태그 정책 사용에 대한 모범 사례

AWS 에서는 태그 정책 사용에 대한 다음 모범 사례를 권장합니다.

태그 대소문자 전략 결정

태그를 대문자로 전환하고 모든 리소스 유형에서 해당 정책을 일관적으로 구현하는 방법을 결정합니다. 예컨대, Costcenter, costcenter 또는 CostCenter를 사용할지 결정하고 모든 태그에 대해 동일한 규칙을 사용합니다. 정책 준수 보고서에서 일관된 결과를 얻으려면 일관되지 않은 대소문자 처리와 비슷한 태그를 사용하지 마세요. 이 전략은 조직의 태그 정책을 정의하는 데 도움이 됩니다.

권장 워크플로 사용

간단한 태그 정책을 생성하여 소규모로 시작합니다. 그런 다음 테스트용으로 사용할 수 있는 멤버 계정에 연결합니다. 태그 정책 시작하기에서 설명하는 워크플로를 사용합니다.

태그 지정 규칙 결정

이 항목은 조직의 필요에 따라 결정됩니다. 예를 들어 CostCenter 태그가 AWS Secrets Manager 보안 암호에 연결될 때 지정된 대/소문자 처리를 사용하도록 지정할 수 있습니다. 정책 준수 태그를 정의하는 태그 정책을 생성하고 해당 태그 지정 규칙을 적용할 조직 엔터티에 태그 정책을 연결합니다.

계정 관리자 교육

태그 정책 사용을 확장할 준비가 되면 계정 관리자를 다음과 같이 교육합니다.

• 태그 지정 전략을 전달합니다.

• 관리자가 특정 리소스 유형에서 태그를 사용해야 한다는 점을 강조합니다.

  태그가 없는 리소스는 정책 준수 결과에서 정책 미준수로 표시되지 않으므로 이렇게 하는 것이 중요합니다.

• 태그 정책 준수 확인에 대한 지침을 제공합니다. 리소스 태깅 사용 설명서의 계정에 대한 규정 준수 평가에 설명된 절차를 사용하여 계정의 리소스에서 규정 미준수 태그를 찾고 수정하도록 관리자에게 지시합니다. AWS 정책 준수 여부를 확인할 빈도를 관리자에게 알려줍니다.

정책 준수 적용 시 주의

정책 준수를 적용하면 조직의 계정에 있는 사용자가 필요한 리소스에 태그를 지정할 수 없습니다. 태그 지정 일관성 적용의 정보를 검토합니다. 태그 정책 시작하기에서 설명하는 워크플로도 참조합니다.

태그 지정 제한에 유의하세요.

AWS 서비스는 일반적으로 수정할 수 없는 사용자 정의 태그가 50개로 제한됩니다. 필수 태그 보고와 같은 기능을 사용하는 경우 조직의 유효 정책이 지정된 리소스 유형에 필요한 태그 50개를 초과하지 않도록 하세요. 이 제한을 초과하면 두 가지 문제가 발생할 수 있습니다. 리소스는 규정 준수 요약에서 규정 준수 상태를 달성하지 못할 수 있으며, 코드형 인프라(IaC) 플랫폼은 필요에 따라 50개 이상의 태그가 정의될 때 리소스를 생성하지 못할 수 있습니다.

리소스 생성 요청에 대한 가드레일을 설정하는 SCP 생성 고려

태그가 연결되지 않은 리소스는 보고서에서 정책 미준수로 표시되지 않습니다. 계정 관리자는 여전히 태그 없는 리소스를 생성할 수 있습니다. 경우에 따라, SCP(서비스 제어 정책)를 사용하여 리소스 생성 요청에 대한 가드레일을 설정할 수 있습니다.

AWS 서비스가 태그를 사용하여 액세스 제어를 지원하는지 여부를 알아보려면 AWS 서비스 IAM 사용 설명서의 IAM으로 작업하기를 참조하세요. 태그 기반 권한 부여(ABAC) 열이 예로 표시된 서비스를 찾습니다. 서비스의 이름을 선택하여 해당 서비스에 대한 권한 부여 및 액세스 제어 문서를 봅니다.