如何使用新的 Amazon Secrets Manager 成本分配标签功能

Amazon Secrets Manager 是一项服务，可用于在数据库证书、应用程序证书、API 密钥和其他密钥的整个生命周期中对其进行管理、检索和轮换。您可以使用 Secrets Manager 将应用程序源代码中的硬编码凭据替换为运行时调用 Secrets Manager 服务，以便在需要时动态检索凭据。将凭据存储在 Secrets Manager 中有助于避免任何检查应用程序源代码、配置或组件的人意外访问。

直到今天，您的亚马逊云科技账单将反映任何给定账户中 Secrets Manager 的总成本，并且您无法选择将每个机密的费用细分给给定的成本中心或组织。

在这篇文章中，我们介绍了一项新功能——Secrets Manager 成本分配标签——并介绍如何使用它们来提高对密钥管理器成本的可见性。在详细介绍这项新功能之前，我们想向您介绍一下成本分配标签。

标签是您分配给亚马逊云科技资源的键值对。在 Amazon Cost Explorer 中，您可以激活标签作为成本分配标签。激活标签后，您可以按成本分配标签对成本进行分类和跟踪。例如，您可以创建一个名为 Group 且值为 Engineering 的标签，并将其分配给贵公司工程团队拥有的资源。激活分组标签作为成本分配标签后，您可以使用此标签跟踪费用，在 Cost Explorer 中按标签进行筛选或分组，并在成本和使用情况报告等报告中添加标签以进行进一步分析和可视化。

亚马逊云科技中的成本分配分为四个步骤：

1. 创建所需的成本分配标签
2. 为您的资源附加成本分配标签
3. 在亚马逊云科技账单控制台的成本分配标签部分激活您的标签
4. 筛选标签，在 Cost Explorer 中按标签分组，然后创建成本类别

创建标签并将其附加到资源后，它们将在 24 小时内显示在亚马逊云科技账单控制台的"成本分配标签"部分的用户定义成本分配标签下。您必须激活这些标签，亚马逊云科技才能开始为您的资源跟踪这些标签，并使标签显示在 Cost Explorer 中。当标签出现在 Cost Explorer 的"筛选条件"或"分组依据"字段的标签下时，您可以开始按标签进行筛选或分组，以按标签查看使用量和费用。

Amazon Secrets Manager 现在支持成本分配标签

Secrets Manager 现在支持成本分配标签，让您可以更精细地控制和查看您的密钥管理器成本。您可以使用此功能对您的 Secrets Manager 使用费用进行更详细的分类和跟踪，从而帮助您更好地了解和管理您的亚马逊云科技支出，并将每个机密的费用分配给成本中心或组织。

解决方案概述：增强成本可见性和管理

借助这项新功能，您可以：

• 按部门、项目、环境或其他对组织重要的维度细分 Secrets Manager 成本
• 在 Cost Explorer 以及成本和使用情况报告中逐项查看 Secrets Manager 使用情况
• 改善业务部门和组织的成本分配和退款流程

先决条件

要浏览这篇文章中的示例，你需要具备以下条件：

1. 一个 亚马逊云科技账户
2. 访问亚马逊云科技管理控制台或 亚马逊云科技命令行接口 (亚马逊云科技 CLI) 版本 2
3. 现有的标记和成本分配策略
4. 密钥管理器中的现有密钥

使用控制台为成本分配目的创建用户定义的标签

在此示例中，我们假设您想通过组织中的不同成本中心管理机密成本。在这里，我们创建了一个以 CostCenter 为密钥的标签，其值等于使用机密的团队的成本中心代码。

您将浏览两个示例，第一个示例包含工程成本中心，第二个示例包含财务成本中心。你将在本文中重复使用这些示例。

在此示例中，首先创建并分配一个标签，密钥名称为 CostCenter，然后将工程部门的成本中心值 7263 分配给现有或新的密钥。

要为新的或现有的密钥分配用户定义的标签，请执行以下操作：

1. 在凭据管理器控制台中，从导航窗格中选择密钥。
2. 在可用密钥列表中，选择密钥以编辑标签，或选择"存储新密钥"以创建新密钥。
3. 显示密钥时，选择标签选项并选择编辑标签以添加新标签或编辑现有标签。
   
   

   图 1：为现有密钥分配用户定义的标签

4. 重复该过程，但将财务部门的成本中心值 1121 分配给第二个密钥，工程部门的值为 7263。

使用亚马逊云科技 CLI 为成本分配目的创建用户定义的标签

或者，您可以使用亚马逊云科技 CLI 创建与前面示例相同的标签。

要使用亚马逊云科技 CLI 创建标签，请执行以下操作：

1. 使用以下亚马逊云科技 CLI 命令创建第一个标签：

   aws secretsmanager tag-resource \
       --secret-id prod/mastersecret \
       --tags Key=Role,Value=admin
   

2. 使用以下亚马逊云科技 CLI 命令创建第二个标签：

   aws secretsmanager tag-resource \
       --secret-id prod/mastersecret \
       --tags Key=CostCenter,Value=7263
   

   如果成功执行，此命令不会产生任何输出。

3. 使用第二个亚马逊云科技 CLI 命令，第二个密钥的值为 1121。

使用亚马逊云科技账单和成本管理控制台将标签转换为成本分配标签

下一步是在亚马逊云科技账单和成本管理控制台中激活用户定义的标签，以便使用它们。

要激活成本分配标签，请执行以下操作：

1. 前往亚马逊云科技账单和成本管理控制台，在导航窗格中选择成本分配标签。
2. 为用户定义的成本分配标签选择选项。
3. 选择要激活的标签密钥。
4. 选择"激活"。

注意：创建用户定义的标签并将其应用于资源后，标签密钥最多可能需要 24 小时才能显示在成本分配标签页面上进行激活。然后，标签密钥最多可能需要 24 小时才能激活。

图 2：激活成本分配标签

使用亚马逊云科技 CLI 将标签转换为成本分配标签

您还可以使用亚马逊云科技 CLI 在亚马逊云科技账单和成本管理控制台中激活用户定义的标签。

要使用亚马逊云科技 CLI 激活标签，请执行以下操作：

1. 要激活第一个用户定义的标签，请使用以下亚马逊云科技 CLI 命令：

   aws ce update-cost-allocation-tags-status \
       --cost-allocation-tags-status TagKey=Role,Status=Active
   

2. 要激活第二个用户定义的标签，请使用以下亚马逊云科技 CLI 命令：

   aws ce update-cost-allocation-tags-status \
       --cost-allocation-tags-status TagKey=CostCenter,Status=Active
   

在成本管理器中查看结果

最后一步是在成本管理器中查看机密的结果。当标签 CostCenter 显示在 Cost Explorer 的"筛选条件"或"分组依据"字段的标签下时，您可以开始按标签进行筛选或分组，以按标签查看使用量和费用。

在为密钥管理器应用标签过滤器时，成本管理器仅显示使用所选标签值标记的资源的费用。当按特定标签分组时，费用将按所选标签的每个值分组。

要查看结果，请执行以下操作：

例如，使用以下参数查看结果。

1. 在成本中心控制台中，选择右箭头 (>) 图标以打开账单控制面板右侧的报告参数选项。
2. 在"报告参数"窗口中：
   1. 对于日期范围，输入所需的时间范围。
   2. 在"分组依据"下，为"维度"选择"标签"，对于标签，选择"成本中心"。
   3. 对于过滤器、服务，选择密钥管理器。
      
      

      图 3：配置报告参数

您可以使用生成的报告来清楚地确定这两个秘密的成本和使用情况，分为两个成本中心：工程 7263 和财务 1121。现在，您可以将机密信息交叉计入组织中的相应成本中心，并提供与图 4 类似的报告。

图 4：成本和使用情况报告

结论

在这篇文章中，我们介绍了 Amazon Secrets Manager 成本分配标签功能，并向您展示了如何使用 Amazon Cost Explorer 成本和使用情况报告来获得机密使用情况见解。现在，您可以将每个机密的成本分配给一个或多个成本中心，并相应地向它们收费。请参阅 Amazon Secrets Manager 成本分配标签文档，详细了解如何在账户中使用 Secrets Manager 成本分配标签。

前往 Amazon Secrets Manager 控制台开始操作。有关更多信息，请参阅 Amazon Secrets Manager。

要详细了解如何为成本分配和财务管理制定有效的标签策略，请参阅成本分配和财务管理标签白皮书。

如果你对这篇文章有反馈，请在下面的评论部分提交评论。如果您对这篇文章有疑问，请联系亚马逊云科技 Support。