タグポリシーは、タグポリシー機能を有効化した場合のみ使用できます。
背景情報
タグポリシー機能のモード
リソース管理では、単一アカウントモードまたはリソースディレクトリモードでタグポリシー機能を有効にできます。 ビジネスシナリオとログインアカウントのタイプに基づいて、特定のモードでタグポリシー機能を有効化できます。 下表に、2 つのモードを示します。
シナリオ | ログインアカウントのタイプ | タグポリシー機能のモード | 関連ドキュメント |
クラウドでのビジネスがシンプルで、単一のAlibaba cloudアカウントとAlibaba Cloudアカウント内のRAMユーザーを使用して管理操作を実行する場合、Alibaba Cloudアカウントを使用して単一アカウントモードのタグポリシー機能を有効にできます。 次に、タグポリシーで、Alibaba Cloud アカウントまたは RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。 | 管理アカウントまたはリソースディレクトリのメンバーではない Alibaba Cloud アカウント | シングルアカウントモード:このモードのタグポリシー機能では、Alibaba Cloud アカウントまたは Alibaba Cloud アカウント内の RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。 | |
クラウド内のビジネスが複雑で、リソースディレクトリを使用してすべてのアカウントを管理する場合は、リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にできます。 タグポリシーを利用して、リソースディレクトリのメンバーを使って実行されるタグ関連の操作を管理できます。 | リソースディレクトリの管理アカウント | タグポリシー機能は、ビジネス要件に応じて、両方のモードまたはいずれかのモードで有効化できます。
| |
リソースディレクトリのメンバー | タグポリシー機能がリソースディレクトリに対して有効化されているかに応じて、次の状況が発生する可能性があります。
|
RAM の権限
Alibaba Cloud アカウントまたは Alibaba Cloud アカウント内の RAM ユーザーを使用して、タグポリシー機能を有効化できます。 セキュリティ上の理由から、RAM ユーザーを使用することを推奨します。 RAM ユーザーを使用してタグポリシー機能を有効化するためには、RAM ユーザーに以下の権限を付与する必要があります。 詳細については、「カスタムポリシーの作成」および「RAMユーザーへの権限付与」をご参照ください。
{
"Version": "1",
"Statement": [
{
"Action": [
"tag:GetConfigRuleReport",
"tag:GenerateConfigRuleReport",
"tag:GetEffectivePolicy",
"tag:ListConfigRulesForTarget",
"tag:ListPoliciesForTarget",
"tag:ListTargetsForPolicy",
"tag:ListPolicies",
"tag:GetPolicy",
"tag:GetPolicyEnableStatus",
"tag:DetachPolicy",
"tag:DeletePolicy",
"tag:ModifyPolicy",
"tag:AttachPolicy",
"tag:CreatePolicy",
"tag:DisablePolicyType",
"tag:EnablePolicyType"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rd:ListAccountsForParent",
"rd:ListFoldersForParent",
"rd:GetResourceDirectory",
"config:GetAggregateResourceComplianceByConfigRule",
"config:ListAggregateConfigRuleEvaluationResults",
"config:GetAggregateConfigRulesReport",
"config:GetResourceComplianceGroupByRegion",
"config:ListConfigRuleEvaluationResults",
"config:GetConfigRulesReport",
"config:ListRemediations",
"oos:ListExecutions"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Alibaba Cloud アカウントを使用したタグポリシー機能の有効化
管理アカウントまたはリソースディレクトリのメンバーではない Alibaba Cloud アカウントを使用して、シングルアカウントモードのタグポリシー機能を有効化できます。
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ポリシーライブラリページで、タグポリシーの有効化をクリックします。
タグポリシーの有効化メッセージで、OKをクリックします。
タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「タグのサービスにリンクされたロール」をご参照ください。
リソースディレクトリの管理アカウントを使用したタグポリシー機能の有効化
リソースディレクトリの管理アカウントを使用して、ビジネス要件に応じて、両方のモードまたはいずれかのモードでタグポリシー機能を有効化できます。
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ポリシーライブラリページで、タグポリシーの有効化をクリックします。
タグポリシーの有効化ダイアログボックスで、有効にするタグポリシー機能のモードを指定します。
以下のオプションのいずれか、または両方を選択できます。
リソースディレクトリのタグポリシーの有効化: このオプションを選択すると、リソースディレクトリモードのタグポリシー機能が有効になります。
[現在のアカウントのタグポリシーの有効化]:このオプションを選択すると、シングルアカウントモードのタグポリシー機能が有効化されます。
OKをクリックします。
タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「タグのサービスにリンクされたロール」をご参照ください。
リソースディレクトリのメンバーを使用したタグポリシー機能の有効化
タグポリシー機能がリソースディレクトリに対して有効化されていない場合、リソースディレクトリのメンバーを使用して、シングルアカウントモードのタグポリシー機能を有効にできます。
リソースディレクトリのメンバーを使用して、Alibaba Cloud管理コンソールにログインします。
詳細については、「メンバーを使用したAlibaba Cloud管理コンソールへのログイン」をご参照ください。
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ポリシーライブラリページで、タグポリシーの有効化をクリックします。
タグポリシーの有効化メッセージで、OKをクリックします。
タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「タグのサービスにリンクされたロール」をご参照ください。