強制について - AWS Organizations

強制について

タグポリシーは、指定したリソースタイプで非準拠のタグ付けオペレーションを強制するように指定できます。つまり、指定されたリソースタイプで非準拠のタグ付けリクエストは完了できません。

重要

強制は、タグなしで作成されたリソースには影響しません。

タグポリシーへのコンプライアンスを強制するには、タグポリシーを作成するときに、次のいずれかの操作を行います。

タグポリシーへの準拠を強制するには、次のベストプラクティスに従います。

  • コンプライアンスの強制には注意が必要です - タグポリシーを使用した場合の影響を理解し、「タグポリシーの開始方法」で説明されている推奨ワークフローに従ってください。テストアカウントで強制の仕組みをテストしてから、他のアカウントに展開します。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。

  • 強制できるリソースタイプに注意するサポートされているリソースタイプに対してのみ、タグポリシーへの準拠を強制できます。コンプライアンスの強制をサポートするリソースタイプは、ビジュアルエディタを使用してタグポリシーを構築するときに一覧表示されます。

  • 一部のサービスとの相互作用を理解する - 一部の AWS のサービスには、リソースを自動的に作成するコンテナのようなリソースのグループがあり、タグは 1 つのサービス内のリソースから別のサービスに伝播します。例えば、Amazon EC2 Auto Scaling グループと Amazon EMR クラスターのタグは、それら含む Amazon EC2 インスタンスに自動的に伝播します。Auto Scaling グループまたは EMR クラスターよりも厳しい Amazon EC2 のタグポリシーがある場合があります。強制を有効にすると、タグポリシーによってリソースにタグ付けできなくなり、動的なスケーリングおよびプロビジョニングがブロックされる可能性があります。

次のセクションでは、非準拠のリソースを見つけ、準拠するものに修正する方法を説明します。

アカウントの非準拠リソースの検索

各アカウントについて、非準拠のリソースに関する情報を取得できます。このコマンドは、アカウントにリソースがあるすべてのリージョンから実行する必要があります。

有効なポリシーを使用するアカウントの非準拠のリソースを見つけるには、アカウントにサインインしたときに次のコマンドを実行し、結果をファイルに保存します。

$ aws resourcegroupstaggingapi get-resources --region us-east-1 \ --include-compliance-details \ --exclude-compliant-resources > outputfile.txt

リソース内の非準拠タグの修正

非準拠タグを見つけたら、以下のいずれかの方法を使用して修正します。非準拠タグの付いたリソースがあるアカウントにサインインする必要があります。

  • 非準拠リソースを作成した AWS のサービスのコンソールまたは API オペレーションを使用します。

  • AWS Resource Groups TagResources および UntagResources オペレーションを使用して、有効なポリシーに準拠しているタグを追加するか、非準拠のタグを削除します。

その他の非準拠問題の検出と修正

コンプライアンスの問題を見つけて修正することは、反復的なプロセスです。関心のあるリソースがタグポリシーに準拠するまで、前の 2 つのセクションのステップを繰り返します。

組織全体のコンプライアンスレポートの生成

組織の AWS アカウント 内のタグ付きリソースをすべて一覧表示するレポートは、いつでも生成できます。レポートには、各リソースが有効なタグポリシーに準拠しているかどうかが表示されます。タグポリシーまたはリソースに加えた変更が組織全体のコンプライアンスレポートに反映されるまで、最大で 48 時間かかる可能性があります。例えば、リソースタイプに対して新しい標準化されたタグを定義するタグポリシーがあるとします。レポートでは、このタイプでこのタグを持たないリソースが最大 48 時間にわたって準拠していると表示されます。

us-east-1 リージョンの組織の管理アカウントが Amazon S3 バケットにアクセスできる場合、このアカウントからレポートを生成できます。「Amazon S3 Bucket Policy for Storing Report」に示されているように、バケットにはバケットポリシーがアタッチされている必要があります。レポートを生成するには、次のコマンドを実行します。

$ aws resourcegroupstaggingapi get-compliance-summary --region us-east-1 { "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ] }

一度に生成できるレポートは 1 つです。

このレポートは完了までに時間がかかる場合があります。ステータスを確認するには、次のコマンドを実行します。

$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1 { "Status": "SUCCEEDED" }

上記のコマンドが SUCCEEDED を返したら、Amazon S3 バケットのレポートを開くことができます。