すべてのプロダクト
Search

このプロダクト

    Resource Management:非準拠タグのイベント前インターセプトを有効にする

    ドキュメントセンター

    Resource Management:非準拠タグのイベント前インターセプトを有効にする

    最終更新日:Nov 01, 2024

    タグポリシーを使用して、リソースに準拠していないタグのイベント前のインターセプトを実装し、タグ関連の操作を標準化できます。

    シナリオ

    强制标签

    シナリオ1: リソースを作成するときに非準拠タグを阻止する

    非準拠タグが存在する状況

    • 状況1: リソースを作成するときに、タグポリシーでキーが定義されているタグをリソースに追加します。 ただし、タグの値はタグポリシーで定義されていません。

    • 状況2: リソースを作成するとき、タグポリシーで定義されているタグキーはリソースに追加されません。

    デフォルト機能と強力な検証機能

    • デフォルト機能: 非準拠タグのイベント前のインターセプトは、状況1でのみトリガーされます。

      既定の機能をサポートするリソースタイプとAPI操作の詳細については、概要トピックの [タグポリシーをサポートするサービス] セクションの [既定の機能をサポートするAPI操作] 列を参照してください。

    • 強力な検証機能: この機能を有効にすると、状況1と状況2の両方で、非準拠タグのイベント前のインターセプトがトリガーされます。 リソースディレクトリの場合、この機能は有効になった後、リソースディレクトリ内のすべてのメンバーに対して有効になります。

      強力な検証機能は、リソース管理コンソール[ポリシーライブラリ] ページで有効にできます。 この機能が必要ない場合は、いつでも無効にすることができます。

      image

      強力な検証機能をサポートするリソースタイプとAPI操作の詳細については、「概要」トピックの [タグポリシーをサポートするサービス] セクションの [非準拠タグのイベント前のインターセプトの強力な検証をサポートするAPI操作] 列を参照してください。

    Elastic Compute Service (ECS) インスタンスに対してCostCenter:Beijingタグが定義されたタグポリシーが作成され、Alibaba Cloudアカウントにアタッチされます。 Alibaba Cloudアカウント内にECSインスタンスを作成する場合、インスタンスにタグを追加する必要があります。 それ以外の場合、インスタンスの作成に失敗します。 デフォルト機能を使用する場合、システムはインスタンスの作成時にタグキーCostCenterのみに基づいてインスタンスのタグコンプライアンスをチェックします。 チェックは、タグキーのケースの機密性に関係なくトリガーできます。 CostCenter:Beijingなどのタグがインスタンスに追加された場合、タグは準拠しており、インスタンスを正常に作成できます。 costcenter:Shanghaiなどのタグがインスタンスに追加された場合、タグは非準拠であり、インスタンスを作成できません。 強力な検証機能を有効にすると、インスタンスの作成時にタグキーCostCenterがインスタンスに追加されているかどうかも確認されます。 CostCenter:Beijingタグがインスタンスに追加されていない場合、インスタンスは作成されません。

    シナリオ2: リソースにタグを追加するときに非準拠タグを阻止する

    リソースにタグを追加すると、タグのタグキーとタグ値がタグポリシーの要件を満たしているかどうかがチェックされます。 タグのタグキーとタグ値がタグポリシーの要件を満たしている場合にのみ、リソースにタグを追加できます。

    ベストプラクティス

    • 非準拠タグのイベント前のインターセプトを有効にすると、リソースの運用が影響を受ける可能性があります。 運用環境で非準拠タグのイベント前インターセプトを有効にする前に、テストアカウントを使用してテストを実行することをお勧めします。

    • クラウドサービスの非準拠タグのイベント前傍受を有効にすると、他のクラウドサービスに影響を与える可能性があります。 たとえば、ECSインスタンスの非準拠タグのイベント前インターセプトを有効にした場合、関連するECSインスタンスに準拠タグが追加されていないため、Auto scalingまたはContainer Service For Kubernetes (ACK) でのリソーススケーリングが失敗する可能性があります。 非準拠タグのイベント前インターセプトを有効にする前に、関連サービスの要件を満たすタグ関連の操作を実行できることを確認してください。

    手順

    非準拠タグのイベント前のインターセプトを使用して、現在のアカウントまたはリソースディレクトリ内のメンバー内の非準拠タグ関連の操作をインターセプトできます。 この例では、リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にし、タグポリシーを作成します。 作成するタグポリシーには、リソースディレクトリ内のメンバーを使用して ECS インスタンスを作成する場合、コストセンタータグを ECS インスタンスに追加する必要があることを定義します。 コストセンタータグのタグキーはCostCenterで、タグ値はBeijingまたはShanghaiです。 定義されたコストセンタータグがインスタンスに追加されている場合にのみ、ECSインスタンスを正常に作成できます。

    セキュリティ上の理由から、リソースディレクトリの管理アカウント内に RAM ユーザーを作成し、RAM ユーザーに AdministratorAccess ポリシーをアタッチした上で、リソースディレクトリの管理者としてこの RAM ユーザーを使用することを推奨します。 RAMユーザーを使用して、次の操作を実行する必要があります。 RAMユーザーを作成し、RAMユーザーに権限を付与する方法については、「RAMユーザーの作成」および「RAMユーザーに権限を付与する」をご参照ください。

    1. リソース管理コンソールにログインします。

    2. リソースディレクトリモードのタグポリシー機能を有効にします。

      詳細については、「タグポリシー機能の有効化」をご参照ください。

    3. タグポリシーを作成します。

      1. ポリシーライブラリページのリソースディレクトリタブで、タグポリシーの作成をクリックします。

      2. [タグポリシーの作成] ページで、[ポリシー名] フィールドにポリシー名を入力します。

      3. [ポリシーの説明] フィールドにポリシーの説明を入力します。

      4. クイックモードタブでタグポリシーを設定します。

        1. [ポリシーシナリオ] パラメーターとして、[指定したタグ値を持つタグをリソースに追加] を選択します。

        2. [タグキー] フィールドに [CostCenter] と入力します。

        3. [許容されるタグ値の指定] フィールドに 1 つ以上のタグ値を入力します。

          タグキーごとに、複数のタグ値を指定できます。 各タグ値を 1 行ずつ入力してください。 この例では、タグキーに北京上海の2つのタグ値が指定されています。

        4. [イベント前の傍受] を選択し、[リソースタイプの指定] をクリックします。

        5. [イベント前傍受のスコープの指定] ダイアログボックスで、イベント前傍受のリスクに関するプロンプトメッセージを読み、リスクを受け入れ、リソースタイプとしてECSインスタンスを選択し、[OK] をクリックします。

        image

      5. 作成をクリックします。

    4. タグポリシーをアタッチします。

      1. [ポリシーライブラリ] ページの [リソースディレクトリ] タブに戻り、ステップ 3で作成したタグポリシーを見つけて、アクション列の添付をクリックします。

      2. 添付ダイアログボックスで、タグポリシーをアタッチするオブジェクトを選択し、OKをクリックします。

        タグポリシーは、以下のいずれかの対象にアタッチできます。 テスト用に、タグポリシーをメンバーにアタッチできます。 テストが成功した場合は、タグポリシーを Root フォルダーまたは特定のフォルダーにアタッチできます。

        • Root フォルダー:タグポリシーを Root フォルダーにアタッチすると、アタッチされたタグポリシーはリソースディレクトリ内のすべてのメンバーに対して適用されます。

        • 特定のフォルダー:タグポリシーを特定のフォルダーにアタッチすると、タグポリシーはフォルダー内のすべてのメンバーとそのサブフォルダーに対して適用されます。

        • 特定のメンバー:タグポリシーを特定のメンバーにアタッチすると、アタッチされたタグポリシーはそのメンバーに対してのみ適用されます。

    5. タグポリシーが有効かどうかを確認します。

      1. ステップ4でタグポリシーがアタッチされているメンバーを使用して、Alibaba Cloud管理コンソールにログインします。

        詳細については、「メンバーを使用したAlibaba Cloud管理コンソールへのログイン」をご参照ください。

      2. メンバー内にECSインスタンスを作成し、タグポリシーが有効かどうかを確認します。

        • 正常に作成される場合

          ECSインスタンスの作成時にCostCenter:BeijingまたはCostCenter:ShanghaiタグをECSインスタンスに追加すると、ECSインスタンスは正常に作成されます。

        • 作成に失敗する場合

          既定では、非準拠タグのイベント前のインターセプトは、タグポリシーで定義されているタグに対してのみ有効になります。 以下のようなシナリオでは、ECS インスタンスの作成に失敗します。

          • ECS インスタンスにタグを追加する際に入力したタグキーまたはタグ値の文字ケースが、タグポリシーで定義されているタグキーまたはタグ値のケースと一致しない場合。 たとえば、costCenter:beijingは非準拠タグです。

          • タグキーCostCenterをECSインスタンスに追加しますが、タグ値を追加しないか、非準拠のタグ値をECSインスタンスに追加します。

          強力な検証機能を有効にしても、ECSインスタンスにタグを追加しないか、ECSインスタンスに他のタグを追加すると、ECSインスタンスの作成に失敗します。

    エラーコード

    エラーコード

    サンプルエラーメッセージ

    説明

    Forbidden.TagPolicy

    The operation is failure, because the valid tag policy values of 'TagValue' are ["red","green","orange","blue","pink","white","black","grey"], but the value is "xxx".

    タグ値が非準拠であり、リソースの作成に失敗します。 タグポリシーで定義されているタグ値を入力します。

    The operation is failure, because the valid tag policy values of 'TagKey' are ["colorful"], but the value is "colorFul".

    タグキーのケースは非準拠であり、リソースの作成に失敗します。 タグポリシーで定義されているタグキーの大文字と小文字が一致するタグキーを入力します。

    The operation is failure, because the tag policy keys ["color"] are necessary.

    タグキーのが指定されていないため、リソースの作成に失敗します。 タグポリシーで定義されているタグキーのを入力します。