294-AWS SAP AWS 「理論・実践・一問道場」チャージバックモデル

type

status

date

slug

summary

理論

チャージバックモデルとは、企業や組織が使ったリソース（例えば、コンピュータやサーバー、クラウドサービス）に対して、どの部署やチームがどれくらい使ったのかを計算し、その分の料金を請求する仕組みです。

例で説明します：

例えば、会社で複数の部署がクラウドサービス（AWSなど）を使っているとします。それぞれの部署がサーバーを使ったり、データを保存したりします。チャージバックモデルを使うと、各部署は自分たちが使った分だけ料金を支払うことになります。

なぜこれが重要なのか：

公平性：各部署が使ったリソースに応じて料金を支払うので、無駄にリソースを使わなくなります。

コスト管理：各部署が自分の使っているリソースに対して責任を持つことで、コストを意識して使うようになります。

メリット：

各部署のリソース使用量が明確になる

使った分だけ支払うので、無駄を減らせる

各部署がリソースの使い方を見直すようになる

デメリット：

リソース使用量を追跡するための管理が少し手間

料金を支払うことに対して不満が出ることもある

まとめ：チャージバックモデルは、各部署が使ったリソースに応じて料金を請求する仕組みで、リソースを効率的に使い、コストを管理するのに役立ちます。

タグの使用と管理におけるベストプラクティス

AWSでは、リソースに「タグ」を設定することで、コストの追跡やリソースの管理が容易になります。タグはキーと値のペアで設定でき、リソースに関する情報（例えば、プロジェクト名、部門、所有者など）を追跡するために使用されます。タグを適切に設定することは、以下のような目的に役立ちます。

コスト管理: AWS Cost ExplorerやAWS Cost and Usage Reportを使用して、リソースごとのコストをタグに基づいて分析することができます。これにより、どの部門やプロジェクトがどれだけのコストを発生させているかを把握し、コスト最適化の手助けとなります。

リソース管理: タグを利用してリソースをグループ化し、リソースの所有者や関連するプロジェクトに基づいて整理できます。これにより、リソースの管理が簡素化され、運用が効率的になります。

セキュリティとコンプライアンス: タグを利用して特定のリソースのアクセス制御を行うことができます。例えば、特定のタグを持つリソースに対して特別なアクセス許可を設定したり、タグに基づいて監査を実施することができます。

タグの強制方法

AWSでは、リソースにタグを必須化する方法がいくつか提供されています。特に、AWS Organizationsやサービスコントロールポリシー（SCP）、タグポリシーなどが有効です。

1. タグポリシー (Tag Policies)

タグポリシーを使用すると、AWS Organizations内でタグの設定を強制することができます。これにより、組織全体で一貫性のあるタグ付けを強制でき、特定のリソースに必要なタグを設定することができます。タグポリシーは、以下のようなタグ付けルールを定義できます。

タグキーと値: どのタグキーとその値が有効かを定義できます。

タグの付与の義務化: 特定のリソースタイプに対してタグ付けを必須化できます。

2. サービスコントロールポリシー (SCP)

サービスコントロールポリシーは、AWS Organizations内でリソース作成や操作を制限するために使用されます。SCPを使用して、リソース作成時に特定のタグが必要であることを強制することができます。例えば、cloudformation:CreateStackのようなAPI操作を制限し、タグが適切に付与されていない場合、操作が拒否されるように設定できます。

3. IAMポリシー

IAMポリシーを使用して、特定のアクション（例：cloudformation:CreateStack）を実行する際に必要なタグが付与されていない場合、操作を拒否することができます。この方法は、特定のユーザーやロールに対して個別にポリシーを適用する場合に有効です。

4. AWS Service Catalog

AWS Service Catalogを使用して、CloudFormationスタックを管理する方法もあります。Service Catalogでは、タグをオプションとして設定することができます。リソースの作成時にタグを強制する設定が可能で、これを利用してタグの一致を制御できます。

コスト管理のためのタグの活用

AWSのタグは、リソースのコスト管理にも非常に有用です。AWS Cost ExplorerやCost and Usage Reportでは、タグを使用してコストをフィルタリングし、どのプロジェクトや部門がどれだけのリソースを消費しているかを詳細に追跡することができます。これにより、リソース使用状況を把握し、適切なコスト最適化策を講じることができます。

まとめ

AWSリソースにタグを適切に設定し、それを強制する方法にはいくつかの選択肢があります。タグポリシーやサービスコントロールポリシーを利用することで、タグの一貫性を維持し、リソース管理やコスト管理を効率的に行うことができます。特に、課金モデルに基づいてリソースを管理する場合、タグは非常に強力なツールとなり、コストの最適化に役立ちます。

実践

略

一問道場

質問 #294

ある企業は、AWS Organizationsを使用してAWSアカウントを管理しています。また、企業はAWS CloudFormationを使用してすべてのインフラをデプロイしています。財務チームはチャージバックモデルを構築したいと考えており、各事業部門に対して事前に定義されたプロジェクト値のリストを使ってリソースにタグを付けるよう依頼しました。財務チームは、AWS Cost ExplorerのAWS Cost and Usage Reportを使ってプロジェクト別にフィルタリングした際に、非準拠のプロジェクト値を見つけました。企業は新しいリソースにプロジェクトタグを必須にしたいと考えています。

この要件を最も労力をかけずに満たす方法はどれですか？

A. 組織の管理アカウントで、許可されたプロジェクトタグの値を含むタグポリシーを作成します。cloudformation:CreateStack API操作でプロジェクトタグが付与されていない場合、その操作を拒否するSCPを作成します。このSCPを各OUに適用します。

B. 各OUで許可されたプロジェクトタグの値を含むタグポリシーを作成します。cloudformation:CreateStack API操作でプロジェクトタグが付与されていない場合、その操作を拒否するSCPを作成します。このSCPを各OUに適用します。

C. AWS管理アカウントで許可されたプロジェクトタグの値を含むタグポリシーを作成します。cloudformation:CreateStack API操作でプロジェクトタグが付与されていない場合、その操作を拒否するIAMポリシーを作成します。このポリシーを各ユーザーに適用します。

D. AWS Service Catalogを使ってCloudFormationスタックを製品として管理します。タグオプションライブラリを使用してプロジェクトタグの値を制御します。このポートフォリオを組織内のすべてのOUと共有します。

解説

この問題では、企業がプロジェクトタグの準拠を強制したいという要件に対して、最も労力をかけずに実現できる方法を選択する必要があります。各選択肢について解説します。

A. タグポリシーとSCPの組み合わせ

タグポリシー: 組織の管理アカウントでタグポリシーを作成し、許可されたプロジェクトタグの値を定義します。これにより、すべてのAWSリソースに適切なタグが付けられることが保証されます。

SCP: cloudformation:CreateStack API操作に関して、プロジェクトタグが付与されていない場合、その操作を拒否するサービスコントロールポリシー（SCP）を作成し、各OUに適用します。これにより、新しいリソースが作成される際に必ずプロジェクトタグが付与されることを強制できます。

このアプローチは、最小限の労力でタグの遵守を強制する方法として効果的です。タグポリシーで具体的なタグの値を定義し、SCPで操作を制限するため、管理の負担が少なく、効率的です。