リソース管理は、タグポリシー機能を提供します。 この機能により、タグポリシーを作成および設定できます。 タグポリシーは、リソースに追加されるタグを標準化するために使用されるポリシーの一種です。 タグポリシーで、リソースに追加する必要があるタグを定義できます。 準拠タグは、タグベースのコスト割り当て、タグベースのアクセス制御、自動O&Mなどの側面で効率を向上させるのに役立ちます。タグポリシー機能は、単一アカウントモードとリソースディレクトリモードをサポートします。 この 2 つのモードは、さまざまな段階において、標準化されたタグ管理のビジネス要件を満たすことができます。
シナリオ
クラウド上のリソースが増えるにつれて、リソースにタグを追加してリソースを分類できます。 これにより、タグごとにコストを割り当て、自動O&Mを実装できます。リソースにタグを追加すると、問題が発生する可能性があります。 たとえば、リソースを作成した後、リソースにタグを追加するのを忘れたり、O&M関連のタグなどの一部のタグのみを追加して、金融関連のタグを追加するのを忘れたり、追加したタグにスペルミスが含まれたりします。 これらの問題が発生した場合、タグでコストを割り当てるときにビジネス要件に基づいて一部のリソースのコストを割り当てることができないか、一部のリソースに対して自動O&M操作を実行できません。 タグポリシー機能は、次のシナリオでこれらの問題を解決します。
自動タグ検出
リソースを作成してリソースにタグを追加した後、タグポリシーを使用して次の項目を定期的に確認し、リソースのタグのコンプライアンスを判断できます。
リソースに追加されたタグが準拠しているかどうか
タグポリシーで定義されたタグがリソースに追加されるかどうか
自動タグ検出は、できるだけ早い機会に問題を特定するのに役立ちます。
詳細については、「自動タグ検出の実行」をご参照ください。
タグの自動修復
タグの自動修復を有効にし、設定した修復ルールが自動修復をトリガーするための条件に一致する場合、システムは検出結果に基づいて非準拠タグを修復します。
詳細については、「自動タグ修復の有効化」をご参照ください。
非準拠タグのイベント前のインターセプト
自動タグ検出はレイテンシで開始されます。 リソースが作成された後、自動タグ検出が開始される前に、リソースの非準拠タグを検出することはできません。 リソースを作成するときは、標準化されたタグ管理を実行することを推奨します。 これを実現するには、タグポリシーを使用して、リソースタイプの非準拠タグのイベント前のインターセプトを実装します。 このように、このタイプのリソースを作成すると、タグポリシーで定義されたタグがリソースにアタッチされている場合にのみ、リソースを正常に作成できます。
既定では、非準拠タグのイベント前のインターセプトは、タグポリシーで定義されているタグに対してのみ有効になります。 非準拠タグのイベント前インターセプトの強力な検証を有効にすると、リソースの作成時にタグが追加されていないリソースまたは他のタグが追加されているリソースに対してイベント前インターセプトが実行されます。
詳細については、「非準拠タグのイベント前インターセプトの有効化」をご参照ください。
リソースグループからの自動タグ継承
リソースグループにタグを追加した後、リソースを作成したり、リソースグループにリソースを追加したりすると、タグが自動的にリソースに追加されます。
詳細については、「リソースグループからの自動タグ継承の有効化」をご参照ください。
タグポリシー機能のモード
リソース管理では、単一アカウントモードまたはリソースディレクトリモードでタグポリシー機能を有効にできます。 ビジネスシナリオとログインアカウントのタイプに基づいて、特定のモードでタグポリシー機能を有効化できます。 下表に、2 つのモードを示します。
シナリオ | ログインアカウントのタイプ | タグポリシー機能のモード | 関連ドキュメント |
クラウドでのビジネスがシンプルで、単一のAlibaba cloudアカウントとAlibaba Cloudアカウント内のRAMユーザーを使用して管理操作を実行する場合、Alibaba Cloudアカウントを使用して単一アカウントモードのタグポリシー機能を有効にできます。 次に、タグポリシーで、Alibaba Cloud アカウントまたは RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。 | 管理アカウントまたはリソースディレクトリのメンバーではない Alibaba Cloud アカウント | シングルアカウントモード:このモードのタグポリシー機能では、Alibaba Cloud アカウントまたは Alibaba Cloud アカウント内の RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。 | |
クラウド内のビジネスが複雑で、リソースディレクトリを使用してすべてのアカウントを管理する場合は、リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にできます。 タグポリシーを利用して、リソースディレクトリのメンバーを使って実行されるタグ関連の操作を管理できます。 | リソースディレクトリの管理アカウント | タグポリシー機能は、ビジネス要件に応じて、両方のモードまたはいずれかのモードで有効化できます。
| |
リソースディレクトリのメンバー | タグポリシー機能がリソースディレクトリに対して有効化されているかに応じて、次の状況が発生する可能性があります。
|
制限事項
項目 | 制限事項 |
シングルアカウントモードのタグポリシー機能を使用するときに作成できるタグポリシーの最大数 | 100 |
リソースディレクトリモードのタグポリシー機能を使用するときに作成できるタグポリシーの最大数 | 100 |
各タグポリシーに含めることができる最大文字数 | 2,048 |
非準拠タグのイベント前のインターセプトが有効になるまでに必要な時間 |
|
自動タグ検出が開始または完了するまでに必要な時間 |
|
自動修復が完了するまでに必要な時間 | 準拠タグが追加されていない、または非準拠タグが追加されたリソースが検出された後、システムは10分以内にリソースのタグを修正します。 |
ベストプラクティス
タグポリシーをサポートするサービス
サービス | サービスコード | リソースタイプ | 自動タグ検出と自動タグ修復のサポート | リソースグループからの自動タグ継承のサポート | 非準拠タグ1のイベント前インターセプトのデフォルト機能をサポートするAPI操作 | 非準拠タグ2のイベント前インターセプトの強力な検証をサポートするAPI操作 |
Elastic Compute Service (ECS) | ecs | インスタンス | はい | はい | ||
なし | ||||||
eni | はい | 不可 | ||||
なし | ||||||
securitygroup | はい | はい | ||||
なし | ||||||
ディスク | はい | はい | ||||
なし | ||||||
スナップショット | はい | 不可 | ||||
なし | ||||||
ddh | はい | はい | ||||
なし | ||||||
イメージ | 任意 | 不可 | ||||
なし | ||||||
なし | ||||||
keypair | 任意 | 不可 | ||||
なし | ||||||
launchtemplate | はい | はい | ||||
なし | ||||||
snapshotpolicy | 任意 | 不可 | ||||
ApsaraDB RDS | rds | インスタンス | はい | はい | なし | |
なし | ||||||
Server Load Balancer (SLB) | slb | インスタンス | はい | はい | なし | |
証明書 | 任意 | 不可 | なし | |||
acl | 任意 | 不可 | なし | |||
Application Load Balancer (ALB) | alb | acl | 任意 | 不可 | なし | |
loadbalancer | 任意 | 不可 | なし | |||
securitypolicy | 任意 | 不可 | なし | |||
servergroup | 任意 | 不可 | なし | |||
Virtual Private Cloud (VPC) | vpc | vpc | はい | はい | なし | |
vswitch | はい | 不可 | なし | |||
routetable | はい | 不可 | なし | |||
NAT Gateway | vpc | natgateway | はい | はい | なし | |
VPN Gateway | vpc | vpngateway | 任意 | 不可 | なし | |
Internet Shared Bandwidth | vpc | commonbandwidthpackage | 任意 | 不可 | なし | |
Elastic IP Address (EIP) | vpc | eip | はい | はい | なし | |
Cloud Enterprise Network (CEN) | cen | cen | はい | はい | なし | |
bandwidthpackage | 任意 | 不可 | なし | |||
Alibaba Cloud CDN (CDN) | cdn | domain | はい | はい | なし | なし |
Object Storage Service (OSS) | oss | バケット | はい | はい | なし | なし |
Tair (Redis)®OSS互換) | kvstore | インスタンス | はい | はい | なし | |
なし | ||||||
ApsaraDB for MongoDB | dds | インスタンス | はい | はい | なし | |
ApsaraDB for HBase | multimod | クラスター | はい | はい | なし | |
PolarDB | polardb | クラスター | はい | はい | なし | なし |
ファイルストレージNAS (NAS) | nas | ファイルシステム | はい | はい | なし | なし |
Anti-DDoS | ddoscoo | インスタンス | はい | はい | なし | |
なし | ||||||
Container Service for Kubernetes (ACK) | cs | クラスター | はい | はい | なし | なし |
API Gateway | apigateway | api | はい | はい | なし | なし |
apigroup | はい | はい | なし | なし | ||
app | 任意 | 不可 | なし | なし | ||
インスタンス | 任意 | 不可 | なし | なし | ||
plugin | 任意 | 不可 | なし | なし | ||
Alibaba Cloud DNS (DNS) | alidns | domain | 任意 | 不可 | なし | なし |
Auto Scaling | ess | scalinggroup | 任意 | 不可 | ||
なし | ||||||
Elastic Container Instance | eci | containergroup | 任意 | 不可 | ||
なし | ||||||
イメージキャッシュ | 任意 | 不可 | なし | |||
なし | ||||||
virtualnode | 任意 | 不可 | なし | |||
ApsaraMQ for RocketMQ | mq | group | 任意 | 不可 | なし | |
インスタンス | 任意 | 不可 | なし | |||
topic | 任意 | 不可 | なし | |||
Bastionhost | bastionhost | インスタンス | 任意 | 不可 | なし | |
Resource Orchestration Service (ROS) | ros | 変更セット | 任意 | 不可 | なし | |
スタック | 任意 | 不可 | ||||
なし | ||||||
なし | ||||||
テンプレート | 任意 | 不可 | なし |
追加情報:
1非準拠タグのイベント前インターセプトは、リソースを作成するときのイベント前インターセプトとリソースにタグを追加するときのイベント前インターセプトの2つのシナリオをサポートします。 2つのシナリオのサポートは、Alibaba Cloudサービス、リソースタイプ、およびAPI操作によって異なります。 たとえば、CreateInstance操作を呼び出してECSインスタンスを作成するとき、またはTagResources操作を呼び出してECSインスタンスにタグを追加するときに、非準拠タグがインターセプトされる可能性があります。
2非準拠タグのイベント前インターセプトの強力な検証は、手動で有効にした後にのみ有効になります。 詳細については、「強力な検証機能」をご参照ください。