アカウントのコンプライアンスの評価

有効なタグポリシーを使用して、組織内のアカウントのコンプライアンスを評価できます。

重要

タグ付けされていないリソースは、結果で非準拠と表示されません。

アカウント内のタグ付けされていないリソースを検索するには、 tag:none を使用するクエリで AWS Resource Explorer を使用します。詳細については、「AWS Resource Explorer ユーザーガイド」の「タグ付けされていないリソースの検索」を参照してください。

有効なタグポリシーは、アカウントに適用されるタグ付けルールを指定するものです。有効なタグポリシーは、アカウントが継承する任意のタグポリシーと、アカウントに直接アタッチされたタグポリシーの集約したものです。タグポリシーを組織ルートにアタッチすると、組織内のすべてのアカウントに適用されます。組織単位 (OU) にタグポリシーをアタッチすると、OU に属するすべてのアカウントと OU に適用されます。

注記

タグポリシーをまだ作成していない場合は、AWS Organizations ユーザーガイドのタグポリシーの開始方法を参照してください。

非準拠のタグを検出するには、次のアクセス許可が必要です。

• organizations:DescribeEffectivePolicy

• tag:GetResources

• tag:TagResources

• tag:UntagResources

アカウントの有効なタグポリシーへのコンプライアンスを評価するには (コンソール)

1. コンプライアンスを確認するアカウントにサインインしているときにタグポリシー を選択します。

2. 有効なタグポリシーセクションには、ポリシーが最後に更新された日時と、定義されたタグキーが表示されます。タグキーを展開すると、その値、大文字と小文字の区分、および値が特定のリソースタイプに適用されるかどうかに関する情報を表示できます。

   注記

   管理アカウントにサインインしている場合は、アカウントを選択して有効なポリシーを表示し、コンプライアンス情報を表示する必要があります。

3. 非準拠のタグを持つリソースセクションで、非準拠のタグを検索する AWS リージョン を指定します。必要に応じて、リソースタイプで検索することもできます。次に リソースを検索する を選択します。

   リアルタイムの結果は 検索結果セクションに表示されます。1 ページごとまたは表示する列ごとに返される結果の数を変更するには、設定アイコン ( ) を選択します。

4. 検索結果で、非準拠のタグを持つリソースを選択します。

5. リソースのタグが一覧表示されたダイアログボックスで、ハイパーリンクを選択し、リソースが作成された AWS のサービス を開きます。そのコンソールから、非準拠のタグを修正します。

   ヒント

   非準拠のタグが不明な場合は、タグエディタ コンソールのアカウントの 有効なタグポリシーセクションに移動します。タグキーを展開すると、そのタグ付けルールを表示できます。

6. 必要なアカウントリソースが各リージョンで準拠するまで、タグを検出して修正するプロセスを繰り返します。

非準拠のタグを検出するには (AWS CLI、AWS API)

以下のコマンドおよび操作を使用して、非準拠のタグを検出します。

• AWS Command Line Interface (AWS CLI):

  • aws resourcegroupstaggingapi get-resources

  • aws resourcegroupstaggingapi tag-resources

  • aws resourcegroupstaggingapi untag-resources

  AWS CLI でタグポリシーを使用する完全な手順については、AWS Organizations ユーザーガイドの AWS CLI でのタグポリシーの使用を参照してください。

• AWS Resource Groups Tagging API:

  • GetResources

  • TagResources

  • UntagResources

次のステップ

コンプライアンスの問題を検出して修正するプロセスを繰り返すことをお勧めします。必要なアカウントのリソースが、各リージョンの有効なタグポリシーに準拠するまで続行します。

非準拠のタグの検出と修正は、次のような複数の理由で反復的なプロセスと言えます。

• 組織のタグポリシーの使用は、時間の経過とともに進化する可能性があります。

• リソースの作成時に、組織の変更を反映させるには時間がかかります。

• コンプライアンスは、新しいリソースが作成されたとき、または新しいタグがリソースに割り当てられるときにいつでも変更できます。

• アカウントの有効なタグポリシーは、タグポリシーがアタッチされるか、アカウントからデタッチされるたびに更新されます。また、有効なタグポリシーは、アカウントが継承するポリシーにタグを付けるために変更が発生するたびに更新されます。

組織の管理アカウントとしてサインインしている場合は、レポートを生成することもできます。このレポートには、組織のアカウントにあるすべてのタグ付きリソースに関する情報が表示されます。詳細については、「組織全体のコンプライアンスを評価する」を参照してください。