Prácticas recomendadas sobre

etiquetado
Implementación eficaz de una estrategia de etiquetado de
recursos de AWS

Diciembre de 2018
© 2018, Amazon Web Services, Inc. o sus empresas afiliadas. Todos los derechos reservados.

Avisos
Este documento se suministra únicamente con fines informativos. Representa la oferta
actual de productos y prácticas de AWS a partir de la fecha de publicación de este
documento. Dichas prácticas y productos pueden modificarse sin previo aviso. Los clientes
son responsables de realizar sus propias evaluaciones independientes de la información
contenida en este documento y de cualquier uso de los productos o servicios de AWS, cada
uno de los cuales se ofrece “tal cual”, sin garantía de ningún tipo, ya sea explícita o implícita.
Mediante este documento no se genera ninguna garantía, declaración, compromiso
contractual, condición ni certeza por parte de AWS, sus filiales, proveedores o licenciantes.
Las responsabilidades y obligaciones de AWS con respecto a sus clientes se controlan
mediante los acuerdos de AWS y este documento no forma parte ni modifica ningún acuerdo
entre AWS y sus clientes.
Contenido
Introducción: casos de uso de etiquetado 7

Etiquetas para los grupos de recursos y la organización de la consola de AWS 7

Etiquetas de asignación de costes 7

Etiquetas de Automatización 8

Etiquetas de compatibilidad de operaciones 8

Etiquetas de control de acceso 8

Etiquetas de gestión de riesgos de seguridad 8

Prácticas recomendadas para identificar los requisitos de las etiquetas 9

Forme a un equipo multidisciplinar para identificar los requisitos de las etiquetaslas

etiquetas de forma coherente 9

Use las etiquetas de forma coherente 9

Asigne propietarios para definir las propuestas de valor de las etiquetas 10

Concéntrese en las etiquetas obligatorias y condicionalmente obligatorias 10

Comience con poco; menos es más 10

Prácticas recomendadas sobre nomenclatura de etiquetas y recursos 11

Adopte una estrategia de estandarización para la nomenclatura de las etiquetas 11

Estandarice nombres para recursos de AWS 12

Instancias EC2 12

Otros tipos de recursos de AWS 13

Prácticas recomendadas para las etiquetas de asignación de costes 14

Adapte las etiquetas de asignación de costes a las dimensiones de informes

financieros 14
 Use cuentas vinculadas y etiquetas de asignación de costes 14

Evite etiquetas de asignación de costes de múltiples valores 15

Etiquete todo 16

Prácticas recomendadas para la gobernanza de etiquetas y la administración de datos

16

Integre con fuentes de datos oficiales 16

Use los valores de etiquetas compuestos con prudencia 17

Use la automatización para etiquetar recursos de forma proactiva 19

Limite los valores de las etiquetas con AWS Service Catalog 19

Propague los valores de las etiquetas en recursos relacionados 20

Bloquee las etiquetas que se utilicen para el control de acceso 20

Corrija los recursos sin etiquetas 21

Implemente un proceso de gobernanza de etiquetas 22

Conclusión 22

Colaboradores 22

Referencias 23

Casos de uso de etiquetado 23

Adapte las etiquetas a las dimensiones de informes financieros 23

Use cuentas vinculadas y etiquetas de asignación de costes 23

Etiquete todo 23

Integre con fuentes de datos oficiales 23

Use los valores de etiquetas compuestos con prudencia 23

Use la automatización para etiquetar recursos de forma proactiva 24

 Limite los valores de las etiquetas con AWS Service Catalog 24

Propague los valores de las etiquetas en recursos relacionados 24

Bloquee las etiquetas que se utilicen para el control de acceso 24

Corrija los recursos sin etiquetas 25

Revisiones del documento 25

Resumen
Amazon Web Services permite que los clientes asignen metadatos a sus recursos de
AWS en forma de etiquetas. Una etiqueta es una simple marca que consiste en una
clave y un valor opcional definidos por el cliente, y puede simplificar la
administración, la búsqueda y el filtrado de recursos. A pesar de que no existen tipos
de etiquetas inherentes, estas permiten que los clientes ordenen los recursos en
categorías según su propósito, propietario, entorno u otros criterios.

A medida que aumente el uso que se hace de los servicios de AWS, es posible que se
complique la administración eficaz de los recursos si no se utilizan etiquetas. Sin
embargo, no siempre resulta evidente cómo determinar qué etiquetas usar y para
qué tipo de recursos. El objetivo de este documento técnico es ayudarlo a desarrollar
una estrategia de etiquetado que le permita administrar los recursos de AWS de
forma más eficaz.
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Introducción: casos de uso de etiquetado

Amazon Web Services permite que los clientes asignen metadatos a sus recursos de
AWS en forma de etiquetas. Una etiqueta es una simple marca que consiste en una
clave y un valor opcional definidos por el cliente, y puede simplificar la administración,
la búsqueda y el filtrado de recursos por propósito, propietario, entorno u otros
criterios. Las etiquetas de AWS se pueden usar para muchos propósitos.

Etiquetas para los grupos de recursos y la organización de

la consola de AWS
Las etiquetas son una buena forma de organizar los recursos de AWS en la consola de
administración de AWS. Puede configurar etiquetas para que se muestren con los
recursos. También puede buscar y filtrar por etiqueta. De forma predeterminada, el
servicio de AWS organiza la consola de administración de AWS. Sin embargo, la
función de grupos de recursos permite que los clientes creen una consola
personalizada que organice y combine los recursos de AWS en función de una o más
etiquetas (o porciones de etiquetas). Con esta función, los clientes pueden consolidar
y visualizar datos de aplicaciones que consisten en varios servicios y recursos en un
solo lugar.

Etiquetas de asignación de costes

El informe de uso y coste y AWS Cost Explorer admiten la capacidad de desglosar los
costes de AWS por etiqueta. Normalmente, los clientes usan etiquetas empresariales,
como centro de coste, unidad empresarial o proyecto, para asociar los costes de AWS
a dimensiones de informes financieros tradicionales de la organización. No obstante,
un informe de asignación de costes puede incluir cualquier etiqueta. Esto permite
que los clientes asocien fácilmente los costes a dimensiones técnicas o de seguridad,
como aplicaciones, entornos o programas de conformidad específicos. La tabla 1
muestra un informe de asignación de costes incompleto.

Tabla 1: informe de asignación de costes incompleto

Página 7
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Etiquetas de Automatización
Las etiquetas específicas de recursos o servicios suelen usarse para filtrar recursos
durante las actividades de automatización de infraestructuras. Las etiquetas
pueden usarse para participar en tareas automatizadas (o para dejar de hacerlo), o
bien para identificar versiones específicas de recursos para archivar, actualizar o
eliminar. Por ejemplo, muchos clientes ejecutan secuencias de comandos
automatizadas para iniciar o detener que desactivan entornos de desarrollo fuera
de las horas de trabajo con el objetivo de reducir los costes. En este caso, las
etiquetas de las instancias Amazon Elastic Compute Cloud (Amazon EC2) suponen
una forma sencilla de identificar las instancias de desarrollo específicas para
participar o no en este proceso.

Etiquetas de compatibilidad de operaciones

Las etiquetas se pueden usar para integrar la compatibilidad de los recursos de AWS
en las operaciones diarias, por ejemplo, los procesos de administración de servicios de
TI, como la administración de incidentes. Por ejemplo, los equipos de compatibilidad
del nivel 1 podrían usar etiquetas para dirigir el flujo de trabajo y llevar a cabo la
asignación de servicios empresariales como parte del proceso de clasificación cuando
un sistema de supervisión activa una alarma. Muchos clientes también usan las
etiquetas para permitir procesos como la generación de copias de seguridad y la
restauración, asícomo también la implementación de parches del sistema.

Etiquetas de control de acceso

Las políticas de AWS Identity and Access Management (IAM) admiten las condiciones
basadas en etiquetas, lo que permite que los clientes limiten los permisos según
etiquetas específicas y sus valores. Por ejemplo, los permisos de usuario o rol de IAM
pueden incluir condiciones para limitar el acceso a entornos específicos (por ejemplo,
desarrollo, pruebas o producción) o a redes de Amazon Virtual Private Cloud (Amazon
VPC) en función de sus etiquetas.

Etiquetas de gestión de riesgos de seguridad

Las etiquetas se pueden asignar para identificar recursos que requieren prácticas de
gestión de riesgos de seguridad más intensas, por ejemplo, instancias Amazon EC2 que
alojan aplicaciones que procesan datos confidenciales. Esto puede permitir
comprobaciones de conformidad automatizadas para garantizar que los controles de
acceso apropiados estén implementados y la conformidad con los parches esté
actualizada, entre otros.

Las siguientes secciones identifican prácticas recomendadas para desarrollar una

estrategia de etiquetado integral.

Página 8
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Prácticas recomendadas para identificar los

requisitos de las etiquetas
Forme a un equipo multidisciplinar para identificar los
requisitos de las etiquetaslas etiquetas de forma coherente
Tal y como se mencionó en la introducción, las etiquetas se pueden usar para
diversos propósitos. Para desarrollar una estrategia integral, lo mejor es formar un
equipo multidisciplinar para que identifique los requisitos de etiquetado. Las partes
interesadas de las etiquetas en una organización suelen incluir Finanzas de TI,
Seguridad de la Información, propietarios de aplicaciones, equipos de
automatización de la nube, middleware y equipos de administración de bases de
datos, asícomo también propietarios de procesos de funciones como la
implementación de parches, la generación de copias de seguridad, la restauración,
la supervisión, la programación de trabajos y la recuperación ante desastres.

Organice talleres sobre requisitos del etiquetado con representantes de todos los
grupos interesados en lugar de reunirse con cada una de estas áreas funcionales por
separado para identificar sus necesidades de etiquetado. De esta forma, cada grupo
puede escuchar las perspectivas de los otros e integrar sus requisitos de forma más
eficaz en su estrategia general.

Use las etiquetas de forma coherente

Es importante adoptar una estrategia coherente a la hora de usar etiquetas en los
recursos de AWS. Si busca usar etiquetas para casos de uso específicos, tal y como se
muestra en los ejemplos de la introducción, tendrá que depender del uso coherente
de las etiquetas y sus valores. Por ejemplo, si una parte importante de sus recursos de
AWS carece de las etiquetas que se usan para asignar costes, el análisis de costes y el
proceso de generación de informes será más complicado y laborioso; además,
seguramente estos serán menos rigurosos. Asimismo, si los recursos carecen de una
etiqueta que identifica la presencia de datos confidenciales, es posible que tenga que
asumir que todos los recursos parecidos contienen datos de este tipo, a modo de
medida preventiva.

Se requiere una estrategia coherente incluso cuando hablamos de etiquetas

optativas. Por ejemplo, si emplea una estrategia de inclusión para entornos de
desarrollo que se detienen automáticamente fuera de las horas de trabajo,
identifique una única etiqueta para este propósito en lugar de permitir que
diferentes equipos o departamentos usen la suya propia, lo cual daría como
resultado la existencia de muchas etiquetas diferentes con el mismo propósito.

Página 9
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Asigne propietarios para definir las propuestas de valor

de las etiquetas
Considere las etiquetas desde una perspectiva de los costes y beneficios cuando
decida una lista de las etiquetas obligatorias. Aunque AWS no cobra ninguna tarifa
por el uso de etiquetas, puede que haya costes indirectos (por ejemplo, la mano de
obra que se necesita para asignar y mantener los valores de etiquetas correctos
para cada recurso de AWS relevante).

Para garantizar que las etiquetas sean útiles, asigne un propietario a cada una. El
propietario de la etiqueta tiene la responsabilidad de expresar claramente la
propuesta de valor de esta. Contar con propietarios para las etiquetas puede ser útil
para evitar costes innecesarios por el mantenimiento de etiquetas que no se usan.

Concéntrese en las etiquetas obligatorias y

condicionalmente obligatorias
Las etiquetas pueden ser obligatorias, condicionalmente obligatorias u optativas. Las
etiquetas condicionalmente obligatorias solo se requieren en ciertas circunstancias
(por ejemplo, si una aplicación procesa datos confidenciales, es posible que se necesite
una etiqueta para identificar la clasificación de datos correspondiente, como en el caso
de la información de identificación personal o la información sanitaria protegida).

Al identificar requisitos de etiquetado, céntrese en las etiquetas obligatorias y

condicionalmente obligatorias. Permita las etiquetas optativas, siempre y cuando se
ajusten a sus políticas de gobernanza y nomenclatura de etiquetas, con el fin de
reforzar su organización para que defina nuevas etiquetas de cara a requisitos de
aplicaciones personalizados o imprevistos.

Comience con poco; menos es más

Puede revertir las decisiones sobre etiquetado, lo que le brinda la flexibilidad para
editar o cambiar como sea necesario en el futuro. Sin embargo, hay una excepción,
las etiquetas de asignación de costes, que se incluyen en los informes de asignación
de costes mensuales de AWS. Los datos de estos informes se basan en el uso de los
servicios de AWS y se recopilan mensualmente. De este modo, las etiquetas de
asignación de costes se activan en el momento de su introducción. La nueva etiqueta
no se tendrá en cuenta en los informes de asignación de costes anteriores.

Las etiquetas lo ayudan a identificar conjuntos de recursos y se pueden eliminar

cuando ya no sean necesarias. Se puede aplicar una nueva etiqueta a un conjunto de
recursos de forma masiva; sin embargo, tiene que identificar los recursos que
necesitan una nueva etiqueta y el valor que hay que asignar a dichos recursos.

Página 10
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Empiece con un conjunto más pequeño de etiquetas que sean necesarias y cree
nuevas etiquetas conformen surjan necesidades. Es más recomendable adoptar
esta estrategia que especificar demasiadas etiquetas que se esperan tener que
utilizar en el futuro.

Prácticas recomendadas sobre nomenclatura

de etiquetas y recursos
Adopte una estrategia de estandarización para la
nomenclatura de las etiquetas
Tenga en cuenta que los nombres de las etiquetas de AWS distinguen entre
mayúsculas y minúsculas para garantizar que estas se usen de forma coherente. Por
ejemplo, las etiquetas CostCenter y costcenter son distintas, por lo que una podría
estar configurada como una etiqueta de asignación de costes para el análisis y los
informes financieros, y la otra, no. De forma similar, la etiqueta Name aparece en la
consola de AWS para muchos recursos, pero la etiqueta name, no.

Varias etiquetas vienen predefinidas por AWS o creadas automáticamente por

varios servicios de AWS. Los nombres de muchas etiquetas definidas por AWS se
escriben con todas las letras en minúsculas, con guiones separando las palabras del
nombre y prefijos para identificar el servicio origen de la etiqueta. Por ejemplo:
• aws:ec2spot:fleet-request-id identifica la solicitud de instancia de spot de
Amazon EC2 que lanzó la instancia.

• aws:cloudformation:stack-name identifica la pila de AWS CloudFormation que

creó el recurso.

• lambda-console:blueprint identifica el modelo usado como plantilla para la

función AWS Lambda.

• elasticbeanstalk:environment-name identifica la aplicación que creó el recurso.

Considere la posibilidad de escribir los nombres de las etiquetas con todas las letras
en minúsculas, con guiones separando las palabras y un prefijo que identifique el
nombre de la organización o nombre abreviado. Por ejemplo, en el caso de una
empresa ficticia llamada AnyCompany, podría definir etiquetas como las siguientes:

• anycompany:cost-center para identificar el código del centro de coste interno.

• anycompany:environment-type para identificar si el entorno es

de desarrollo, pruebas o producción.

Página 11
Amazon Web Services: Prácticas recomendadas sobre etiquetado

• anycompany:application-id para identificar la aplicación para la que se

creó el recurso.

El prefijo garantiza que las etiquetas muestren claramente que fue su organización
la que las definió y no AWS o una función de terceros que pueda estar usando.
Escribir todo en minúsculas con guiones para separar las palabras evita confusiones
acerca de cómo usar las mayúsculas en el nombre de una etiqueta. Por ejemplo:
anycompany:project-id es más fácil de recordar que ANYCOMPANY:ProjectID,
anycompany:projectID o Anycompany:ProjectId.

Estandarice nombres para recursos de AWS

Asignar nombres a recursos de AWS es otra dimensión importante del etiquetado que
hay que tener en cuenta. Este es el valor que se asigna a la etiqueta Name de AWS
predefinida (o, en algunos casos, mediante otros medios) y se usa principalmente en
la consola de administración de AWS. Para entender esta idea, es probable que tener
docenas de instancias EC2 llamadas MyWebServer no sea útil.
Desarrollar un estándar de nomenclatura para los recursos de AWS lo ayudará a
mantener los recursos organizados. Se puede usar en los informes de uso y coste de
AWS para agrupar recursos relacionados (consulte Propague los valores de las
etiquetas en recursos relacionados a continuación).
Instancias EC2
Nombrar instancias EC2 es un buen punto de partida. La mayoría de las
organizaciones ya han reconocido la necesidad de estandarizar los nombres de hosts
de servidores y cuentan con prácticas vigentes. Por ejemplo, una organización puede
crear nombres de hosts en función de diversos componentes, como una ubicación
física, un tipo de entorno (desarrollo, pruebas, producción), un rol o propósito, un ID
de aplicación y un identificador único:

Primero, fíjese en que los diversos componentes del proceso de creación de un

nombre de host como este son buenos candidatos para etiquetas de AWS
individuales: si fueron importantes en el pasado, es probable que lo vuelvan a ser en
el futuro. Incluso si estos elementos se captan como etiquetas individuales e

Página 12
Amazon Web Services: Prácticas recomendadas sobre etiquetado

independientes, sigue siendo razonable continuar usando este estilo de

nomenclatura de servidores para preservar la coherencia y sustituir un código de
ubicación física diferente para representar a AWS o una región de AWS.

Sin embargo, si empieza a alejarse de tratar sus instancias virtuales como si

fuesen mascotas y más como si fueran ganado (lo recomendable), querrá
automatizar la asignación de nombres de servidores para evitar tener que
asignarlos manualmente. Como alternativa, podría usar tan solo el ID de instancia
de AWS (que es globalmente único) para los nombres de sus servidores.

En cualquier caso, si también crea nombres de DNS para los servidores, una buena
idea es asociar el valor usado para la etiqueta Name al Fully Qualified Domain Name
(FQDN, Nombre de dominio completo) para la instancia EC2. Asípues, si el nombre de
su instancia es phlpwcspweb3, el FQDN del servidor podría ser
phlpwcspweb3.anycompany.com. Si prefiere usar el ID de instancia de la etiqueta
Name, debería usarlo en el FQDN (por ejemplo, i-06599a38675.anycompany.com).

Otros tipos de recursos de AWS

Una estrategia para otros tipos de recursos de AWS es adoptar una notación de
puntos que consista en los siguientes componentes de nombres:

1. account-name prefix: por ejemplo, producción, desarrollo, servicios

compartidos, auditoría, etc.
2. resource-name: campo libre sin formato para el nombre lógico del recurso.
3. type suffix: por ejemplo, subnet, sg, role, política, kms-key, etc.
Consulte la tabla 2 para ver ejemplos de nombres de etiquetas de otros tipos de
recursos de AWS.
Tabla 2: nombres de etiquetas para otros tipos de recursos de AWS

Tipo de Nombre de recurso account-name resource- tipo

recurso de AWS de name
ejemplo
Subred prod.public-az1.subnet Producción public-az1 subnet
Subred servicios.az2.subnet Servicios az2 subnet
compartidos
Grupo de prod.webserver.sg Producción webserver sg
seguridad
Grupo de des.webserver.sg Desarrollo webserver sg
seguridad

Página 13
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Tipo de Nombre de recurso account-name resource- tipo

recurso de AWS de name
ejemplo
Grupo de servicios.dmz.sg Servicios dmz sg
seguridad compartidos
Rol de IAM prod.ec2-s3-access.role Producción ec2-s3- role
access
Rol de IAM rd.ec2-s3-access.role Recupera ec2-s3- role
ción de access
desastres
Clave de KMS prod.anycompany.kms- Producción AnyCompany kms-
key key

Algunos tipos de recursos limitan el conjunto de caracteres que se pueden usar

para el nombre. En estos casos, se pueden reemplazar los puntos por guiones.

Prácticas recomendadas para las etiquetas de

asignación de costes
Adapte las etiquetas de asignación de costes a las
dimensiones de informes financieros
AWS brinda informes de costes detallados y extractos de datos para ayudarlo a
supervisar y administrar la inversión en AWS. Cuando designa etiquetas específicas
como etiquetas de asignación de costes en la consola de facturación y administración
de costes de AWS, los datos de facturación de los recursos de AWS las incluirán.
Recuerde, la información de facturación refleja datos de un periodo de tiempo
concreto, asíque las etiquetas de asignación de costes aparecen en los datos de
facturación solo tras haberlas (1) especificado en la consola de facturación y
administración de costes, y (2) usado para etiquetar recursos.

Lo lógico para identificar las etiquetas de asignación de costes que necesita es

consultar las prácticas de informes financieros de TI. Normalmente, los informes
financieros tratan una variedad de dimensiones, como unidad empresarial, centro de
coste, producto, área geográfica o departamento. Adaptar las etiquetas de
asignación de costes a estas dimensiones de informes financieros simplifica y mejora
la administración de costes de AWS.

Use cuentas vinculadas y etiquetas de asignación de costes

Página 14
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Los recursos de AWS se crean dentro de las cuentas. Los informes y extractos de
facturación incluyen el número de la cuenta de AWS para todos los recursos que se
pueden facturar, independientemente de si estos tienen etiquetas o no. Puede tener
varias cuentas, asíque crear diferentes cuentas para distintas entidades financieras de
la organización es una forma de separar claramente los costes.

AWS brinda opciones para la facturación unificada. Para ello, asocia cuentas de pago y
cuentas vinculadas. También puede usar AWS Organizations para crear cuentas
maestras con cuentas de miembros asociadas a fin de aprovechar la administración
centralizada adicional y las capacidades de gobernanza.

Las organizaciones pueden designar la estructura de su cuenta en función de varios

factores, como el aislamiento fiscal, aislamiento administrativo, aislamiento de
acceso, aislamiento de la onda expansiva, de ingeniería y sobre las consideraciones
de costes (consulte la sección Referencias para encontrar enlaces a artículos
relevantes en AWS Answers). Entre los ejemplos se incluyen:

• La creación de cuentas separadas para producción y no producción

con el fin de separar las comunicaciones y el acceso de estos entornos.

• La creación de una cuenta independiente para los componentes y servicios

públicos de los servicios compartidos.

• Crear una cuenta de auditoría independiente para recopilar archivos

de registros de supervisión y seguridad forense.

• La creación de cuentas independientes para la recuperación ante desastres.

Comprenda la estructura de cuentas de la organización cuando desarrolle su

estrategia de etiquetado, pues la estructura puede haber incluido la adaptación de
algunas de las dimensiones de informes financieros.

Evite etiquetas de asignación de costes de múltiples valores

En el caso de los recursos compartidos, es posible que necesite asignar costes a
varias aplicaciones, proyectos o departamentos. Una estrategia para asignar
costes es crear etiquetas de varios valores que incluyen una serie de códigos de
asignación, posiblemente con sus respectivos índices de asignación. Por ejemplo:

anycompany:cost-center = 1600|0.25|1625|0.20|1731|0.50|1744|0.05

Si se determina que una etiqueta es de asignación de costes, los valores de dicha

etiqueta aparecerán en los datos de facturación. Sin embargo, esta estrategia
implica dos desafíos: (1) los datos se tendrán que procesar posteriormente para
analizar los valores de las etiquetas de varios valores y producir registros más
detallados, y (2) tendrá que establecer un proceso para establecer y mantener los

Página 15
Amazon Web Services: Prácticas recomendadas sobre etiquetado

valores de las etiquetas con exactitud.

Si es posible, considere la posibilidad de identificar mecanismos existentes para la

imputación de costes y costes compartidos en la organización (o cree unos nuevos) y
asocie los recursos de AWS compartidos a códigos de asignación de costes individuales
definidos por ese mecanismo.

Etiquete todo
Cuando desarrolle una estrategia de etiquetado, procure centrarse solo en el
conjunto de etiquetas necesarias para sus instancias EC2. Recuerde que AWS le
permite etiquetar la mayoría de tipos de recursos que generan costes en sus
informes de facturación. Asigne las etiquetas de asignación de costes a todos los
tipos de recursos que admiten el etiquetado para que los análisis e informes
financieros muestren los datos más rigurosos.

Prácticas recomendadas para la gobernanza de

etiquetas y la administración de datos
Integre con fuentes de datos oficiales
Puede optar por incluir etiquetas en sus recursos de AWS que ya tengan datos
disponibles en la organización. Por ejemplo, si usa una base de datos de
administración de configuraciones (CMDB), puede que ya tenga un sistema
preparado para almacenar y mantener los metadatos sobre sus aplicaciones, bases
de datos y entornos. Los elementos de configuración de su CMDB pueden tener
atributos, como el propietario del servidor o la aplicación, grupos de resolución de
problemas técnicos, código de cargo o centro de coste, clasificación de datos, etc.

En lugar de recopilar y mantener de forma redundante este tipo de metadatos en las

etiquetas de AWS, piense en integrar su CMDB con AWS. La integración puede ser
bidireccional, lo que significa que los datos provenientes de la CMDB se pueden
pegar en las etiquetas de los recursos de AWS, asícomo que los datos que provienen
de AWS (por ejemplo, direcciones IP, ID de instancias y tipos de instancias) se pueden
almacenar como atributos en los elementos de configuración.

Si integra su CMDB con AWS de esta forma, amplíe la convención de nomenclatura de

etiquetas de AWS para incluir un prefijo adicional que permita identificar etiquetas con
valores de origen externo. Por ejemplo:

• anycompany:cmdb:application-id: el ID del elemento de configuración de la

CMDB de la aplicación propietaria del recurso.

Página 16
Amazon Web Services: Prácticas recomendadas sobre etiquetado

• anycompany:cmdb:cost-center: el código del centro de coste asociado a la

aplicación propietaria, proveniente de la CMDB.

• anycompany:cmdb:application-owner: el individuo o grupo propietario de la

aplicación asociada a este recurso, proveniente de la CMDB.

Esto aclara que las etiquetas se proporcionan por conveniencia y que el origen oficial
de los datos es la CMDB. Una práctica recomendada para la administración de datos
generales es hacer referencia a fuentes de datos oficiales en lugar de mantener los
mismos datos en varios sistemas de forma redundante.

Use los valores de etiquetas compuestos con prudencia

En sus inicios, AWS limitaba el número de etiquetas de un determinado recurso a
10, con lo que algunas organizaciones combinaban diversos elementos de datos en
una sola etiqueta mediante el uso de delimitadores para separar los diferentes
atributos. Por ejemplo:

EnvironmentType = Development;Webserver;Tomcat-6.2;Tier 2

En 2016, el número de etiquetas por recurso se aumentó a 50 (con algunas

excepciones, como los objetos de S3). Debido a esto, se suele recomendar seguir una
buena práctica de administración de datos que consiste en incluir solo un atributo de
datos por etiqueta.

No obstante, se pueden dar algunas situaciones en las que sea lógico consolidar
varios atributos relacionados. Entre los ejemplos se incluyen:

1. Para información de contacto, tal y como se muestra en la tabla 3.

Tabla 3: ejemplos de valores de etiquetas ú nicos y compuestos

anycompany:business-contact = John
Smith;john.smith@anycompany.com;+12015551212
Valores de etiquetas
compuestos anycompany:technical-contact = Susan
Jones;sue.jones@anycompany.com;+12015551213

anycompany:business-contact-name = John Smith

Valores de etiquetas
anycompany:business-contact-email = john.smith@anycompany.com
ú nicos

anycompany:business-contact-phone = +12015551212

Página 17
Amazon Web Services: Prácticas recomendadas sobre etiquetado

anycompany:technical-contact-name = Susan Jones

anycompany:technical-contact-email = sue.jones@anycompany.com

anycompany:technical-contact-phone = +12015551213

2. Para etiquetas de varios valores en las que un único atributo pueda tener
varios valores homogéneos. Por ejemplo, un recurso que admita varias
aplicaciones puede usar una lista delimitada por tubería:

anycompany:cmdb:application-ids = APP012|APP045|APP320|APP450

Sin embargo, antes de presentar las etiquetas de varios valores, tenga en

cuenta el origen de la información y cómo se usará esta si se captura en una
etiqueta de AWS. Si existe un origen oficial para los datos en cuestión,
cualquier proceso que requiera la información podrá entregarse mejor si se
hace referencia al origen oficial directamente, en lugar de a una etiqueta.
Además, tal y como se recomienda en este documento, evite las etiquetas de
asignación de costes de varios valores en la medida de lo posible.

3. Para las etiquetas que se usan con propósitos de automatización. Estas

etiquetas suelen capturar información sobre el estado de automatización e
inclusión. Por ejemplo, si implementa una función de AWS Lambda que le
permita hacer automáticamente una copia de seguridad de volúmenes de EBS
mediante instancias, podría usar una etiqueta que contenga un documento
JSON corto:

anycompany:auto-snapshot = { “frequency”: “daily”, “last-backup”:

“2018-04-19T21:18:00.000+0000” }

Página 18
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Hay muchas soluciones de automatización disponibles en los laboratorios de AWS

(https://github.com/awslabs) y en AWS Marketplace
(https://aws.amazon.com/marketplace) que hacen uso de los valores de etiquetas
compuestos en sus implementaciones.

Use la automatización para etiquetar recursos

de forma proactiva
AWS ofrece una variedad de funciones para que pueda implementar prácticas de
gobernanza de etiquetas proactivas que consisten en garantizar que las etiquetas
se apliquen de manera coherente al crear recursos.

AWS CloudFormation proporciona un lenguaje común para aprovisionar todos los

recursos de la infraestructura en su entorno de nube. Las plantillas de CloudFormation
son archivos de texto sencillos que crean recursos de AWS de forma segura y
automatizada. Cuando crea recursos de AWS con plantillas de AWS CloudFormation,
puede usar la propiedad de etiquetas de recursos de CloudFormation para aplicar
etiquetas a ciertos tipos de recursos en el momento de su creación.

AWS Service Catalog permite a las organizaciones crear y administrar catálogos de

servicios de TI cuyo uso está aprobado para AWS. En estos servicios de TI, se incluye
todo lo relacionado con imágenes de máquinas virtuales, servidores, software y bases
de datos para completar los entornos de aplicaciones de múltiples niveles. AWS
Service Catalog brinda a los usuarios una capacidad de autoservicio, lo que les
permite aprovisionar los servicios que necesitan, a la vez que lo ayuda a mantener una
gobernanza coherente, como la aplicación de etiquetas obligatorias y sus valores.

AWS Identity and Access Management (IAM) le permite administrar de forma segura
el acceso a los servicios y recursos de AWS. Con IAM, puede crear y administrar
usuarios y grupos de AWS, asícomo utilizar permisos para conceder o denegar el
acceso de estos a los recursos de AWS. Cuando crea políticas de IAM, puede
especificar los permisos de nivel de recurso, lo que incluye permisos específicos para
crear y eliminar etiquetas. Además, puede incluir claves de condición, como
aws:RequestTag y aws:TagKeys, las cuales evitan que se creen recursos si no hay
etiquetas o valores específicos.

Limite los valores de las etiquetas con AWS Service Catalog

Las etiquetas no son útiles si les faltan valores de datos o estos no son válidos. Si la
automatización establece los valores de las etiquetas, el código de automatización se
puede revisar, probar y mejorar para garantizar que se usan los valores de etiquetas
válidos. Cuando se introducen las etiquetas manualmente, puede que se produzca un
error humano.

Página 19
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Una forma de minimizar las probabilidades de que esto suceda, es usar AWS Service
Catalog. Una de las funciones clave de AWS Service Catalog son las bibliotecas
TagOption. Le permiten especificar etiquetas obligatorias, asícomo su rango de
valores permitidos. AWS Service Catalog organiza sus ofertas de servicios de AWS
aprobadas o productos en múltiples portafolios. Puede usar las bibliotecas
TagOption a nivel de portafolio o, incluso, en los productos individuales, para
especificar un rango de valores permitidos para cada etiqueta.

Propague los valores de las etiquetas en recursos

relacionados
Muchos recursos de AWS están relacionados. Por ejemplo, puede que una instancia
EC2 tenga varios volúmenes de Elastic Block Storage (EBS) y una o más interfaces de
redes elásticas. Por cada volumen EBS se pueden crear en el tiempo muchas
instantáneas EBS.

A fin de preservar la coherencia, una práctica recomendada es propagar las etiquetas

y sus valores en los recursos relacionados. Si las plantillas de AWS CloudFormation
crean recursos, se crean juntos en grupos llamados pilas a partir de una secuencia
común de comandos automatizados, que se puede configurar para establecer valores
de etiquetas en todos los recursos de la pila. En el caso de los recursos que no se
creen mediante AWS CloudFormation, aún puede implementar la automatización
para propagar automáticamente las etiquetas a partir de recursos relacionados. Por
ejemplo, cuando se crean las instantáneas de EBS, puede copiar cualquier etiqueta
presente en el volumen de EBS y pegarla en la instantánea. De forma parecida, puede
usar CloudWatch Events si quiere activar una función de Lambda para copiar
etiquetas de un bucket de S3 dentro del bucket siempre que se creen objetos de S3.

Bloquee las etiquetas que se utilicen para el control

de acceso
Si decide usar etiquetas para complementar sus políticas de control de acceso, tendrá
que garantizar que limita el acceso para crear, eliminar y modificar esas etiquetas.
Por ejemplo, puede crear políticas de IAM que usan lógica condicional para conceder
acceso a (1) instancias EC2 de un grupo de IAM creado para desarrolladores y (2) para
instancias EC2 etiquetadas como de desarrollo. Los desarrolladores pueden poner
aún más limitaciones para una aplicación particular en función de una condición de la
política de IAM que identifica el ID de la aplicación relevante.

Mientras que el uso de etiquetas para este propósito es conveniente, se puede eludir
fácilmente si los usuarios tienen la capacidad de modificar valores de etiquetas para
obtener un acceso que no les pertenece. Adopte medidas preventivas para evitarlo.
Para ello, asegúrese de que sus políticas de IAM incluyan reglas de denegación para
acciones como ec2:CreateTags y ec2:DeleteTags.

Página 20
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Con todo, las políticas de IAM que conceden acceso a recursos en funció n de los
valores de las etiquetas deberían usarse con precaución. Además, el equipo de
Seguridad debería aprobarlas. Puede optar por usar esta estrategia por razones de
comodidad en ciertas situaciones. Por ejemplo, use políticas de IAM estrictas (sin
condiciones basadas en etiquetas) para restringir el acceso a entornos de
producción; pero, en el caso de los entornos de desarrollo, conceda acceso a
recursos específicos de aplicaciones mediante etiquetas para que el trabajo de los
desarrolladores no repercuta sin querer en el trabajo de otros.

Corrija los recursos sin etiquetas

La automatización y la administración de etiquetas proactivas son importantes, pero
no siempre son eficaces. Muchos clientes también adoptan estrategias de gobernanza
de etiquetas reactivas para identificar recursos que no están debidamente etiquetados
y asícorregirlos. Las estrategias de gobernanza de etiquetas reactivas incluyen: (1) usar
programáticamente funciones como la API de etiquetado de recursos, las reglas de
AWS Config y las secuencias de comandos personalizadas; o (2) usar manualmente Tag
Editor y los informes de facturación detallados.

Tag Editor es una función de la consola de administración de AWS que le permite

buscar recursos gracias a una variedad de criterios de búsqueda, asícomo añadir,
modificar o eliminar etiquetas en bloque. Los criterios de búsqueda pueden incluir
recursos con o sin la presencia de una etiqueta o valor particular. La API de etiquetado
de recursos de AWS le permite ejecutar estas mismas funciones programáticamente.

AWS Config le permite examinar, auditar y evaluar las configuraciones de los recursos
de AWS. AWS Config supervisa y registra constantemente las configuraciones de sus
recursos de AWS y le permite automatizar la evaluación de las configuraciones
registradas en comparación con las configuraciones óptimas. Con AWS Config puede
crear reglas con las que revisar los recursos de las etiquetas obligatorias. Además,
supervisará continuamente los recursos de acuerdo a esas reglas. Los recursos que no
cumplan con estas reglas se mostrarán en el panel de AWS Config y via notificaciones.
AWS Config buscará los recursos cuyas etiquetas se hayan eliminado o cambiado
después de haberse etiquetado correctamente en un principio.

Puede usar AWS Config con CloudWatch Events para activar respuestas
automatizadas cuando falten etiquetas o estas sean incorrectas. Un ejemplo extremo
sería detener o poner en cuarentena automáticamente las instancias EC2 que no
cumplan los requisitos.

La estrategia de gobernanza más adecuada para una organización depende

principalmente de su modelo de madurez de AWS, pero hasta las organizaciones con
experiencia usan una combinación de técnicas de gobernanza proactivas y reactivas.

Página 21
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Implemente un proceso de gobernanza de etiquetas

Tenga en cuenta que, una vez que decida una estrategia de etiquetado para su
organización, tendrá que adaptarla a medida que avance en el traspaso a la nube. En
concreto, es probable que surjan solicitudes de etiquetas nuevas que habrá que
abordar. Un proceso de gobernanza de etiquetas básico debería incluir:

• análisis del impacto, aprobación e implementación de solicitudes para añadir,

cambiar o dar de baja etiquetas;
• aplicación de requisitos de etiquetado existentes a medida que su organización
adopte nuevos servicios de AWS;

• supervisión y corrección de etiquetas faltantes o incorrectas; e

• informes periódicos sobre las métricas de etiquetado y los indicadores de

procesos clave.

Conclusión
Las etiquetas de recursos de AWS se pueden usar para una amplia variedad de
propósitos, desde la implementación de un proceso de asignación de costes hasta la
compatibilidad con la automatización o la autorización de accesos a recursos de AWS.
Implementar una estrategia de etiquetado puede ser complicado para algunas
organizaciones debido al número de grupos interesados implicados y los aspectos que
hay que tener en cuenta, como el abastecimiento de datos y la gobernanza de
etiquetas. Este documento técnico recomienda una forma de aplicar etiquetas en
función de un conjunto de prácticas recomendadas, gracias a las cuales podrá adoptar
rápidamente una estrategia de etiquetado que se puede adaptar a medida que las
necesidades de su organización evolucionan con el tiempo.

Colaboradores
Las siguientes personas y organizaciones contribuyeron a redactar este documento:

Brian Yost, consultor sénior, AWS Professional Services

Página 22
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Referencias
Casos de uso de etiquetado
• Estrategias de etiquetado de AWS
• Etiquetado de los recursos de Amazon EC2
• Implementación de parches centralizados para varias regiones y cuentas
con AWS Systems Manager Automation

Adapte las etiquetas a las dimensiones de

informes financieros
• Informe de asignación de costes mensual
• Etiquetas de asignación de costes definidas por el usuario
• Asignación de costes para instantáneas de EBS
• Etiquetas de asignación de costes generadas por AWS

Use cuentas vinculadas y etiquetas de asignación de costes

• Facturación unificada para organizaciones
• Estrategia de facturación para varias cuentas de AWS
• Estrategia de seguridad para varias cuentas de AWS
• ¿Qué es AWS Organizations?

Etiquete todo
Etiquetas de asignación de costes definidas por el usuario

Integre con fuentes de datos oficiales

Administración de la configuración y los activos de ITIL en la nube

Use los valores de etiquetas compuestos con prudencia

Organización de los recursos de AWS con hasta 50 etiquetas por recurso

Página 23
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Use la automatización para etiquetar recursos de

forma proactiva
• ¿Cómo se pueden usar etiquetas de políticas de IAM para restringir cómo
se crea una instancia EC2 o un volumen de EBS?
• Cómo etiquetar automáticamente los recursos de Amazon EC2 en respuesta a
los eventos de la API
• Permisos de nivel de recurso admitidos para las acciones de la API de
Amazon EC2: permisos de nivel de recurso para el etiquetado
• Políticas de ejemplo para trabajar con la CLI de AWS o un SDK de AWS: recursos
de etiquetado
• Etiqueta de recurso

Limite los valores de las etiquetas con AWS Service Catalog

• AWS Service Catalog anuncia AutoTags para un etiquetado automático
de los recursos aprovisionados
• Biblioteca de TagOption de AWS Service Catalog

Propague los valores de las etiquetas en recursos

relacionados
CloudWatch Events para instantáneas de EBS

Bloquee las etiquetas que se utilicen para el

control de acceso
• Servicios de AWS que funcionan con IAM
• ¿Cómo se puede crear una política de IAM para controlar el acceso a los recursos
de Amazon EC2 que usan etiquetas?
• Control del acceso a los recursos de Amazon VPC

Página 24
Amazon Web Services: Prácticas recomendadas sobre etiquetado

Corrija los recursos sin etiquetas

• Grupos de recursos y etiquetado para AWS
• API de etiquetado de recursos de AWS

Revisiones del documento

Fecha Descripció n

Diciembre de 2018 Primera publicación

Página 25