Amazon Web Services ブログ
新機能 – タグポリシーを使用して、複数の AWS アカウントのタグを管理する
EC2を開始して間もなく、お客様はインスタンスを特定、分類、または分類する方法を求め始めました。2010年に EC2 インスタンスのタグ付けとその他の EC2 リソースを開始し、他の多くのリソースタイプのサポートを長年にわたって追加してきました。数年前の作成時にインスタンスと EBS ボリュームにタグを付ける機能を追加し、タグ付け API とタグエディターをローンチしました。今日、タグには多くの重要な目的があります。これらを使用して、コスト割り当てのためのリソースを特定し、AWS リソースへのアクセスを (直接または IAMユーザーおよびロールのタグを通じて) コントロールできます。これらのツールに加えて、タグ戦略に関する包括的な推奨事項も提供しています。これは、組織に設定したタグ付け標準の基礎として使用できます。
善意の意図を超えて
これらのツールと推奨事項はすべて強力な基盤を形成するものですが、善意の意図でのみタグを使用し始める可能性があります。ただし、Jeff Bezosのように、「善意の意図は機能しませんが、メカニズムは機能します。」 名前、値、大文字、句読点の標準化は素晴らしいアイデアですが、実践するには課題があります。タグを使用してリソースへのアクセスをコントロールしたり、請求書を分割したりすると、小さなエラーが大きな問題を引き起こす可能性があります!
本日、AWS Organization 内の複数の AWS アカウントと組織単位 (OU) にまたがる一貫した高品質のタグ付け規律の実装を支援するメカニズムを提供します。タグポリシーを作成して適用し、組織内の任意の AWS アカウントまたは OU、または組織全体に適用できます。各レベルのポリシーは、アカウントの有効なポリシーに集約されます。
各タグポリシーには、一連のタグルールが含まれています。各ルールは、タグキーをキーの許容値にマップします。タグポリシーは、既存のリソースのタグに影響する操作を実行するときにチェックされます。タグポリシーを設定すると、準拠していないタグ付きリソースを容易に発見することができます。
タグポリシーの作成
タグポリシーは容易に使用できます。組織を表す AWS アカウントにログインすることから始め、設定で タグポリシー が有効になっていることを確認します。
次に、ポリシー および タグポリシー をクリックして、組織のタグポリシーを作成します。
既存のポリシーを確認して、[Create policy] をクリックして別のポリシーを作成できます。
ポリシーの名前と説明を入力します。
次に、タグキーを指定し、大文字と小文字の区別が一致する必要があるかどうかを示し、オプションで許容値のセットを入力します。
この時点で 3 つのオプションがあります。
ポリシーを作成する – ルート、OU、および指定したアカウント内の非準拠リソースについて (レポートを通じて) 通知するポリシーを作成します。
タグキーを追加する – 別のタグキーをポリシーに追加します。
非準拠操作を防止する –ポリシーを強化して、非準拠操作をブロックすることによりタグの適切な使用を強制します。これを行うには、希望のリソースタイプも選択する必要があります。
次に、ポリシーを作成するをクリックして、先に進む準備ができました。ポリシーを選択し、ルートまたは希望の OU またはアカウントにアタッチできます。
ポリシーコンプライアンスの確認
ポリシーを作成してアタッチしたら、リソースグループコンソールの [タグポリシー] ページにアクセスして、準拠しているかどうかを確認できます。
準拠レポート (CSV形式) をダウンロードするか、新しいレポートの生成をリクエストすることもできます。
知っておくべきこと
ここで、留意すべきことがいくつかあります。
ポリシーの継承 –上記の例では、組み込みの継承システムを使用しました。組織から OU からアカウントへ。継承モデルを微調整して、受け入れ可能なタグ値を追加または削除したり、子ポリシーで許可される変更を制限したりすることもできます。詳細については、ポリシーの継承の仕組みをご覧ください。
タグ修復 – アカウント管理者として、リソースグループコンソールを使用して (継承後) 有効なタグポリシーを表示し、準拠していないタグを修正するための措置を講ずることができます。
新しいリソースのタグ – 組織レベルのサービスコントロールポリシーまたは IAM ポリシーを使用して、組織の内部標準に従ってタグ付けされていない新しいリソースの作成を防ぐことができます (ポリシーの例については、リソース作成時にタグが必要 を参照してください)。
アクセス – この新しい機能は、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI) からと AWS SDKを通じて使用可能です。
今すぐご利用いただけます
今すぐ、すべての商用 AWS リージョンで追加料金なしでタグポリシーを使用できます。
— Jeff;