翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織全体のコンプライアンスを評価する
有効なタグポリシーを使用して、組織のコンプライアンスを評価できます。組織全体のアカウントにあるすべてのタグ付きリソースと、各リソースが有効なタグポリシーに準拠しているかどうかを一覧表示するレポートを生成できます。
重要
タグ付けされていないリソースは、結果で非準拠と表示されません。
アカウントでタグ付けされていないリソースを検索するには、 を使用するクエリ AWS Resource Explorer で を使用しますtag:none。詳細については、「AWS Resource Explorer
ユーザーガイド」の「タグ付けされていないリソースの検索」を参照してください。
組織の管理アカウントからレポートを生成できるのは、 us-east-1 AWS リージョン のみです。レポートを生成するアカウントは、米国東部 (バージニア北部)リージョンの Amazon S3 バケットへのアクセス権が必要です。「Amazon S3 バケット Policy for Storing Report」に示されているように、バケットにはバケットポリシーがアタッチされている必要があります。
組織全体のコンプライアンスレポートを生成するには、次のアクセス許可が必要です。
-
organizations:DescribeEffectivePolicy -
tag:GetComplianceSummary -
tag:StartReportCreation -
tag:DescribeReportCreation -
s3:ListAllMyBuckets -
s3:GetBucketAcl -
s3:GetObject -
s3:PutObject
これらのアクセス許可の表示に関する IAM ポリシーの例については、「組織全体のコンプライアンスを評価するためのアクセス許可」を参照してください。
組織全体のコンプライアンスレポートを生成するには (コンソール)
-
タグポリシー コンソール
を開きます。 -
この組織のルートタブを選択し、ページの下部近くにある レポートを生成を選択します。
-
レポートの生成画面で、レポートの保存場所を指定します。
-
エクスポートの開始を選択します。
レポートが完了したら、組織ルートタブの 非準拠レポートセクションからダウンロードすることができます。
注意事項
組織全体のコンプライアンスは 48 時間ごとに評価されます。この結果は以下のようになります。
-
タグポリシーまたはリソースに加えた変更が組織全体のコンプライアンスレポートに表示されるまで、最大で 48 時間かかる可能性があります。例えば、リソースタイプに対して新しい標準化されたタグを定義するタグポリシーがあるとします。レポートでは、このタイプでこのタグを持たないリソースが最大 48 時間にわたって準拠していると表示される可能性があります。
-
レポートはいつでも生成できますが、レポートの結果は次の評価が完了するまで更新されません。
-
NoncompliantKeys 列には、有効なタグポリシーに準拠していない、リソース上のタグキーが一覧表示されます。
-
KeysWithNonCompliantValues 列には、大文字と小文字の区別が正しくないか、または非準拠の値を持つ、リソース上にある有効なポリシーで定義されているキーが一覧表示されます。
-
組織のメンバー AWS アカウント であった を閉じた場合、タグコンプライアンスレポートに最大 90 日間表示し続けることができます。
組織全体のコンプライアンスレポートを生成するには (AWS CLI, AWS API)
次のコマンドと操作を使用して、組織全体のコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示します。
-
AWS Command Line Interface AWS CLI):
でタグポリシーを使用する完全な手順については AWS CLI、 AWS Organizations ユーザーガイドの「 でのタグポリシーの使用 AWS CLI」を参照してください。
-
AWS API:
