このトピックでは、タグポリシーを使用してタグ関連の操作を標準化する方法について説明します。

このタスクについて

タグポリシー機能は、シングルアカウントモードとマルチアカウントモードをサポートしています。 詳細については、「t2182200.html#section_zfz_mez_fa1」に記載されたタグポリシー機能のモードをご参照ください。

タグポリシー機能を初めて使用する場合は、リソースの数が少ないテストアカウントを使用して機能を有効化することを推奨します。 テストの成功後、本番アカウントを使用して機能を有効化できます。

シングルアカウントモードでのタグポリシー機能の有効化

ステップ 1:タグポリシー機能の有効化

  1. Resource Management コンソールにログインします。
  2. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  3. [ポリシーライブラリ] ページで、[タグポリシーの有効化] をクリックします。
  4. [タグポリシーの有効化] メッセージで、[OK] をクリックします。
    タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「Tag サービスのサービスにリンクされたロール」をご参照ください。

ステップ 2:タグポリシーの作成

タグポリシーを作成および設定して、リソースに追加する必要があるタグを定義できます。 この手順を踏むことで、リソースに追加されたタグの準拠が保証されます。

  1. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  2. [ポリシーライブラリ] ページで、[タグポリシーの作成] をクリックします。
  3. [タグポリシーの作成] ページで、パラメーターを設定します。
    1. [ポリシー名] フィールドにポリシー名を入力します。
    2. オプション:[ポリシーの説明] フィールドに説明を入力します。
    3. [ポリシーの詳細] セクションでポリシーの詳細を設定します。
      ポリシーの詳細は、以下のいずれかのモードで設定できます。
      • クイックモード (推奨)

        このモードでは、タグキーを入力し、ビジネス要件に応じてタグキーに対して下表に示す 1 つ以上のルールを設定する必要があります。

        ルール説明
        許可されたタグ値の指定タグキーで許可されているタグの値です。 アスタリスク (*) は、任意のタグ値であることを示します。
        後検出この機能を使用すると、リソースにタグを追加した後で、システムによってタグの準拠が確認されます。 後検出は、デフォルトで選択されています。
        検出するリソースタイプの指定デフォルトでは、サポートされているすべてのタイプのリソースに対して後検出が実行されます。 ビジネス要件に応じてリソースタイプを指定することも可能です。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
        強制タグキーの強制機能を有効化すると、タグキーに関する非準拠の操作が強制的に停止されます。 以下の操作ではタグポリシーの実行がトリガーされるため、強制的に停止されます。
        • タグポリシーで指定されたタグキーに準拠しないタグキーに対して、操作が実行されている場合。
        • タグポリシーで指定されたタグキーに対する操作が実行されている状態で、タグ値が存在しないか、タグポリシーに準拠していない場合。

        以下の操作はタグポリシーの実行がトリガーされないため、強制的な停止は行われません。

        • タグポリシーで指定されていないタグキーに対して操作が実行されている場合。
        • タグポリシーの実行がサポートされていないリソースで、操作が実行されている場合。 詳細については、「t2182200.html#section_5ob_hk3_fl6」をご参照ください。

        詳細については、「t2186555.html#task_2186555」をご参照ください。

        自動修復自動修復機能を有効化すると、リソースの非準拠のタグが自動的に修正されます。

        自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。

        [タグキーの追加] をクリックしてタグキーを追加し、タグキーのルールを設定します。

      • JSON

        このモードでは、ポリシーの詳細を JSON 形式で指定する必要があります。 タグポリシーの要件が厳しい場合は、このモードを使用できます。 このモードを使用する場合は、あらかじめタグポリシーの構文に関するコマンドを取得しておく必要があります。 詳細については、「タグポリシーの構文」をご参照ください。

  4. [作成] をクリックします。

ステップ 3:タグポリシーのアタッチ

タグポリシーの作成後、現在の Alibaba Cloud アカウントにアタッチする必要があります。 この手順を踏むことで、タグポリシーを使用して、アカウント内のリソースに追加されたタグを標準化できます。

  1. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  2. [ポリシーライブラリ] ページでアタッチするタグポリシーを確認し、[操作] 列の [アタッチ] をクリックします。
  3. [アタッチ] メッセージの [OK] をクリックします。
    タグポリシーは、ログインに使用する Alibaba Cloud アカウントにアタッチされます。

ステップ 4:有効なポリシーの表示 (オプション)

現在の Alibaba Cloud アカウントにタグポリシーがアタッチされると、アカウントで有効なポリシーを表示できるようになります。

  1. 左側のナビゲーションペインで、[タグポリシー] > [有効なポリシー] を選択します。
  2. 有効なポリシーのドキュメントを表示します。
    有効なポリシーのドキュメントを視覚化モードで表示したり、ドキュメントを JSON 形式で表示したりできます。 デフォルトでは、[視覚化モードで表示] が使用されます。 [視覚化モードで表示] から[JSON 形式で表示] に切り替えることができます。

ステップ 5:タグポリシーの有効性の確認

現在の Alibaba Cloud アカウントまたはアカウント内の RAM ユーザーを使用し、タグ関連の操作を実行することで、タグポリシーが有効であるかどうかを確認できます。 たとえば、タグポリシーを VPC に適用し、適用したタグポリシーでタグ CostCenter:Beijing が VPC に追加される必要があることが定義されているとします。 VPC にタグを追加する場合、VPC には準拠したタグ CostCenter:Beijing のみ追加されます。 VPC に、 costCenter:Shanghai などの非準拠のタグは追加できません。 これは、タグポリシーが有効であることを示します。

マルチアカウントモードでのタグポリシー機能の有効化

セキュリティ上の理由から、リソースディレクトリの管理アカウント内に RAM ユーザーを作成し、RAM ユーザーに AdministratorAccess ポリシーをアタッチした上で、リソースディレクトリの管理者としてこの RAM ユーザーを使用することを推奨します。 この RAM ユーザーを使用して、以下の操作を実行します。 RAM ユーザーを作成して、RAM ユーザーに権限を付与する方法については、「RAM ユーザーの作成」および「RAM ユーザーへの権限の付与」をご参照ください。

ステップ 1:タグポリシー機能の有効化

  1. Resource Management コンソールにログインします。
  2. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  3. [ポリシーライブラリ] ページで、[タグポリシーの有効化] をクリックします。
  4. [タグポリシーの有効化] ダイアログボックスで、有効化するタグポリシー機能のモードを指定します。
    以下のオプションのいずれか、または両方を選択できます。
    • [リソースディレクトリのタグポリシーの有効化]:このオプションを選択すると、マルチアカウントモードのタグポリシー機能が有効化されます。
    • [現在のアカウントのタグポリシーの有効化]:このオプションを選択すると、シングルアカウントモードのタグポリシー機能が有効化されます。
  5. [OK] をクリックします。
    タグポリシー機能を有効化すると、サービスにリンクされたロール AliyunServiceRoleForTag が作成されます。 このロールは、サービス間アクセスの問題を解決できます。 詳細については、「Tag サービスのサービスにリンクされたロール」をご参照ください。

ステップ 2:タグポリシーの作成

タグポリシーを作成および設定して、リソースに追加する必要があるタグを定義できます。 この手順を踏むことで、リソースに追加されたタグの準拠が保証されます。

  1. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  2. [ポリシーライブラリ] ページの [すべてのタグポリシー] タブで、[タグポリシーの作成] をクリックします。
  3. [タグポリシーの作成] ページで、パラメーターを設定します。
    1. [ポリシー名] フィールドにポリシー名を入力します。
    2. オプション:[ポリシーの説明] フィールドに説明を入力します。
    3. [ポリシーの詳細] セクションでポリシーの詳細を設定します。
      ポリシーの詳細は、以下のいずれかのモードで設定できます。
      • クイックモード (推奨)

        このモードでは、タグキーを入力し、ビジネス要件に応じてタグキーに対して下表に示す 1 つ以上のルールを設定する必要があります。

        ルール説明
        許可されたタグ値の指定タグキーで許可されているタグの値です。 アスタリスク (*) は、任意のタグ値であることを示します。
        後検出この機能を使用すると、リソースにタグを追加した後で、システムによってタグの準拠が確認されます。 後検出は、デフォルトで選択されています。
        検出するリソースタイプの指定デフォルトでは、サポートされているすべてのタイプのリソースに対して後検出が実行されます。 ビジネス要件に応じてリソースタイプを指定することも可能です。 リソースタイプを指定した場合、後検出は指定されたリソースタイプに対してのみ実行されます。
        強制タグキーの強制機能を有効化すると、タグキーに関する非準拠の操作が強制的に停止されます。 以下の操作ではタグポリシーの実行がトリガーされるため、強制的に停止されます。
        • タグポリシーで指定されたタグキーに準拠しないタグキーに対して、操作が実行されている場合。
        • タグポリシーで指定されたタグキーに対する操作が実行されている状態で、タグ値が存在しないか、タグポリシーに準拠していない場合。

        以下の操作はタグポリシーの実行がトリガーされないため、強制的な停止は行われません。

        • タグポリシーで指定されていないタグキーに対して操作が実行されている場合。
        • タグポリシーの実行がサポートされていないリソースで、操作が実行されている場合。 詳細については、「t2182200.html#section_5ob_hk3_fl6」をご参照ください。

        詳細については、「t2186555.html#task_2186555」をご参照ください。

        自動修復自動修復機能を有効化すると、リソースの非準拠のタグが自動的に修正されます。

        自動修復を行うには、準拠したタグ値とリソースの範囲を指定する必要があります。 リソースの範囲は、タグを使用することでのみ指定できます。

        [タグキーの追加] をクリックしてタグキーを追加し、タグキーのルールを設定します。

      • JSON

        このモードでは、ポリシーの詳細を JSON 形式で指定する必要があります。 タグポリシーの要件が厳しい場合は、このモードを使用できます。 このモードを使用する場合は、あらかじめタグポリシーの構文に関するコマンドを取得しておく必要があります。 詳細については、「タグポリシーの構文」をご参照ください。

  4. [作成] をクリックします。

ステップ 3:タグポリシーのアタッチ

作成されたタグポリシーは、Root フォルダー、特定のフォルダー、または特定のメンバーにアタッチする必要があります。 この手順を踏むことで、タグポリシーを使用して、メンバー内のリソースに追加されたタグを標準化できます。

  1. 左側のナビゲーションペインで、[タグポリシー] > [ポリシーライブラリ] を選択します。
  2. [ポリシーライブラリ] ページで、[すべてのタグポリシー] タブをクリックします。
  3. アタッチするタグポリシーを確認し、[操作] 列の [アタッチ] をクリックします。
  4. [アタッチ] ダイアログボックスでタグポリシーをアタッチするオブジェクトを選択し、[OK] をクリックします。
    タグポリシーの有効範囲は、オブジェクトタイプによって異なります。
    • Root フォルダー:タグポリシーを Root フォルダーにアタッチすると、アタッチされたタグポリシーはリソースディレクトリ内のすべてのメンバーに対して適用されます。
    • 特定のフォルダー:タグポリシーを特定のフォルダーにアタッチすると、アタッチされたタグポリシーはフォルダー内のすべてのメンバーに対してのみ適用されます。
    • 特定のメンバー:タグポリシーを特定のメンバーにアタッチすると、アタッチされたタグポリシーはそのメンバーに対してのみ適用されます。
    説明 リソースディレクトリの管理アカウントにタグポリシーをアタッチすることはできません。 管理アカウントにタグポリシーは適用されません。

ステップ 4:有効なポリシーの表示 (オプション)

タグポリシーのアタッチ後、RAM ユーザーを使用して、リソースディレクトリの管理者として、Root フォルダー、指定されたフォルダー、または指定されたメンバーの有効なポリシーを表示できます。 メンバーを使用して、メンバーの有効なポリシーを表示できます。 有効なポリシーは、タグポリシーの継承関係に基づいて取得されます。 詳細については、「タグポリシーの継承と有効なポリシーの計算」をご参照ください。

  1. 左側のナビゲーションペインで、[タグポリシー] > [有効なポリシー] を選択します。
  2. 有効なポリシーのドキュメントを表示します。
    有効なポリシーのドキュメントを視覚化モードで表示したり、ドキュメントを JSON 形式で表示したりできます。 デフォルトでは、[視覚化モードで表示] が使用されます。 [視覚化モードで表示] から[JSON 形式で表示] に切り替えることができます。

ステップ 5:タグポリシーの有効性の確認

  1. RAM ユーザーを使用して、タグポリシーがアタッチされているメンバーにアクセスします。
    詳細については、「メンバーを使用した Alibaba Cloud 管理コンソールへのログイン」をご参照ください。
  2. メンバー内のリソースに対してタグ関連の操作を実行して、タグポリシーが有効かどうかを確認します。
    たとえば、タグポリシーを VPC に適用し、適用したタグポリシーでタグ CostCenter:Beijing が VPC に追加される必要があることが定義されているとします。 VPC にタグを追加する場合、VPC には準拠したタグ CostCenter:Beijing のみ追加されます。 VPC に、 costCenter:Shanghai などの非準拠のタグは追加できません。 これは、タグポリシーが有効であることを示します。