タグポリシー使用のベストプラクティス

AWS では、タグポリシーを使用する際に次のベストプラクティスを推奨しています。

タグの大文字小文字に関する方針を決定する

タグを大文字小文字どちらにするかを決め、その方針をすべてのリソースタイプに一貫して実装します。例えば、Costcenter、costcenter、CostCenter のいずれを使用するかを決定し、すべてのタグに同じ規則を使用します。コンプライアンスレポートの結果に一貫性を持たせるには、大文字と小文字が異なる類似タグを使用しないでください。この方針は、組織のタグポリシーを定義するのに役立ちます。

推奨されるワークフローを使用する

単純なタグポリシーを作成して、小規模なものから始めます。次に、テスト目的で使用できるメンバーアカウントにアタッチします。「タグポリシーの開始方法」で説明されているワークフローを使用します。

タグ付けルールを決定する

これは、組織のニーズによって異なります。例えば、CostCenter タグを AWS Secrets Manager シークレットにアタッチするときに、指定された大文字小文字の処理を使用する必要があることを指定できます。準拠タグを定義するタグポリシーを作成し、タグ付けルールを有効にする組織エンティティにアタッチします。

アカウント管理者を教育する

タグポリシーの使用範囲を広げる準備ができたら、アカウント管理者を次のように教育します。

• タグ付け方針を伝えます。

• 管理者は特定のリソースタイプでタグを使用する必要があることを強調します。

  タグなしリソースは、コンプライアンス結果で非準拠と表示されないため、これが重要となります。

• タグポリシーへの準拠を確認するためのガイダンスを提供します。AWS Resource Groups ユーザーガイドの「アカウントのコンプライアンスを評価する」で説明されている手順を使用して、アカウント内のリソースの非準拠のタグを見つけて修正するよう管理者に指示します。コンプライアンスをチェックする頻度を知らせます。

コンプライアンスの強制には注意が必要です。

コンプライアンスの強制によって、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。「強制について」の情報を確認します。「タグポリシーの開始方法」で説明されているワークフローも参照してください。

リソース作成リクエストにガードレールを設定するための SCP の作成を検討する

タグが付けられたことがないリソースは、レポートで非準拠として表示されません。アカウント管理者は、それでもタグなしリソースを作成できます。場合によっては、サービスコントロールポリシー (SCP) を使用して、リソース作成リクエストの周囲にガードレールを設定できます。SCP の例については、「 作成される特定のリソースにタグを要求する」を参照してください。AWS のサービスが、タグを使用したアクセスのコントロールをサポートしているかどうかを確認するには、「IAM ユーザーガイド」の「IAM と連携する AWS のサービス」を参照してください。[Authorization based on tags] (タグに基づく認可) 列で [Yes] (はい) が表示されているサービスを探します。サービスの名前を選択すると、そのサービスの認証とアクセスコントロールに関するドキュメントが表示されます。