏名1に指定します。リソースタイプの範囲を cvm:instance,cvm:volumeに指定します。自動修復を onにするかどうかを指定します。 |
フィードバック