このトピックでは、タグポリシーを使用してタグ関連の操作を標準化する方法について説明します。
背景情報
タグポリシー機能は、単一アカウントモードとリソースディレクトリモードをサポートします。 詳細については、「Modes of the Tag Policy feature」をご参照ください。
タグポリシー機能を初めて使用する場合は、リソースの数が少ないテストアカウントを使用して機能を有効化することを推奨します。 テストの成功後、本番アカウントを使用して機能を有効化できます。
シングルアカウントモードのタグポリシー機能を使用する
ステップ 1:タグポリシー機能の有効化
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページで、タグポリシーの有効化をクリックします。
タグポリシーの有効化メッセージで、OKをクリックします。
タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「タグのサービスにリンクされたロール」をご参照ください。
ステップ 2:タグポリシーの作成
タグポリシーを作成および設定して、リソースに追加する必要があるタグを定義できます。 この手順を踏むことで、リソースに追加されたタグの準拠が保証されます。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページで、タグポリシーの作成をクリックします。
[基本情報] セクションで、ポリシー名とポリシーの説明を設定します。
[ポリシーの詳細] セクションで、次のいずれかのモードでポリシーの詳細を設定します。
クイックモード (推奨)
ポリシーシナリオを選択し、ビジネス要件に基づいてルールを設定します。
指定されたタグ値を持つタグをリソースに追加
タグポリシーでは、リソースに追加する必要があるタグを指定できます。 タグポリシーに指定した実行モードに基づいて、非準拠タグの自動検出、自動修復、イベント前のインターセプトなどの機能を有効にすることもできます。
パラメーター
説明
タグキー
タグキーを入力します。
許可タグ値の指定
タグキーに許可されているタグ値。 複数のタグ値を指定できます。 アスタリスク (*) をワイルドカードとして使用して、任意のタグ値を示すこともできます。
ポリシー実行モード
ポスト検出
事後検出は、このシナリオで使用されるタグポリシーの既定の実行モードです。 [検出結果] ページで検出結果を表示できます。 ビジネス要件に基づいて、次の検出ルールを有効にできます。
[検出のリソースタイプの指定]: デフォルトでは、サポートされているすべてのリソースタイプに対して事後検出が実行されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
リソースグループの指定: デフォルトでは、すべてのリソースグループのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
リージョンスコープの設定: デフォルトでは、すべてのリージョンのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
自動修正: このオプションを選択すると、システムは自動的に非準拠タグを修正します。 自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。
事前イベントの傍受
リソースを作成するか、既存のリソースにタグを追加すると、システムはチェックを実行します。 タグポリシーで定義されているタグがリソースに追加されていない場合、リソースの作成またはタグの追加操作は失敗します。 以下に詳細を説明します。
リソースグループからのリソースのタグの自動継承
リソースグループにタグを追加した後、自動タグ継承機能を使用するようにタグポリシーを設定できます。 この機能は、リソースグループに追加または作成されたリソースに、リソースグループに追加されたタグを自動的に継承させる機能です。
パラメーター
説明
タグキー
タグキーを入力します。
検出のリソースタイプの指定
デフォルトでは、サポートされているすべてのタイプのリソースが検出されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、指定されたタイプのリソースのみが検出されます。
リソースグループの指定
デフォルトでは、すべてのリソースグループのリソースが検出されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
除外するリソースのIDの指定
リソースが属するリソースグループからタグを継承しないリソースの ID を指定できます。 最大20個のリソースIDを指定できます。
リージョンスコープの設定
デフォルトでは、すべてのリージョンのリソースが検出されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
指定された正規表現でタグ値を一致させる
タグポリシーで正規表現を指定して、タグ値の形式を制限できます。 正規表現と一致しないタグ値は自動的に修正できます。
パラメーター
説明
タグキー
タグキーを入力します。
許可タグ値の指定
正規表現を入力して、タグ値の形式を制限します。
ポリシー実行モード
事後検出は、このシナリオで使用されるタグポリシーのデフォルトの実行モードです。 [検出結果] ページで検出結果を表示できます。 ビジネス要件に基づいて、次の検出ルールを有効にできます。
[検出のリソースタイプの指定]: デフォルトでは、サポートされているすべてのリソースタイプに対して事後検出が実行されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
リソースグループの指定: デフォルトでは、すべてのリソースグループのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
リージョンスコープの設定: デフォルトでは、すべてのリージョンのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
自動修正: このオプションを選択すると、システムは自動的に非準拠タグを修正します。 自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。
[ポリシーシナリオとタグキーの追加] をクリックすると、複数のポリシーシナリオとタグキーのルールを設定できます。
JSON
このモードでは、ポリシーの詳細を JSON 形式で指定する必要があります。 タグポリシーの要件が高い場合は、このモードを使用します。 このモードを使用する場合は、あらかじめタグポリシーの構文に関するコマンドを取得しておく必要があります。 詳細については、「タグポリシーの構文」をご参照ください。
作成をクリックします。
ステップ 3:タグポリシーのアタッチ
タグポリシーの作成後、現在の Alibaba Cloud アカウントにアタッチする必要があります。 この手順を踏むことで、タグポリシーを使用して、アカウント内のリソースに追加されたタグを標準化できます。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページで、目的のタグポリシーを見つけて、アクション列の添付をクリックします。
添付メッセージで、OKをクリックします。
タグポリシーは、ログインに使用する Alibaba Cloud アカウントにアタッチされます。
ステップ 4:有効なポリシーの表示 (オプション)
現在の Alibaba Cloud アカウントにタグポリシーがアタッチされると、アカウントで有効なポリシーを表示できるようになります。
左側のナビゲーションウィンドウで、タグポリシー > 効果的なポリシーを選択します。
ポリシーシナリオのタブをクリックします。 このタブで、タグキーの名前をクリックして、関連する有効なポリシーおよび検出タスクに関する基本情報を表示します。
ステップ 5:タグポリシーの有効性の確認
現在の Alibaba Cloud アカウントまたはアカウント内の RAM ユーザーを使用し、タグ関連の操作を実行することで、タグポリシーが有効であるかどうかを確認できます。 たとえば、タグポリシーを仮想プライベートクラウド (VPC) に適用すると、タグポリシーは、CostCenter:Beijing
タグをVPCに追加する必要があると定義します。 VPCにタグを追加すると、準拠タグCostCenter:Beijing
のみがVPCに追加されます。 costCenter:Shanghai
などの非準拠タグがVPCに追加されません。 これは、タグポリシーが有効であることを示します。
リソースディレクトリモードのタグポリシー機能を使用する
セキュリティ上の理由から、リソースディレクトリの管理アカウント内に RAM ユーザーを作成し、RAM ユーザーに AdministratorAccess ポリシーをアタッチした上で、リソースディレクトリの管理者としてこの RAM ユーザーを使用することを推奨します。 この RAM ユーザーを使用して、以下の操作を実行します。 RAMユーザーを作成し、RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーの作成」および「RAMユーザーに権限を付与する」をご参照ください。
ステップ 1:タグポリシー機能の有効化
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページで、タグポリシーの有効化をクリックします。
タグポリシーの有効化ダイアログボックスで、有効にするタグポリシー機能のモードを指定します。
以下のオプションのいずれか、または両方を選択できます。
リソースディレクトリのタグポリシーの有効化: このオプションを選択すると、リソースディレクトリモードのタグポリシー機能が有効になります。
[現在のアカウントのタグポリシーの有効化]:このオプションを選択すると、シングルアカウントモードのタグポリシー機能が有効化されます。
OKをクリックします。
タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「タグのサービスにリンクされたロール」をご参照ください。
ステップ 2:タグポリシーの作成
タグポリシーを作成および設定して、リソースに追加する必要があるタグを定義できます。 この手順を踏むことで、リソースに追加されたタグの準拠が保証されます。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページのリソースディレクトリタブで、タグポリシーの作成をクリックします。
[基本情報] セクションで、ポリシー名とポリシーの説明を設定します。
[ポリシーの詳細] セクションで、次のいずれかのモードでポリシーの詳細を設定します。
クイックモード (推奨)
ポリシーシナリオを選択し、ビジネス要件に基づいてルールを設定します。
指定されたタグ値を持つタグをリソースに追加
タグポリシーでは、リソースに追加する必要があるタグを指定できます。 タグポリシーに指定した実行モードに基づいて、非準拠タグの自動検出、自動修復、イベント前のインターセプトなどの機能を有効にすることもできます。
パラメーター
説明
タグキー
タグキーを入力します。
許可タグ値の指定
タグキーに許可されているタグ値。 複数のタグ値を指定できます。 アスタリスク (*) をワイルドカードとして使用して、任意のタグ値を示すこともできます。
ポリシー実行モード
ポスト検出
事後検出は、このシナリオで使用されるタグポリシーの既定の実行モードです。 [検出結果] ページで検出結果を表示できます。 ビジネス要件に基づいて、次の検出ルールを有効にできます。
[検出のリソースタイプの指定]: デフォルトでは、サポートされているすべてのリソースタイプに対して事後検出が実行されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
リソースグループの指定: デフォルトでは、すべてのリソースグループのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
リージョンスコープの設定: デフォルトでは、すべてのリージョンのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
自動修正: このオプションを選択すると、システムは自動的に非準拠タグを修正します。 自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。
事前イベントの傍受
リソースを作成するか、既存のリソースにタグを追加すると、システムはチェックを実行します。 タグポリシーで定義されているタグがリソースに追加されていない場合、リソースの作成またはタグの追加操作は失敗します。 以下に詳細を説明します。
リソースグループからのリソースのタグの自動継承
リソースグループにタグを追加した後、自動タグ継承機能を使用するようにタグポリシーを設定できます。 この機能は、リソースグループに追加または作成されたリソースに、リソースグループに追加されたタグを自動的に継承させる機能です。
パラメーター
説明
タグキー
タグキーを入力します。
検出のリソースタイプの指定
デフォルトでは、サポートされているすべてのタイプのリソースが検出されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、指定されたタイプのリソースのみが検出されます。
リソースグループの指定
デフォルトでは、すべてのリソースグループのリソースが検出されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
除外するリソースのIDの指定
リソースが属するリソースグループからタグを継承しないリソースの ID を指定できます。 最大20個のリソースIDを指定できます。
リージョンスコープの設定
デフォルトでは、すべてのリージョンのリソースが検出されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
指定された正規表現でタグ値を一致させる
タグポリシーで正規表現を指定して、タグ値の形式を制限できます。 正規表現と一致しないタグ値は自動的に修正できます。
パラメーター
説明
タグキー
タグキーを入力します。
許可タグ値の指定
正規表現を入力して、タグ値の形式を制限します。
ポリシー実行モード
事後検出は、このシナリオで使用されるタグポリシーのデフォルトの実行モードです。 [検出結果] ページで検出結果を表示できます。 ビジネス要件に基づいて、次の検出ルールを有効にできます。
[検出のリソースタイプの指定]: デフォルトでは、サポートされているすべてのリソースタイプに対して事後検出が実行されます。 ビジネス要件に基づいてリソースタイプを指定できます。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
リソースグループの指定: デフォルトでは、すべてのリソースグループのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリソースグループを指定できます。 最大20個のリソースグループを指定できます。
説明リソースディレクトリモードのタグポリシー機能は、[リソースグループの指定] パラメーターをサポートしていません。
リージョンスコープの設定: デフォルトでは、すべてのリージョンのリソースに対して事後検出が実行されます。 ビジネス要件に基づいてリージョンを指定できます。 最大20個のリージョンを指定できます。
自動修正: このオプションを選択すると、システムは自動的に非準拠タグを修正します。 自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。
[ポリシーシナリオとタグキーの追加] をクリックすると、複数のポリシーシナリオとタグキーのルールを設定できます。
JSON
このモードでは、ポリシーの詳細を JSON 形式で指定する必要があります。 タグポリシーの要件が高い場合は、このモードを使用します。 このモードを使用する場合は、あらかじめタグポリシーの構文に関するコマンドを取得しておく必要があります。 詳細については、「タグポリシーの構文」をご参照ください。
作成をクリックします。
ステップ 3:タグポリシーのアタッチ
作成されたタグポリシーは、Root フォルダー、特定のフォルダー、または特定のメンバーにアタッチする必要があります。 この手順を踏むことで、タグポリシーを使用して、メンバー内のリソースに追加されたタグを標準化できます。
左側のナビゲーションウィンドウで、タグポリシー > ポリシーライブラリを選択します。
ポリシーライブラリページで、リソースディレクトリタブをクリックします。
目的のタグポリシーを見つけて、アクション列の添付をクリックします。
添付ダイアログボックスで、タグポリシーをアタッチするオブジェクトを選択し、OKをクリックします。
タグポリシーの有効範囲は、オブジェクトタイプによって異なります。
Root フォルダー:タグポリシーを Root フォルダーにアタッチすると、アタッチされたタグポリシーはリソースディレクトリ内のすべてのメンバーに対して適用されます。
特定のフォルダー:タグポリシーを特定のフォルダーにアタッチすると、アタッチされたタグポリシーはフォルダー内のすべてのメンバーに対してのみ適用されます。
特定のメンバー: タグポリシーを特定のメンバーにアタッチすると、タグポリシーはそのメンバーに対してのみ有効になります。
説明リソースディレクトリモードでタグポリシー機能のみを有効にした場合、リソースディレクトリの管理アカウントにタグポリシーをアタッチすることはできません。 シングルアカウントモードでタグポリシー機能を有効にした場合にのみ、アカウントのタグポリシーを作成してタグポリシーをアタッチできます。
ステップ 4:有効なポリシーの表示 (オプション)
タグポリシーがアタッチされた後、RAMユーザーを使用して、Rootフォルダー、特定のフォルダー、または特定のメンバーの有効なポリシーを表示できます。 メンバーを使用して、メンバーの有効なポリシーを表示できます。 有効なポリシーは、タグポリシーの継承関係に基づいて取得されます。 詳細については、「タグポリシーの継承と有効タグポリシーの計算」をご参照ください。
左側のナビゲーションウィンドウで、タグポリシー > 効果的なポリシーを選択します。
関連する有効ポリシーを表示します。
[すべてのメンバーの有効なポリシー] タブをクリックして、リソースディレクトリのメンバーにアタッチされている有効なポリシーを表示し、関連する検出タスクを表示します。
[現在のリソースディレクトリの有効なポリシー] タブをクリックして、リソースディレクトリの管理アカウントとリソースディレクトリ内のフォルダーとメンバーにアタッチされている有効なポリシーを表示し、関連する検出タスクを表示します。
ステップ 5:タグポリシーの有効性の確認
RAMユーザーを使用して、タグポリシーがアタッチされているメンバーにアクセスします。
詳細については、「メンバーを使用したAlibaba Cloud管理コンソールへのログイン」をご参照ください。
メンバー内のリソースに対してタグ関連の操作を実行して、タグポリシーが有効かどうかを確認します。
たとえば、タグポリシーをVPCに適用すると、タグポリシーは、
CostCenter:Beijing
タグをVPCに追加する必要があると定義します。 VPCにタグを追加すると、準拠タグCostCenter:Beijing
のみがVPCに追加されます。costCenter:Shanghai
などの非準拠タグがVPCに追加されません。 これは、タグポリシーが有効であることを示します。