タグポリシーの開始方法 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグポリシーの開始方法

タグポリシーを使用するには、複数のAWSのサービス。開始するには、次のページを参照してください。次に、このページのワークフローに従って、タグポリシーとその影響について理解を深めます。

初めてのタグポリシーの使用

タグポリシーを初めて使用するには、次の手順に従います。

タスク サインインするアカウント 使用する AWS サービスコンソール

ステップ 1: 組織のタグポリシーを有効にします。

組織の管理アカウント¹

AWS Organizations

ステップ 2: タグポリシーを作成します。

最初のタグポリシーはシンプルにするよう心がけます。使用する大文字小文字の処理に 1 つのタグキーを入力し、その他のオプションはすべてデフォルトのままにします。

組織の管理アカウント¹

AWS Organizations

ステップ 3: テストに使用できる単一のメンバーアカウントにタグポリシーをアタッチします。

次のステップでは、このアカウントにサインインする必要があります。

組織の管理アカウント¹

AWS Organizations

ステップ 4: 準拠タグを持つリソースと、非準拠タグを持つリソースを作成します。

テスト目的で使用するメンバーアカウント。

使い慣れている任意の AWS のサービス。たとえば、AWS Secrets Manager を使って「基本的なシークレットを作成する」の手順に従い、準拠したシークレットと非準拠のシークレットを持つシークレットを作成できます。

ステップ 5: 有効なタグポリシーを表示し、アカウントのコンプライアンス状況を評価します。

テスト目的で使用するメンバーアカウント。

リソースグループとAWSリソースが作成されたのサービス。

準拠タグと非準拠タグを使用してリソースを作成した場合、結果に非準拠タグが表示されます。

ステップ 6: テストアカウントのリソースがタグポリシーに準拠するまで、コンプライアンスの問題を検出して修正するプロセスを繰り返します。

テスト目的で使用するメンバーアカウント。

リソースグループとAWSリソースが作成されたのサービス。

いつでも、組織全体のコンプライアンスを評価できます。

組織の管理アカウント¹

リソースグループ

¹ IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨組織の管理アカウントで)。

タグポリシーの使用の拡大

次のタスクを任意の順序で実行すると、タグポリシーの使用を拡張できます。

高度なタスク サインインするアカウント 使用する AWS サービスコンソール

より高度なタグポリシーを作成します

初回ユーザーと同じプロセスを実行しますが、他のタスクを試します。たとえば、追加のキーや値を定義したり、タグキーに対して異なる大文字小文字の処理を指定したりします。

ポリシーの継承について」および「タグポリシー構文」の情報を使用して、より詳細なタグポリシーを作成できます。

組織の管理アカウント¹

AWS Organizations

タグポリシーを追加のアカウントまたは OU にアタッチします。

アカウントまたはアカウントがメンバーである OU にさらにポリシーをアタッチした後、そのアカウントの有効なタグポリシーを確認します。

組織の管理アカウント¹

AWS Organizations

新しいリソースが作成されたら、タグをリクエストする SCP を作成します。例については、「 指定された作成されたリソースにタグを要求する」を参照してください。

組織の管理アカウント¹

AWS Organizations

有効なタグポリシーが変更されるたびに、アカウントのコンプライアンスステータスを引き続き評価します。非準拠タグを修正します。

有効なタグポリシーを持つメンバーアカウント。

リソースグループとAWSリソースが作成されたのサービス。

組織全体のコンプライアンスを評価します

組織の管理アカウント¹

リソースグループ

¹ IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨組織の管理アカウントで)。

初めてのタグポリシーの強制

初めてタグポリシーを強制するには、タグポリシーを初めて使用する場合と同じワークフローに従い、テストアカウントを使用します。

警告

コンプライアンスの強制には注意が必要です。タグポリシーを使用した場合の影響を理解し、推奨されるワークフローに従ってください。テストアカウントで強制の仕組みをテストしてから、他のアカウントに展開します。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。詳細については、「強制について」を参照してください。

強制タスク サインインするアカウント 使用する AWS サービスコンソール

ステップ 1: タグポリシーを作成します。

最初に強制するタグポリシーはシンプルにするよう心がけます。使用する大文字小文字の処理にタグキーを 1 つ入力し、[Prevent noncompliant operations for this tag (このタグに対する非準拠操作を防止する)] オプションを選択します。次に、適用するリソースタイプを 1 つ指定します。前述の例の続きとして、Secrets Manager に強制するよう選択します。

組織の管理アカウント¹

AWS Organizations

ステップ 2: タグポリシーを単一のテストアカウントにアタッチします。

組織の管理アカウント¹

AWS Organizations

ステップ 3: 準拠タグを持つリソースと、非準拠タグを持つリソースを作成してみます。非準拠タグを持つタグポリシーで指定されたタイプのリソースにタグを作成することはできません。

テスト目的で使用するメンバーアカウント。

使い慣れている任意の AWS のサービス。たとえば、AWS Secrets Manager を使って「基本的なシークレットを作成する」の手順に従い、準拠したシークレットと非準拠のシークレットを持つシークレットを作成できます。

ステップ 4: 有効なタグポリシーに対してアカウントのコンプライアンスステータスを評価し、非準拠タグを修正します。

テスト目的で使用するメンバーアカウント。

Resource Groups およびAWSリソースが作成されたのサービス。

ステップ 5: テストアカウントのリソースがタグポリシーに準拠するまで、コンプライアンスの問題を検出して修正するプロセスを繰り返します。

テスト目的で使用するメンバーアカウント。

リソースグループとAWSリソースが作成されたのサービス。

いつでも、組織全体のコンプライアンスを評価できます。

組織の管理アカウント¹

リソースグループ

¹ IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨組織の管理アカウントで)。