리소스에 태그 지정하기 AWS

태그는 AWS 리소스 구성을 위한 메타데이터 역할을 하는 키와 값 쌍입니다. 대부분의 AWS 리소스에서는 리소스를 생성할 때 태그를 추가할 수 있습니다. 리소스의 예에는 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스, Amazon Simple Storage Service(S3) 버킷, AWS Secrets Manager의 시크릿 등이 있습니다.

중요

개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. 당사는 태그를 사용하여 청구 및 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.

태그를 사용하면 리소스를 손쉽게 관리, 식별, 정리, 검색 및 필터링할 수 있습니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다.

각 태그에는 다음 두 가지 부분이 있습니다.

• 태그 키(예: CostCenter, Environment 또는 Project) 태그 키는 대/소문자를 구별합니다.

• 태그 값(예: 111122223333 또는 Production). 태그 키처럼 태그 값은 대/소문자를 구별합니다.

AWS 리소스에 태그를 추가하는 방법

AWS 리소스에 태그를 추가하는 세 가지 방법이 있습니다.

• AWS 서비스 API 작업 — 태깅 API 작업이 직접 지원되었습니다. AWS 서비스각 AWS 서비스 태깅 기능이 무엇인지 알아보려면 설명서 색인의 서비스 설명서를 AWS 참조하십시오.

• Tag Editor 콘솔 - 일부 서비스는 AWS Tag Editor 콘솔을 통한 태그 지정 기능을 지원합니다.

• 리소스 그룹 태그 지정 API - 대부분의 서비스는 AWS Resource Groups Tagging API를 사용하는 태그 지정 기능을 지원합니다.

참고

또한 AWS Service Catalog TagOptions 라이브러리를 사용하여 프로비전된 제품의 태그를 쉽게 관리할 수 있습니다. TagOptionA는 Service Catalog에서 관리되는 키-값 쌍입니다. 태그는 아니지만 를 기반으로 AWS AWS 태그를 생성하기 위한 템플릿 역할을 합니다. TagOption

AWS에서 비용이 발생하는 모든 서비스의 리소스에 태깅할 수 있습니다. 다음 서비스의 경우 고객 사용 사례에 더 잘 맞도록 태그 지정을 AWS 서비스 지원하는 새로운 대안을 AWS 권장합니다.

Amazon Cloud Directory	아마존 CloudSearch	Amazon Cognito Sync
AWS Data Pipeline	Amazon Elastic Transcoder	Amazon Machine Learning
AWS OpsWorks Stacks	Amazon S3 Glacier Direct	Amazon SimpleDB
Amazon WorkSpaces 애플리케이션 관리자	AWS DeepLens

모범 사례

AWS 리소스에 대한 태깅 전략을 만들 때는 모범 사례를 따르십시오.

• 개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 추가하지 않습니다. 태그는 대금 청구를 비롯한 여러 AWS 서비스에서 액세스할 수 있습니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.

• 대/소문자를 구분하는 표준화된 태그 형식을 사용하고 모든 리소스 유형에 일관되게 적용합니다.

• 리소스 액세스 제어, 비용 추적, 자동화 및 조직 관리와 같은 다양한 용도를 지원하는 태그 지침을 고려합니다.

• 리소스 태그를 관리하는 데 도움이 되는 자동화 도구를 사용합니다. Tag Editor 및 리소스 그룹 API 태그 지정를 사용하면 태그를 프로그래밍 방식으로 제어하여 태그와 리소스를 더 쉽게 자동으로 관리, 검색 및 필터링할 수 있습니다.

• 태그를 너무 적게 사용하는 것보다는 너무 많이 사용하는 편이 낫습니다.

• 변화하는 비즈니스 요구 사항에 맞춰 태그를 변경하는 것은 쉽지만 향후 변경에 따른 결과를 고려해야 합니다. 예를 들어 액세스 제어 태그를 변경하는 경우 해당 태그를 참조하며 리소스에 대한 액세스를 제어하는 정책도 업데이트해야 합니다.

• AWS Organizations를 사용하여 태그 정책을 생성하고 배포하여 조직에서 도입하기로 선택한 태깅 표준을 자동으로 적용할 수 있습니다. 태그 정책을 사용하면 각 키에 유효한 키 이름과 값을 정의하는 태깅 규칙을 지정할 수 있습니다. 기존 태그를 평가하고 정리할 기회를 얻기 위해 모니터링만 하도록 선택할 수 있습니다. 태그가 선택한 표준에 부합하면 태그 정책에서 적용을 활성화하여 표준에 부합하지 않는 태그가 생성되지 않도록 할 수 있습니다. 자세한 내용은 AWS Organizations 사용 설명서의 태그 정책을 참조하세요.

태깅 범주

일반적으로 태그를 효과적으로 사용하는 기업은 기술, 비즈니스 및 보안 차원에서 리소스를 정리할 수 있도록 비즈니스 관련 태그 그룹을 생성합니다. 또한 자동화된 프로세스를 사용하여 인프라를 관리하는 기업에서는 자동화 관련 태그를 추가로 사용합니다.

기술 태그	자동화용 태그	비즈니스 태그	보안 태그
이름 – 개별 리소스 식별 애플리케이션 ID – 특정 애플리케이션과 관련된 리소스 식별 애플리케이션 역할 – 특정 리소스(예: 웹 서버, 메시지 브로커, 데이터베이스)의 기능 설명 클러스터 – 공통 구성을 공유하고 애플리케이션에 대해 특정 기능을 수행하는 리소스 팜 식별 환경 – 개발, 테스트, 프로덕션 리소스 간 구별 버전 – 리소스 또는 애플리케이션의 버전 구별	날짜/시간 – 리소스를 시작, 중지, 삭제 또는 교체해야 하는 날짜 또는 시간 식별 옵트인/옵트아웃 – 인스턴스 시작, 중지 또는 크기 조정과 같은 자동화된 작업에 리소스를 포함할지 여부 지정 보안 – 암호화 또는 Amazon VPC 흐름 로그 활성화와 같은 요구 사항 결정, 추가 조사가 필요한 라우팅 테이블 또는 보안 그룹 식별	프로젝트 – 리소스가 지원하는 프로젝트 식별 소유자 – 리소스에 대한 책임을 지는 사용자 식별 비용 센터/비즈니스 단위 – 대개 비용 할당 및 추적을 위해 리소스와 연관된 비용 센터 또는 비즈니스 단위 식별 고객 – 특정 리소스 그룹이 제공되는 특정 고객 식별	기밀성 – 리소스가 지원하는 특정 데이터 기밀성 수준에 대한 식별자 규정 준수 – 특정 규정 준수 요구 사항을 준수해야 하는 워크로드에 대한 식별자

태그 이름 지정 제한 및 요구 사항

태그에 적용되는 기본 이름 지정 및 사용 요구 사항은 다음과 같습니다.

• 각 리소스에는 최대 50개 사용자 생성 태그가 포함될 수 있습니다.

• aws:로 시작하는 시스템 생성 태그는 AWS 용으로 예약되어 있으며 이 제한이 적용되지 않습니다. aws: 접두사로 시작하는 태그를 편집하거나 삭제할 수 없습니다.

• 각 리소스에 대해 각 태그 키는 고유하며 하나의 값만 가질 수 있습니다.

• 태그 키는 최소 1자, 최대 128자의 UTF-8 형식 유니코드 문자로 지정해야 합니다.

• 태그 값은 최소 0자, 최대 256자의 UTF-8 형식 유니코드 문자로 지정해야 합니다.

• 허용되는 문자는 AWS 서비스에 따라 다를 수 있습니다. 특정 AWS 서비스의 리소스에 태그를 지정하는 데 사용할 수 있는 문자에 대한 자세한 내용은 해당 설명서를 참조하십시오. 일반적으로 허용되는 문자는 UTF-8로 표현할 수 있는 문자, 숫자, 공백 및 _ . : / = + - @ 문자도 있습니다.

• 태그 키와 값은 대소문자를 구분합니다. 태그를 대문자로 사용하는 전략을 세우고 이러한 전략을 모든 리소스 타입에 대해 일관되게 구현하는 것이 가장 좋습니다. 예컨대, Costcenter, costcenter 또는 CostCenter를 사용할지 결정하고 모든 태그에 대해 동일한 규칙을 사용합니다. 대/소문자가 일치하지 않는 유사한 태그를 사용하지 마십시오.

일반적인 태깅 전략

다음 태깅 전략을 사용하면 AWS 리소스를 식별하고 관리하는 데 도움이 됩니다.

리소스 정리용 태그

태그는 에서 AWS 리소스를 구성하는 좋은 방법입니다 AWS Management Console. 리소스와 함께 표시되도록 태그를 구성하고 태그로 리소스를 검색 및 필터링할 수 있습니다. 이 AWS Resource Groups 서비스를 사용하면 하나 이상의 태그 또는 태그 일부를 기반으로 AWS 리소스 그룹을 만들 수 있습니다. AWS CloudFormation 스택에서 발생한 항목을 기반으로 그룹을 만들 수도 있습니다. 리소스 그룹 및 Tag Editor를 사용하면 여러 서비스, 리소스 및 리전으로 구성된 애플리케이션의 데이터를 한 곳에 통합하여 볼 수 있습니다.

비용 할당용 태그

AWS Cost Explorer 및 세부 결제 보고서를 통해 태그별로 AWS 비용을 분류할 수 있습니다. 일반적으로 비용 센터/사업부, 고객 또는 프로젝트와 같은 비즈니스 태그를 사용하여 AWS 비용을 기존의 비용 할당 차원과 연결합니다. 하지만 비용 할당 보고서는 어떤 태그든 포함할 수 있습니다. 따라서 비용을 특정 애플리케이션, 환경 또는 규정 준수 프로그램과 같은 기술이나 보안 차원에 연결할 수 있습니다. 다음은 부분적 비용 할당 보고서의 예입니다.

일부 서비스의 경우 비용 할당 목적으로 AWS생성된 createdBy 태그를 사용하여 분류되지 않을 수 있는 리소스를 처리할 수 있습니다. createdBy 태그는 지원되는 AWS 서비스 및 리소스에만 사용할 수 있습니다. 이 태그 값에는 특정 API 또는 콘솔 이벤트와 관련된 데이터가 포함되어 있습니다. 자세한 내용은 AWS Billing and Cost Management 사용 설명서의 AWS에서 생성되는 비용 할당 태그를 참조하세요.

자동화용 태그

리소스 또는 서비스별 태그는 자동화 작업 중에 리소스를 필터링하는 데 종종 사용됩니다. 자동화 태그는 자동화된 작업을 옵트인 또는 옵트아웃하거나 아카이브, 업데이트 또는 삭제할 리소스의 특정 버전을 식별하는 데 사용됩니다. 예를 들어, 비용을 절감하기 위해 업무 외 시간에 개발 환경의 가동을 중단하는 자동화된 start 또는 stop 스크립트를 실행할 수 있습니다. 이 경우 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 태그를 사용하면 이 작업에서 옵트아웃할 인스턴스를 간단하게 식별할 수 있습니다. 오래된 Amazon EBS 스냅샷이나 롤링 중인 Amazon EBS 스냅샷을 찾아 삭제하는 스크립트의 경우 스냅샷 태그는 검색 기준을 한 차원 더 추가할 수 있습니다. out-of-date

액세스 제어용 태그

IAM 정책은 태그 기반 조건을 지원하므로 특정 태그 또는 태그 값에 따라 IAM 권한을 제한할 수 있습니다. 예를 들어 태그에 기반하여 EC2 API 호출을 특정 환경(예: 개발, 테스트 또는 프로덕션)으로 제한하는 조건을 IAM 사용자 또는 역할 권한에 포함할 수 있습니다. 동일한 전략을 사용하여 API 호출을 특정 Amazon Virtual Private Cloud(VPC) 네트워크로 제한 할 수 있습니다. 태그 기반의 리소스 수준 IAM 권한에 대한 지원은 서비스별로 다릅니다. 액세스 제어에 태그 기반 조건을 사용하는 경우 태그를 수정할 수 있는 사용자를 정의하고 제한해야 합니다. AWS 리소스에 대한 API 액세스 제어를 위한 태그 사용에 관한 자세한 내용은 IAM 사용 설명서의 AWS IAM으로 작업하는 서비스를 참조하세요.

태깅 거버넌스

효과적인 태깅 전략은 표준화된 태그를 사용하고 이를 리소스 전체에 일관되고 프로그래밍 방식으로 적용합니다. AWS 환경에서 태그를 관리하는 데에는 사후 대응적 접근 방식과 사전 예방적 접근 방식을 모두 사용할 수 있습니다. AWS

• 사후 거버넌스는 Resource Groups Tagging API 및 사용자 지정 스크립트와 같은 도구를 사용하여 적절하게 태그가 지정되지 않은 리소스를 찾는 것입니다. AWS Config 규칙리소스를 수동으로 찾으려면 Tag Editor와 세부 결제 보고서를 사용할 수 있습니다.

• 사전 예방적 거버넌스는 Service Catalog, 태그 정책 또는 IAM 리소스 수준 권한과 같은 AWS CloudFormation도구를 사용하여 리소스 생성 시 표준화된 태그가 일관되게 적용되도록 합니다. AWS Organizations

  예를 들어 AWS CloudFormation Resource Tags 속성을 사용하여 리소스 유형에 태그를 적용할 수 있습니다. 서비스 카탈로그에서는 제품을 시작할 때 자동으로 결합되고 적용되는 포트폴리오 및 제품 태그를 추가할 수 있습니다. 보다 엄격한 형태의 사전 예방적 거버넌스 방식에는 자동화된 작업이 포함됩니다. 예를 들어 Resource Groups Tagging API를 사용하여 AWS 환경의 태그를 검색하거나 스크립트를 실행하여 태그가 잘못 지정된 리소스를 격리 또는 삭제할 수 있습니다.

자세히 알아보기

이 페이지에서는 AWS 리소스에 태그를 지정하는 방법에 대한 일반 정보를 제공합니다. 특정 AWS 서비스의 리소스에 태그를 지정하는 방법에 대한 자세한 내용은 해당 설명서를 참조하십시오. 다음은 태깅에 대한 정보의 유용한 출처이기도 합니다.

• 에 대한 자세한 내용은 Resource Groups 태깅 API 참조 안내서를 참조하십시오. AWS Resource Groups Tagging API

• Tag Editor에 대한 자세한 내용은 이 설명서의 Tag Editor를 참조하세요.

• 각각 AWS 서비스 제공하는 태깅 기능에 대한 자세한 내용은 설명서 색인의 서비스 설명서를 AWS 참조하십시오.

• AWS 리소스를 보고 사용할 수 있는 사용자를 제어하기 위해 IAM 정책에서 태그를 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 태그를 사용한 IAM 사용자 및 역할에 대한 액세스 제어를 참조하십시오.