ベストプラクティスと戦略 - AWS リソースとタグエディタのタグ付け

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベストプラクティスと戦略

このセクションでは、 AWS リソースにタグを付け、タグエディタを使用する際のベストプラクティスと戦略について説明します。

タグ付けのベストプラクティス

AWS リソースのタグ付け戦略を作成するときは、ベストプラクティスに従います。

  • 個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには、請求を含む多くの AWS のサービスからアクセスできます。タグは、プライベートデータや機密データに使用することを意図していません。

  • タグには、標準化された、大文字と小文字の区別がある形式を使用し、すべてのリソースタイプに一貫して適用します。

  • リソースアクセスコントロールの管理、コスト追跡、オートメーション、整理など、複数の目的に対応したタグガイドラインを考慮します。

  • 自動化されたツールを使用して、リソースタグを管理できます。タグエディタと Resource Groups Tagging API を使用すると、タグをプログラムで制御できるため、タグとリソースの自動管理、検索、フィルタリングが容易になります。

  • タグは、多めに使用します。

  • ビジネス要件の変化に合わせてタグを変更するのは簡単ですが、将来の変更の影響を考慮してください。たとえば、アクセス制御タグを変更した場合、そのタグを参照してリソースへのアクセスを制御するポリシーも更新する必要があります。

  • AWS Organizationsを使用してタグポリシーを作成およびデプロイすることで、組織が採用するタグ付け標準を自動的に適用することができます。タグポリシーでは、有効なキー名と各キーに有効な値を定義するタグ付けルールを指定することができます。モニタリングのみを選択して、既存のタグを評価し、クリーンアップすることもできます。選択した標準にタグが準拠したら、タグポリシーで適用を有効にして、非準拠のタグが作成されないようにすることができます。詳細については、AWS Organizations ユーザーガイドタグポリシーを参照してください。

タグの命名に関するベストプラクティス

ここでは、タグに関する命名規則に関するベストプラクティスについて説明します。

AWS タグのキー名では大文字と小文字が区別されるため、一貫して使用してください。たとえば、タグキーの CostCentercostcenter は異なります。一方のタグキーは財務分析とレポート用のコスト配分タグとして設定され、もう一方は同じ用途には設定されていないかもしれません。

多数のタグは、 によって事前定義 AWS されているか、さまざまな によって自動的に作成されます AWS のサービス。多くのAWS 生成されたタグは、すべて小文字のキー名を使用し、名前に含まれる単語はハイフンで区切られ、タグのソースサービスを識別するプレフィックスにコロンが続きます。例えば、以下を参照してください。

  • aws:ec2spot:fleet-request-id は、インスタンスを起動した Amazon EC2スポットインスタンスリクエストを識別するタグです。

  • aws:cloudformation:stack-name は、リソースを作成した AWS CloudFormation スタックを識別するタグです。

  • elasticbeanstalk:environment-name は、リソースを作成したアプリケーションを識別するタグです。

次のルールを使用してタグに名前を付けることを検討してください。

  • 単語にはすべて小文字を使用してください。

  • 単語を区切るにはハイフンを使用してください。

  • プレフィックスに続けてコロンを付けると、組織名または省略名を識別できます。

例えば、 という名前の架空の会社の場合AnyCompany、次のようなタグを定義できます。

  • anycompany:cost-center のタグは、内部のコストセンターのコードを識別するのに使用。

  • anycompany:environment-type のタグは、開発、テスト、本番のいずれの環境であるかを識別するのに使用。

  • anycompany:application-id のタグは、リソースが作成されたアプリケーションを識別するのに使用。

プレフィックスを使用すると、タグが組織で定義されているとおりに明確に認識され、 AWS や使用しているサードパーティーのツールでは認識されません。すべて小文字を使用し、単語をハイフンで区切ることにより、タグ名に大文字を使用した場合の混乱を避けることができます。例えば、anycompany:project-id の方が、ANYCOMPANY:ProjectIDanycompany:projectIDAnycompany:ProjectId よりも覚えるのが簡単です。

タグの命名制限と要件

タグには、次の基本的な命名要件と使用要件が適用されます。

  • 各リソースは、最大 50 個のユーザー作成タグを持つことができます。

  • aws: で始まるシステム作成タグは AWS に使用するために予約されており、この制限にはカウントされません。aws: プレフィックスで始まるタグを編集または削除することはできません。

  • タグキーは、リソースごとにそれぞれ一意である必要があります。また、各タグキーに設定できる値は 1 つのみです。

  • タグキーは、UTF-8 で 1~128 文字の Unicode 文字である必要があります。

  • タグ値は、UTF-8 で最小 0 文字、最大 256 文字の Unicode 文字である必要があります。

  • 使用できる文字はサービスによって異なります AWS 。特定の AWS サービスのリソースにタグを付けるために使用できる文字については、そのドキュメントを参照してください。一般に、使用できる文字は、文字、数字、UTF-8 で表されるスペース、および _ . : / = + - @ です。

  • タグのキーと値では、大文字と小文字が区別されます。ベストプラクティスとして、タグを大文字にするための戦略を決定し、その戦略をすべてのリソースタイプにわたって一貫して実装します。たとえば、CostcentercostcenterCostCenter のいずれを使用するかを決定し、すべてのタグに同じ規則を使用します。大文字と小文字の扱いについて、同様のタグに整合性のない規則を使用することは避けてください。

一般的なタグ付け戦略

以下のタグ付け戦略を使用すると、 AWS リソースの識別と管理に役立ちます。

リソース整理のタグ

タグは、 で AWS リソースを整理する良い方法です AWS Management Console。タグと共にリソースが表示されるように設定したり、タグで検索やフィルタリングを行ったりできます。 AWS Resource Groups サービスを使用すると、1 つ以上のタグまたはタグの一部に基づいて AWS リソースのグループを作成できます。また、 AWS CloudFormation スタックでの出現に基づいてグループを作成することもできます。リソースグループとタグエディタを使用すると、複数のサービス、リソース、リージョンで構成されるアプリケーションのデータを 1 か所にまとめて表示できます。

コスト配分のタグ

AWS Cost Explorer と詳細な請求レポートを使用すると、 AWS コストをタグ別に分類できます。通常、コストセンター/ビジネスユニット、顧客プロジェクトなどのビジネスタグを使用して、 AWS コストを従来のコスト配分ディメンションに関連付けます。ただし、コスト配分レポートで使用できるタグに制限はありません。特定のアプリケーション、環境、コンプライアンスプログラムなど、技術やセキュリティに関するディメンションを使って、コストの関連付けを行うことができます。

一部のサービスでは、 が AWS生成するcreatedByタグをコスト配分の目的で使用して、そうしないと分類されない可能性のあるリソースを考慮するのに役立ちます。createdBy タグは、サポートされている AWS のサービスとリソースにのみ使用できます。その値には、特定の APIまたはコンソールイベントに関連付けられたデータが含まれます。詳細については、AWS Billing and Cost Management ユーザーガイドの「AWS生成コスト配分タグ」を参照してください。

オートメーションのタグ

リソースまたはサービスに固有のタグは、多くの場合、オートメーションアクティビティ中にリソースをフィルタリングする目的で使用します。オートメーションタグは、自動タスクのオプトインまたはオプトアウト、またはアーカイブ、更新、削除の対象となるリソースのバージョンの特定に使用します。たとえば、オートメーションにした start または stop スクリプトを実行して業務時間外に開発環境をオフにすれば、コストが削減できます。このシナリオでは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタグは、このアクションをオプトアウトするインスタンスを識別する簡単な方法です。古い Amazon EBSスナップショット、、 out-of-dateまたはローリング Amazon スナップショットを検索して削除するスクリプトの場合、スナップショットタグは検索条件のディメンションを追加することができます。

アクセス制御のタグ

IAM ポリシーはタグベースの条件をサポートしており、特定のタグまたはタグ値に基づいてIAMアクセス許可を制限できます。例えば、IAMユーザーまたはロールのアクセス許可には、タグに基づいて特定の環境 (開発、テスト、本番稼働など) へのEC2API呼び出しを制限する条件を含めることができます。同じ戦略を使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) ネットワークへのAPI呼び出しを制限できます。タグベースのリソースレベルのIAMアクセス許可のサポートは、サービス固有です。アクセス制御にタグベースの条件を使用する場合は、タグを変更できるユーザーを定義することで、タグの変更を制限してください。タグを使用して AWS リソースAPIへのアクセスを制御する方法の詳細については、「 ユーザーガイド」のAWS 「 と連携する のサービスIAMIAM」を参照してください。

タグ付けのガバナンス

効果的なタグ付け戦略では、標準化されたタグを使用し、 AWS リソース全体に一貫してプログラムで適用します。リアクティブアプローチとプロアクティブアプローチの両方を使用して、 AWS 環境内のタグを管理できます。

  • リアクティブガバナンスは、Resource Groups Tagging API、 AWS Config ルール、カスタムスクリプトなどのツールを使用して適切にタグ付けされていないリソースを見つけるためのものです。リソースを手動で検索するには、タグエディタと請求明細レポートを使用します。

  • プロアクティブガバナンスは AWS CloudFormation、、Service Catalog、 のタグポリシー、またはIAMリソースレベルのアクセス許可などのツールを使用して AWS Organizations、リソースの作成時に標準化されたタグが一貫して適用されるようにします。

    例えば、 プロパティを使用して AWS CloudFormation Resource Tagsリソースタイプにタグを適用できます。サービス・カタログ では、ポートフォリオと製品タグを追加すれば、製品の開始時に自動的にポートフォリオと製品タグの組み合わせが適用されます。より厳格なプロアクティブガバナンスには、自動タスクが含まれます。例えば、Resource Groups Tagging を使用して環境のタグAPIを検索 AWS したり、スクリプトを実行して不適切にタグ付けされたリソースを隔離または削除したりできます。