AWS リソースのタグ付け - AWS 全般のリファレンス

AWS リソースのタグ付け

AWS のリソースにメタデータをタグ形式で割り当てることができます。各タグは、ユーザー定義のキーと値で構成されるラベルです。タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。

重要

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに追加しないでください。タグは、多くの AWS のサービス (請求など) からアクセスできます。タグは、プライベートデータや機密データに使用することを意図していません。

このトピックでは、一貫性のある効果的なタグ付け戦略を実装する目的で広く使用されているタグ付けカテゴリと戦略について説明します。次のセクションは、AWS リソース、タグ付け、詳細な請求、および AWS Identity and Access Management () に関する基本的な知識があることを前提としています。

各タグは 2 つの部分で構成されます。

  • タグキー (例: CostCenterEnvironment、または Project)。タグキーでは、大文字と小文字が区別されます。

  • タグ値 (例: 111122223333 または Production)。タグキーと同様に、タグ値は大文字と小文字が区別されます。

タグを使用し、リソースを目的、所有者、環境などの基準別に分類できます。詳細については、「AWS タグ付け戦略」を参照してください。

タグは、各リソースのサービスコンソール、サービス API、または AWS CLI から一度に 1 つのリソースに対して追加、変更、または削除できます。

ベストプラクティス

AWS リソースのタグ付け戦略を作成するときは、次のベストプラクティスに従ってください。

  • 個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。

  • タグには、標準化された、大文字と小文字の区別がある形式を使用し、すべてのリソースタイプに一貫して適用します。

  • リソースアクセスコントロールの管理、コスト追跡、オートメーション、整理など、複数の目的に対応したタグガイドラインを考慮します。

  • 自動化ツールを使用してリソースタグを管理します。AWS Resource Groupsリソースグループのタグ付け API を使用すると、プログラムによるタグの制御が可能になるため、タグとリソースの自動的な管理、検索、フィルタリングが容易になります。

  • タグは、多めに使用します。

  • ビジネス要件の変化に合わせてタグを変更するのは簡単ですが、将来の変更の影響を考慮してください。たとえば、アクセス制御タグを変更した場合、そのタグを参照してリソースへのアクセスを制御するポリシーも更新する必要があります。

  • AWS Organizations を使用してタグポリシーを作成およびデプロイすることで、組織が採用するタグ付け標準を自動的に適用することができます。タグポリシーでは、有効なキー名と各キーに有効な値を定義するタグ付けルールを指定することができます。モニタリングのみを選択して、既存のタグを評価し、クリーンアップすることもできます。選択した標準にタグが準拠したら、タグポリシーで適用を有効にして、非準拠のタグが作成されないようにすることができます。詳細については、AWS Organizations ユーザーガイドタグポリシーを参照してください。

これらのベストプラクティスの詳細な説明については、「タグ付けのベストプラクティス: 効果的な AWS リソースタグ付け戦略の実装」をご覧ください。

カテゴリのタグ付け

タグを最も効果的に使用している企業は、ビジネス関連のタググループを作成し、リソースを技術、ビジネス、セキュリティといったディメンションで整理しています。自動プロセスを使用してインフラストラクチャを管理する企業は、それに加えてオートメーション関連のタグも使用します。

技術タグ オートメーションのタグ ビジネスタグ セキュリティタグ
  • 名前 — 個々のリソースを識別する

  • アプリケーション ID — 特定のアプリケーションに関連するリソースを特定する

  • アプリケーションロール — 特定のリソース (ウェブサーバー、メッセージブローカー、データベースなど) の機能について説明する

  • クラスター — 共通の構成を共有し、アプリケーションに対して特定の機能を実行するリソースファーム

  • 環境 — 開発、テスト、本番稼働用リソースを区別する

  • バージョン — リソースまたはアプリケーションのバージョンを区別するのに役立つ

  • 日付/時刻 — リソースの開始、停止、削除、またはローテーションを行う日付または時刻

  • オプトイン/オプトアウト — インスタンスの開始、停止、サイズ変更などの自動アクティビティにそのリソースを含めるかどうか

  • セキュリティ — Amazon VPC フローログの暗号化や有効化などの要件を決定し、さらに精密な調査が必要なルートテーブルまたはセキュリティグループを特定する

  • プロジェクト — リソースがサポートするプロジェクト

  • 所有者 — リソースの責任者

  • コストセンター/ビジネスユニット — リソースに関連付けられたコストセンターまたはビジネスユニットで、通常はコストの配分と追跡に使用する

  • 顧客 — リソースグループを利用するクライアント

  • 機密性 — リソースがサポートするデータ機密性レベルの識別子

  • コンプライアンス — 特定のコンプライアンス要件に準拠する必要があるワークロードの識別子

タグの命名制限と要件

タグには、次の基本的な命名要件と使用要件が適用されます。

  • 各リソースは、最大 50 個のユーザー作成タグを持つことができます。

    注記

    aws: で始まるシステム作成タグは AWS に使用するために予約されており、この制限にはカウントされません。aws: プレフィックスで始まるタグを編集または削除することはできません。

  • タグキーは、リソースごとにそれぞれ一意である必要があります。また、各タグキーに設定できる値は 1 つのみです。

  • UTF-8 では、タグキーは 1 文字以上で、最大 128 文字の Unicode 文字である必要があります。

  • UTF-8 では、タグ値は 0 文字以上、最大 256 文字の Unicode 文字である必要があります。

    注記

    一部のサービスでは、空の値 (長さ 0) のタグが許可されていません。

  • 使用できる文字は、AWS のサービスごとに異なります。AWS の特定のサービスでリソースのタグ付けに使用できる文字については、そのドキュメントを参照してください。通常、タグに使用できる文字は、UTF-8 対応の文字、数字、スペースと、 _ . : / = + - @ の文字です。

  • タグのキーと値は大文字と小文字が区別されます。ベストプラクティスとして、タグを大文字にするための戦略を決定し、その戦略をすべてのリソースタイプにわたって一貫して実装します。たとえば、CostcentercostcenterCostCenter のいずれを使用するかを決定し、すべてのタグに同じ規則を使用します。大文字と小文字の扱いについて、同様のタグに整合性のない規則を使用することは避けてください。

一般的なタグ付け戦略

このセクションでは、 AWS リソースの特定と管理に役立つ一般的なタグ付け戦略について説明します。

リソース整理のタグ

タグは、AWSで AWS Management Console リソースを整理するための効果的な手段です。タグと共にリソースが表示されるように設定したり、タグで検索やフィルタリングを行ったりできます。 AWS Resource Groups サービスを使用すると、1 つまたは複数のタグ、またはタグの一部に基づいて AWS リソースのグループを作成できます。また、AWS CloudFormation スタック内での出現回数に基づいてグループを作成することもできます。リソースグループとタグエディタを使用すると、複数のサービス、リソース、リージョンで構成されるアプリケーションのデータを 1 か所にまとめて表示できます。

コスト配分のタグ

AWS Cost Explorer と請求明細レポートを使用すると、AWS のコストをタグ別に分類できます。通常、コストセンター/ビジネスユニットお客様、またはプロジェクトといったビジネスタグを使用して、AWS のコストを従来のコスト配分ディメンションに関連付けます。ただし、コスト配分レポートで使用できるタグに制限はありません。特定のアプリケーション、環境、コンプライアンスプログラムなど、技術やセキュリティに関するディメンションを使って、コストの関連付けを行うことができます。次に、コスト配分レポートの例を示します。


                    タグベースのコスト配分レポートの例

一部のサービスでは、コスト配分のために AWS によって生成された createdBy タグを使用すると、分類に含まれていないリソースの説明に役立ちます。createdBy タグは、サポートされている AWS のサービスとリソースにのみ使用できます。値には、特定の API またはコンソールイベントに関連付けられたデータが含まれます。詳細については、AWS Billing and Cost Management ユーザーガイドの「AWS 生成コスト配分タグ」を参照してください。

オートメーションのタグ

リソースまたはサービスに固有のタグは、多くの場合、オートメーションアクティビティ中にリソースをフィルタリングする目的で使用します。オートメーションタグは、自動タスクのオプトインまたはオプトアウト、またはアーカイブ、更新、削除の対象となるリソースのバージョンの特定に使用します。たとえば、オートメーションにした start または stop スクリプトを実行して業務時間外に開発環境をオフにすれば、コストが削減できます。このシナリオで Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタグを使うと、このアクションからオプトアウトするインスタンスを簡単に指定できます。古くなった、またはローリング更新された Amazon EBS スナップショットを検索して削除するスクリプトの場合、スナップショットタグで検索条件にディメンションを追加することができます。

アクセス制御のタグ

IAM ポリシーでは、タグベースの条件をサポートしています。このため、特定のタグやタグの値に基づいて IAM アクセス許可を制限できます。たとえば、IAM ユーザーまたはロールのアクセス許可に、EC2 API コールをタグに基づいて特定の環境 (開発、テスト、本番など) に制限する条件を含めることができます。同じ戦略を使用して、API 呼び出しを特定の Amazon Virtual Private Cloud (Amazon VPC) ネットワークに制限できます。タグベースのリソースレベルの IAM アクセス許可をサポートしているかどうかは、サービスによって異なります。アクセス制御にタグベースの条件を使用する場合は、タグを変更できるユーザーを定義することで、タグの変更を制限してください。AWS リソースへの API アクセスを制御するためのタグの使用に関する詳細については、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。

タグ付けのガバナンス

効果的なタグ付け戦略を実装するには、標準化されたタグを使用し、それをプログラミングによって AWS リソース全体に一貫して適用します。AWS 環境におけるタグの管理には、リアクティブなアプローチとプロアクティブなアプローチの両方が使用できます。

  • リアクティブガバナンスの目的は、リソースグループタグ付け API、AWS Config Rules、カスタムスクリプトなどのツールを使用して適切にタグ付けされていないリソースを見つけることです。リソースを手動で検索するには、タグエディタと請求明細レポートを使用します。

  • プロアクティブガバナンスは、AWS CloudFormation、AWS Service Catalog、AWS Organizations のタグポリシー、または IAM のリソースレベルの許可などのツールを使用して、リソース作成時に標準化されたタグが一貫的に適用されるようにします。

    たとえば、AWS CloudFormation Resource Tags プロパティを使用して、リソースタイプにタグを適用できます。AWS Service Catalog では、ポートフォリオと製品タグを追加すれば、製品の開始時に自動的にポートフォリオと製品タグの組み合わせが適用されます。より厳格なプロアクティブガバナンスには、自動タスクが含まれます。たとえば、リソースグループタグ付け API を使用して AWS 環境のタグを検索したり、不適切にタグ付けされたリソースを隔離または削除するためのスクリプトを実行したりできます。

詳細はこちら

このページでは、AWS リソースのタグ付けに関する一般的な情報を提供します。AWS の特定のサービスでリソースにタグを付ける方法の詳細については、そのドキュメントを参照してください。タグ付けに関する適切な情報源を以下に示します。