組織全体のコンプライアンスを評価する - AWS リソースのタグ付け

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織全体のコンプライアンスを評価する

有効なタグポリシーを使用して、組織のコンプライアンスを評価できます。組織全体のアカウントにあるすべてのタグ付きリソースと、各リソースが有効なタグポリシーに準拠しているかどうかを一覧表示するレポートを生成できます。

重要

タグ付けされていないリソースは、結果で非準拠と表示されません。

アカウント内のタグ付けされていないリソースを検索するには、 tag:none を使用するクエリで AWS Resource Explorer を使用します。詳細については、「AWS Resource Explorer ユーザーガイド」の「タグ付けされていないリソースの検索」を参照してください。

us-east-1 AWS リージョン にある組織の管理アカウントからのみレポートを生成できます。レポートを生成するアカウントは、米国東部 (バージニア北部)リージョンの Amazon S3 バケットへのアクセス権が必要です。「Amazon S3 バケット Policy for Storing Report」に示されているように、バケットにはバケットポリシーがアタッチされている必要があります。

組織全体のコンプライアンスレポートを生成するには、次のアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy

  • tag:StartReportCreation

  • tag:DescribeReportCreation

  • tag:GetComplianceSummary

組織全体のコンプライアンスレポートを生成するには (コンソール)
  1. タグポリシー コンソールを開きます。

  2. この組織のルートタブを選択し、ページの下部近くにある レポートを生成を選択します。

  3. レポートの生成画面で、レポートの保存場所を指定します。

  4. エクスポートの開始を選択します。

レポートが完了したら、組織ルートタブの 非準拠レポートセクションからダウンロードすることができます。

以下にレポートの抜粋を示します。


            スプレッドシートには、各リソースタイプのコンプライアンス状況とサポート情報が表示されます。
メモ

組織全体のコンプライアンスは 48 時間ごとに評価されます。この結果は以下のようになります。

  • タグポリシーまたはリソースに加えた変更が組織全体のコンプライアンスレポートに表示されるまで、最大で 48 時間かかる可能性があります。例えば、リソースタイプに対して新しい標準化されたタグを定義するタグポリシーがあるとします。レポートでは、このタイプでこのタグを持たないリソースが最大 48 時間にわたって準拠していると表示される可能性があります。

  • レポートはいつでも生成できますが、レポートの結果は次の評価が完了するまで更新されません。

  • NoncompliantKeys 列には、有効なタグポリシーに準拠していないリソースのタグキーが一覧表示されます。

  • KeysWithNonCompliantValues 列には、大文字と小文字の扱いが正しくないか、または非準拠の値を持つリソースにある有効なポリシーで定義されているキーが一覧表示されます。

  • 組織のメンバーだった AWS アカウント をクローズしても、タグコンプライアンスレポートには最大 90 日間表示され続ける可能性があります。

組織全体のコンプライアンスレポートを生成するには (AWS CLI、AWS API)

次のコマンドと操作を使用して、組織全体のコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示します。