タグポリシー機能を有効にする - Resource Management - Alibaba Cloud ドキュメントセンター

タグポリシーは、タグポリシー機能を有効にした後にのみ使用できます。

背景情報

タグポリシー機能のモード

Resource Management では、タグポリシー機能をシングルアカウントモードまたはリソースディレクトリモードで有効にすることができます。ビジネスシナリオとログインアカウントの種類に基づいて、特定のモードのタグポリシー機能を有効にすることができます。次の表に、2 つのモードを示します。

シナリオ	ログインアカウントの種類	タグポリシー機能のモード	参照
クラウドでのビジネスがシンプルで、単一の Alibaba Cloud アカウントと、そのアカウント内の RAM ユーザーを使用して管理操作を実行する場合は、Alibaba Cloud アカウントを使用してシングルアカウントモードのタグポリシー機能を有効にすることができます。その後、タグポリシーを使用して、Alibaba Cloud アカウントまたは RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。	管理アカウントでもリソースディレクトリのメンバーでもない Alibaba Cloud アカウント	シングルアカウントモード: このモードのタグポリシー機能は、Alibaba Cloud アカウントまたはそのアカウント内の RAM ユーザーを使用して実行されるタグ関連の操作を管理するために使用できます。	Alibaba Cloud アカウントを使用してシングルアカウントモードでタグポリシー機能を有効にする
クラウドでのビジネスが複雑で、リソースディレクトリを使用してすべてのアカウントを管理する場合は、リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にすることができます。その後、タグポリシーを使用して、リソースディレクトリのメンバーによって実行されるタグ関連の操作を管理できます。	リソースディレクトリの管理アカウント	ビジネス要件に基づいて、両方のモードまたは一方のモードでタグポリシー機能を有効にすることができます。リソースディレクトリモード: このモードのタグポリシー機能は、リソースディレクトリのメンバーによって実行されるタグ関連の操作を管理するために使用できます。重要リソースディレクトリのメンバーを使用してシングルアカウントモードのタグポリシー機能を有効にした場合、リソースディレクトリの管理アカウントを使用してリソースディレクトリモードのタグポリシー機能を有効にすることはできません。リソースディレクトリモードのタグポリシー機能を有効にするには、まず、メンバーを使用して有効になっているシングルアカウントモードのタグポリシー機能を無効にする必要があります。シングルアカウントモード: このモードのタグポリシー機能は、リソースディレクトリの管理アカウントを使用して実行されるタグ関連の操作のみを管理するために使用できます。	リソースディレクトリの管理アカウントを使用してリソースディレクトリモードでタグポリシー機能を有効にする
	リソースディレクトリのメンバー	リソースディレクトリに対してタグポリシー機能が有効になっているかどうかによって、次の状況が発生する可能性があります。リソースディレクトリに対してタグポリシー機能が有効になっていない場合は、リソースディレクトリのメンバーを使用してシングルアカウントモードのタグポリシー機能を有効にし、メンバーによって実行されるタグ関連の操作のみを管理できます。リソースディレクトリに対してタグポリシー機能が有効になっている場合は、リソースディレクトリのメンバーを使用してシングルアカウントモードのタグポリシー機能を有効にすることはできません。タグポリシーは、リソースディレクトリの管理アカウントを使用して一元的に管理されます。メンバーは、メンバーの有効なポリシーを表示するためだけに使用できます。	リソースディレクトリのメンバーを使用してシングルアカウントモードでタグポリシー機能を有効にする

RAM 権限

RAM ユーザーを使用してタグポリシー機能を有効にすることをお勧めします。

シングルアカウントモードのタグポリシー: 次のカスタム権限ポリシーを Alibaba Cloud アカウント内の RAM ユーザーにアタッチします。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "tag:GetConfigRuleReport", // 設定ルールレポートの取得
              "tag:GenerateConfigRuleReport", // 設定ルールレポートの生成
              "tag:GetEffectivePolicy", // 有効なポリシーの取得
              "tag:ListConfigRulesForTarget", // ターゲットの設定ルールのリスト
              "tag:ListPoliciesForTarget", // ターゲットのポリシーのリスト
              "tag:ListTargetsForPolicy", // ポリシーのターゲットのリスト
              "tag:ListPolicies", // ポリシーのリスト
              "tag:GetPolicy", // ポリシーの取得
              "tag:GetPolicyEnableStatus", // ポリシーの有効化ステータスの取得
              "tag:DetachPolicy", // ポリシーのデタッチ
              "tag:DeletePolicy", // ポリシーの削除
              "tag:ModifyPolicy", // ポリシーの変更
              "tag:AttachPolicy", // ポリシーのアタッチ
              "tag:CreatePolicy", // ポリシーの作成
              "tag:DisablePolicyType", // ポリシータイプの無効化
              "tag:EnablePolicyType", // ポリシータイプの有効化
              "tag:ListSupportResourceTypes" // サポートされているリソースタイプのリスト
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "rd:ListAccountsForParent", // 親アカウントのアカウントのリスト
                "rd:ListFoldersForParent", // 親フォルダのフォルダのリスト
                "rd:GetResourceDirectory", // リソースディレクトリの取得
                "config:GetAggregateResourceComplianceByConfigRule", // 設定ルールごとの集約リソースコンプライアンスの取得
                "config:ListAggregateConfigRuleEvaluationResults", // 集約設定ルール評価結果のリスト
                "config:GetAggregateConfigRulesReport", // 集約設定ルールレポートの取得
                "config:GetResourceComplianceGroupByRegion", // リージョンごとのリソースコンプライアンスの取得
                "config:ListConfigRuleEvaluationResults", // 設定ルール評価結果のリスト
                "config:GetConfigRulesReport", // 設定ルールレポートの取得
                "config:ListRemediations", // 修復のリスト
                "oos:ListExecutions" // 実行のリスト
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole", // サービスロールの作成
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "tag.aliyuncs.com" // サービス名
               }
            }
        }
    ]
}

リソースディレクトリモードのタグポリシー: リソースディレクトリ管理用の AliyunResourceDirectoryFullAccess 権限ポリシーと、前述のカスタム権限ポリシーを、リソースディレクトリの管理アカウント内の RAM ユーザーにアタッチします。

詳細については、「カスタムポリシーを作成する」および「RAM ユーザーに権限を付与する」をご参照ください。

Alibaba Cloud アカウントを使用してシングルアカウントモードでタグポリシー機能を有効にする

管理アカウントでもリソースディレクトリのメンバーでもない Alibaba Cloud アカウントを使用して、シングルアカウントモードのタグポリシー機能を有効にすることができます。

Resource Management コンソールにログインします。
左側のナビゲーションウィンドウで、[タグポリシー] > [設定] を選択します。
[現在のアカウントの設定] タブで、[タグポリシー] を [有効] に設定します。
[タグポリシーの有効化] ダイアログボックスで、有効にする をクリックします。
タグポリシー機能を有効にすると、システムはサービスロール AliyunServiceRoleForTag を作成します。このロールは、サービス間のアクセスに関する問題を解決できます。詳細については、「タグのサービスロール」をご参照ください。

リソースディレクトリの管理アカウントを使用してリソースディレクトリモードでタグポリシー機能を有効にする

リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードでタグポリシー機能を有効にすることができます。この機能は、リソースディレクトリ内のすべてのメンバーに有効になりますが、管理アカウントには有効になりません。

Resource Management コンソールにログインします。
左側のナビゲーションウィンドウで、[タグポリシー] > [設定] を選択します。
[リソースディレクトリの設定] タブで、[タグポリシー] を [有効] に設定します。
説明
[現在のアカウントの設定] タブで、リソースディレクトリの管理アカウントを使用してシングルアカウントモードでタグポリシー機能を有効にすることもできます。この機能は管理アカウントに有効になります。
[タグポリシーの有効化] ダイアログボックスで、有効にする をクリックします。
タグポリシー機能を有効にすると、システムはサービスロール AliyunServiceRoleForTag を作成します。このロールは、サービス間のアクセスに関する問題を解決できます。詳細については、「タグのサービスロール」をご参照ください。

リソースディレクトリのメンバーを使用してシングルアカウントモードでタグポリシー機能を有効にする

リソースディレクトリに対してタグポリシー機能が有効になっていない場合は、リソースディレクトリのメンバーを使用してシングルアカウントモードのタグポリシー機能を有効にすることができます。この機能は、メンバーに対してのみ有効になります。

リソースディレクトリのメンバーを使用して、Alibaba Cloud 管理コンソールにログインします。
詳細については、「メンバーを使用して Alibaba Cloud 管理コンソールにログインする」をご参照ください。
Resource Management コンソールにログインします。
左側のナビゲーションウィンドウで、[タグポリシー] > [設定] を選択します。
[現在のアカウントの設定] タブで、[タグポリシー] を [有効] に設定します。
[タグポリシーの有効化] ダイアログボックスで、同一ゾーン高可用性 をクリックします。
タグポリシー機能を有効にすると、システムはサービスロール AliyunServiceRoleForTag を作成します。このロールは、サービス間のアクセスに関する問題を解決できます。詳細については、「タグのサービスロール」をご参照ください。