Amazon Forecast のリソースのタグ付け

タグは、特定のタイプの AWS リソースなど、Amazon Forecast リソースをオプションで定義および関連付けるラベルです。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用してポリシーや自動化を適用したり、特定のコンプライアンス要件の対象となるリソースを識別したりできます。以下のタイプの Forecast リソースにタグを追加できます。

• データセットグループ

• データセット

• データセットのインポートジョブ

• 予測子

• 予測子エクスポートジョブ

• 予測

• 予測のエクスポートジョブ

• What-If 分析

• What-If 予想

• What-If 予想エクスポートジョブ

リソースには、最大 50 個のタグを含めることができます。

タグを管理する

タグはそれぞれ、1 つの必須タグキーとオプションの 1 つのタグ値で構成されており、どちらもお客様側が定義します。タグキーは、より具体的なタグ値のカテゴリのように動作する、一般的なラベルです。タグ値は、タグキーの記述子として機能します。例えば、Forecast のデータセットのインポートジョブに内部テスト用と本番用の 2 つのバージョンがある場合、両方のプロジェクトに Environment タグキーを割り当てます。Environment タグキーの値は、場合によって、データセットのインポートジョブの 1 つのバージョンでは Test に、他のバージョンでは Production になります。

タグキーには最大 128 文字を含めることができます。タグ値は最大 256 文字を含めることができます。Unicode 文字、数字、空白、または次の記号のいずれか 1 つを使用できます。_ 。: / = + - さらに、タグには以下のような制限が追加されます。

• タグのキーと値は大文字と小文字が区別されます。

• タグキーは、関連付けられたリソースごとにそれぞれ一意である必要があります。また、設定できる値は 1 つのみです。

• aws:、AWS:、またはその大文字または小文字の組み合わせを、キーのプレフィックスとして使用しないでください。これらの文字列は AWS による使用のために予約されています。このプレフィックスが含まれるタグキーを編集したり削除することはできません。値にはこのプレフィックスを付けることができます。タグ値には aws がプレフィックスとして付されているが、キーには付されていない場合、Forecast は、それをユーザータグとみなし、タグ数の上限である 50 個を計算する際に算入します。aws のキープレフィックスのみを持つタグは、リソース制限あたりのタグに算入されません。

• タグのみに基づいて、リソースを更新または削除することはできません。使用する操作に応じて、Amazon リソースネーム (ARN) またはリソース ID も指定する必要があります。

• パブリックリソースまたは共有リソースにタグを関連付けることができます。ただし、タグは自分の AWS アカウントにのみ使用でき、リソースを共有する他のアカウントには使用できません。さらに、AWS アカウント用に指定された AWS リージョンにあるリソースにのみタグを使用できます。

Forecast リソースからタグキーと値を追加、表示、更新、削除するには、AWS Command Line Interface (AWS CLI)、Forecast API、または AWS SDK を使用できます。

IAM ポリシーでのタグの使用

タグの実装を開始した後、タグベースのリソースレベルのアクセス許可を AWS Identity and Access Management (IAM) ポリシーと API オペレーションに適用できます。これには、リソースの作成時にリソースへのタグの追加をサポートするオペレーションが含まれます。このようにタグを使用することで、AWS アカウントのどのグループとユーザーにリソースの作成とタグ付けのアクセス許可があって、どのグループとユーザーにタグの作成、更新、削除のアクセス許可があるかを、広範囲にきめ細かく制御できます。

例えば、リソースの Owner タグの値がユーザー名となっているすべての Forecast リソースに対して、ユーザーにフルアクセスを許可するポリシーを作成できます。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "forecast:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

次の例は、データセットの作成と削除を許可するポリシーを作成する方法を示しています。これらのオペレーションは、ユーザー名が johndoe の場合にのみ許可されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "forecast:CreateDataset",
                "forecast:DeleteDataset"
            ],
            "Resource": "arn:aws:forecast:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "forecast:DescribeDataset",
            "Resource": "*"
        }
    ]
}

タグをベースにしてリソースレベルでアクセス許可を定義した場合、そのアクセス許可は即座に反映されます。つまり、リソースが作成されるとすぐにリソースの安全性が増し、新しいリソースにタグの使用をすぐに強制できるようになります。リソースレベルのアクセス許可を使用して、新しいリソースと既存のリソースに、どのタグキーと値を関連付けるかを制御することもできます。詳細については、AWS IAM ユーザーガイドの「タグを使用したアクセス制御」を参照してください。

リソースにタグを追加する

次の例は、AWS CLI と AWS Management Console を使用して Forecast リソースにタグを追加する方法を示しています。

AWS CLI

AWS CLI を使用してリソースを新しく作成するときにタグを追加する場合は、リソースに対して適切な create コマンドを使用し、tags パラメータと値を含めます。例えば、次のコマンドは、CUSTOM ドメインの myDatasetGroup という名前の新しいデータセットグループを作成し、Test タグ値を含む Environment タグキー、Owner タグキーと xyzCorp 値というタグを追加します。

aws forecast create-dataset-group \
--dataset-group-name myDatasetGroup \
--dataset-arns arn:aws:forecast:region:acct-id:dataset/dataset_name \
--domain CUSTOM \
--tags Key=Environment,Value=Test Key=Owner,Value=xyzCorp

Forecast リソースの作成に使用できるコマンドの詳細については、Forecast AWS CLI コマンドレファレンスを参照してください。

既存のリソースにタグを追加するには、tag-resource コマンドを使用してリソースの ARN を指定し、tags-model パラメータにタグキーと値を指定します。

aws forecast tag-resource \
--resource-arn resource ARN \
--tags Key=key,Value=value

AWS Management Console

Forecast でリソースを作成するときに、オプションのタグを追加できます。次の例では、データセットグループにタグを追加します。他のリソースへのタグの追加も同様のパターンに従います。

新しいデータセットグループにタグを追加するには

1. AWS Management Console にサインインして、Amazon Forecast コンソール (https://console.aws.amazon.com/forecast/) を開きます。

2. [データセットグループの作成] を選択します。

3. [Dataset group name] (データセットグループ名) で、名前を入力します。

4. [Forecasting domain] (予測ドメイン) で、ドメインを選択します。

5. [新しいタグを追加] をクリックします。

6. [Key] (キー) と [Value] (値) で、適切な値を入力します。

   たとえば、それぞれ Environment および Test などです。

7. タグをさらに追加するには、[Add new tag] (新しいタグを追加) を選択します。

   1 つのリソースに最大 50 個のタグを追加できます。

8. [Next] (次へ) を選択し、リソースの作成を続行します。

追加情報

タグ付けの詳細については、次のリソースを参照してください。

• AWS Tagging Principles (AWS 全般のリファレンス)

• AWS Tagging Strategies (ダウンロード可能な PDF)

• AWS Access Control (AWS IAM ユーザーガイド)

• AWS Tagging Policies (AWS Organizations ユーザーガイド)