翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS リソースのタグ付け
タグは、AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどの AWS リソースでは、リソースの作成時にタグを追加するオプションがあります。リソースの例としては、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Simple Storage Service (Amazon S3) バケット、AWS Secrets Manager のシークレットなどがあります。
重要
個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。
タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。
各タグは 2 つの部分で構成されます。
-
タグキー (例:
CostCenter、Environment、またはProject)。タグキーでは、大文字と小文字が区別されます。 -
タグ値 (例:
111122223333またはProduction)。タグキーと同様に、タグ値は大文字と小文字が区別されます。
タグを使用し、リソースを目的、所有者、環境などの基準別に分類できます。
AWS リソースにタグを追加する方法
AWS リソースにタグを追加する方法は 3 つあります。
-
AWS のサービス API オペレーション — タグ付け API オペレーションは、AWS のサービス を直接サポートしていました。各 AWS のサービス が提供するタグ機能については、「AWSドキュメンテーションインデックス」にあるサービスのドキュメントを参照してください。
-
タグエディタコンソール — 一部のサービスはAWS タグエディタ コンソールによるタグ付けもサポートしています。
-
リソースグループのタグ付け API — ほとんどのサービスは、AWS Resource Groups Tagging API を使用したタグ付けもサポートしています。
AWS のコストが発生するすべてのサービスのリソースにタグ付けできます。以下のサービスについては、AWS は、お客様のユースケースのタグ付けにより適した新しい代わりの AWS のサービス をお勧めします。
|
Amazon Cloud Directory |
Amazon CloudSearch |
Amazon Cognito Sync |
|
AWS Data Pipeline |
Amazon Elastic Transcoder |
Amazon Machine Learning |
|
AWS OpsWorks Stacks |
Amazon S3 Glacier Direct |
Amazon SimpleDB |
| Amazon WorkSpaces Application Manager |
AWS DeepLens |
ベストプラクティス
AWS リソースのタグ付け戦略を作成するときは、次のベストプラクティスに従ってください。
-
個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに追加しないようにします。タグは、多くの AWS のサービス (請求など) からアクセスできます。タグは、プライベートデータや機密データに使用することを意図していません。
-
タグには、標準化された、大文字と小文字の区別がある形式を使用し、すべてのリソースタイプに一貫して適用します。
-
リソースアクセスコントロールの管理、コスト追跡、オートメーション、整理など、複数の目的に対応したタグガイドラインを考慮します。
-
自動化されたツールを使用して、リソースタグを管理できます。タグエディタ と リソースグループのタグ付け API を使用すると、プログラムによるタグの制御が可能になるため、タグとリソースの自動的な管理、検索、フィルタリングが容易になります。
-
タグは、多めに使用します。
-
ビジネス要件の変化に合わせてタグを変更するのは簡単ですが、将来の変更の影響を考慮してください。たとえば、アクセス制御タグを変更した場合、そのタグを参照してリソースへのアクセスを制御するポリシーも更新する必要があります。
-
AWS Organizations を使用してタグポリシーを作成およびデプロイすることで、組織が採用するタグ付け標準を自動的に適用することができます。タグポリシーでは、有効なキー名と各キーに有効な値を定義するタグ付けルールを指定することができます。モニタリングのみを選択して、既存のタグを評価し、クリーンアップすることもできます。選択した標準にタグが準拠したら、タグポリシーで適用を有効にして、非準拠のタグが作成されないようにすることができます。詳細については、AWS Organizations ユーザーガイドのタグポリシーを参照してください。
カテゴリのタグ付け
タグを最も効果的に使用している企業は、ビジネス関連のタググループを作成し、リソースを技術、ビジネス、セキュリティといったディメンションで整理しています。自動プロセスを使用してインフラストラクチャを管理する企業は、それに加えてオートメーション関連のタグも使用します。
| 技術タグ | オートメーションのタグ | ビジネスタグ | セキュリティタグ |
|---|---|---|---|
|
|
|
|
タグの命名制限と要件
タグには、次の基本的な命名要件と使用要件が適用されます。
-
各リソースは、最大 50 個のユーザー作成タグを持つことができます。
-
aws:で始まるシステム作成タグは AWS に使用するために予約されており、この制限にはカウントされません。aws:プレフィックスで始まるタグを編集または削除することはできません。 -
タグキーは、リソースごとにそれぞれ一意である必要があります。また、各タグキーに設定できる値は 1 つのみです。
-
UTF-8 では、タグキーは 1 文字以上で、最大 128 文字の Unicode 文字である必要があります。
-
UTF-8 では、タグ値は 0 文字以上、最大 256 文字の Unicode 文字である必要があります。
-
使用できる文字は、AWS のサービスごとに異なります。AWS の特定のサービスでリソースのタグ付けに使用できる文字については、そのドキュメントを参照してください。通常、使用できる文字は、UTF-8 対応の文字、数字、スペースと、 _ . : / = + - @ の文字です。
-
タグのキーと値では、大文字と小文字が区別されます。ベストプラクティスとして、タグを大文字にするための戦略を決定し、その戦略をすべてのリソースタイプにわたって一貫して実装します。たとえば、
Costcenter、costcenter、CostCenterのいずれを使用するかを決定し、すべてのタグに同じ規則を使用します。大文字と小文字の扱いについて、同様のタグに整合性のない規則を使用することは避けてください。
一般的なタグ付け戦略
以下のタグ付け戦略を使用すると、AWS リソースの識別と管理に役立ちます。
リソース整理のタグ
タグは、AWSで AWS Management Console リソースを整理するための効果的な手段です。タグと共にリソースが表示されるように設定したり、タグで検索やフィルタリングを行ったりできます。 AWS Resource Groups サービスを使用すると、1 つまたは複数のタグ、またはタグの一部に基づいて AWS リソースのグループを作成できます。また、AWS CloudFormation スタック内での出現回数に基づいてグループを作成することもできます。リソースグループとタグエディタを使用すると、複数のサービス、リソース、リージョンで構成されるアプリケーションのデータを 1 か所にまとめて表示できます。
コスト配分のタグ
AWS Cost Explorer と請求明細レポートを使用すると、AWS のコストをタグ別に分類できます。通常、コストセンター/ビジネスユニット、お客様、またはプロジェクトといったビジネスタグを使用して、AWS のコストを従来のコスト配分ディメンションに関連付けます。ただし、コスト配分レポートで使用できるタグに制限はありません。特定のアプリケーション、環境、コンプライアンスプログラムなど、技術やセキュリティに関するディメンションを使って、コストの関連付けを行うことができます。次に、コスト配分レポートの例を示します。
一部のサービスでは、コスト配分のために AWS によって生成された createdBy タグを使用すると、分類に含まれていないリソースの説明に役立ちます。createdBy タグは、サポートされている AWS のサービスとリソースにのみ使用できます。値には、特定の API またはコンソールイベントに関連付けられたデータが含まれます。詳細については、AWS Billing and Cost Management ユーザーガイドの「AWS 生成コスト配分タグ」を参照してください。
オートメーションのタグ
リソースまたはサービスに固有のタグは、多くの場合、オートメーションアクティビティ中にリソースをフィルタリングする目的で使用します。オートメーションタグは、自動タスクのオプトインまたはオプトアウト、またはアーカイブ、更新、削除の対象となるリソースのバージョンの特定に使用します。たとえば、オートメーションにした start または stop スクリプトを実行して業務時間外に開発環境をオフにすれば、コストが削減できます。このシナリオで Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタグを使うと、このアクションからオプトアウトするインスタンスを簡単に指定できます。古い Amazon EBS スナップショット、 out-of-date、またはローリング Amazon EBS スナップショットを検索して削除するスクリプトの場合、スナップショットタグによって検索条件のディメンションが追加される可能性があります。
アクセス制御のタグ
IAM ポリシーでは、タグベースの条件をサポートしています。このため、特定のタグやタグの値に基づいて IAM アクセス許可を制限できます。たとえば、IAM ユーザーまたはロールのアクセス許可に、EC2 API コールをタグに基づいて特定の環境 (開発、テスト、本番など) に制限する条件を含めることができます。同じ戦略を使用して、API 呼び出しを特定の Amazon 仮想プライベートクラウド (Amazon VPC) ネットワークに制限できます。タグベースのリソースレベルの IAM アクセス許可をサポートしているかどうかは、サービスによって異なります。アクセス制御にタグベースの条件を使用する場合は、タグを変更できるユーザーを定義することで、タグの変更を制限してください。AWS リソースへの API アクセスを制御するためのタグの使用に関する詳細については、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。
タグ付けのガバナンス
効果的なタグ付け戦略を実装するには、標準化されたタグを使用し、それをプログラミングによって AWS リソース全体に一貫して適用します。AWS 環境におけるタグの管理には、リアクティブなアプローチとプロアクティブなアプローチの両方が使用できます。
-
リアクティブガバナンスの目的は、リソースグループタグ付け API、AWS Config ルール、カスタムスクリプトなどのツールを使用して適切にタグ付けされていないリソースを見つけることです。リソースを手動で検索するには、タグエディタと請求明細レポートを使用します。
-
プロアクティブガバナンスは、AWS CloudFormation、サービス・カタログ、AWS Organizations のタグポリシー、または IAM のリソースレベルの許可などのツールを使用して、リソース作成時に標準化されたタグが一貫して適用されるようにします。
たとえば、AWS CloudFormation
Resource Tagsプロパティを使用して、リソースタイプにタグを適用できます。サービス・カタログ では、ポートフォリオと製品タグを追加すれば、製品の開始時に自動的にポートフォリオと製品タグの組み合わせが適用されます。より厳格なプロアクティブガバナンスには、自動タスクが含まれます。たとえば、リソースグループタグ付け API を使用して AWS 環境のタグを検索したり、不適切にタグ付けされたリソースを隔離または削除するためのスクリプトを実行したりできます。
詳細はこちら
このページでは、AWS リソースのタグ付けに関する一般的な情報を提供します。AWS の特定のサービスでリソースにタグを付ける方法の詳細については、そのドキュメントを参照してください。タグ付けに関する適切な情報源を以下に示します。
-
AWS Resource Groups Tagging API の詳細については、「リソースグループのタグ付け API リファレンスガイド」を参照してください。
-
タグエディタ については、このガイドの 「タグエディタ」 を参照してください。
-
各 AWS のサービス が提供するタグ機能については、「AWSドキュメンテーションインデックス」にあるサービスのドキュメントを参照してください。
-
IAM ポリシーでタグを使用して、AWS リソースを表示および操作できるユーザーを制御する方法については、「IAM ユーザーガイド」の「タグを使用した IAM ユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。
