364-AWS SAP AWS 「理論・実践・一問道場」Tag Policies

type

status

date

slug

summary

理論

1. タグポリシー (Tag Policies)

AWS Organizationsにおけるタグポリシーは、リソースに対して特定のタグの適用を強制するために使用されます。タグポリシーを使用すると、リソースが必要なタグを持っているか、タグが正しく適用されているかを検証できます。例えば、タグキーやタグ値の整合性を保つことができ、管理の効率化を図れます。

タグポリシーの適用範囲: タグポリシーは、AWS Organizationsの**アカウントや組織単位（OU）**に適用できます。ポリシーを組織の管理アカウントに適用することで、一貫したタグ管理を実現できます。

タグの強制: リソースが特定のタグ（例：「BusinessUnit」）を持っていない場合、タグポリシーにより警告やエラーが発生します。これを基に手動で修正を行うか、他の仕組みで自動修正を加えます。

2. サービスコントロールポリシー (SCPs)

サービスコントロールポリシーは、AWS Organizations内のアカウントが実行できるサービスやアクションを制限するためのポリシーです。タグの付け忘れを防ぐために、SCPを使用してリソース作成時に必要なタグがなければアクションを拒否することもできます。

制限対象: SCPは組織内の全アカウントに対して適用できますが、タグの管理に関してはタグポリシーの方が専用の機能です。

タグによる制限: SCPでタグの条件を設定し、リソース作成時に特定のタグ（例：「BusinessUnit」）が欠けている場合にその作成を拒否することができます。しかし、タグを強制するためにはSCPと組み合わせて、適切なタグポリシーを運用するのが効果的です。

3. タグの使用例と重要性

コスト管理: タグはAWSリソースのコスト管理において非常に重要です。タグを使って各事業部門やプロジェクトごとにコストを分けて追跡することができます。

リソース管理: タグを使うことで、リソースのグループ化やフィルタリングが可能になります。これにより、大規模なAWS環境においてもリソースの管理が容易になります。

まとめ

タグポリシーを使って特定のタグの適用を強制することが、タグ管理の基本です。

SCPは、タグ管理の補完的な役割を果たし、リソースの作成時に必要なタグを強制するための手段として使えますが、タグポリシーと併用することが推奨されます。

タグ管理はコストやリソース管理を効率化し、AWS環境の運用において不可欠な要素です。

実践

略

一問道場

ある会社は、AWS Organizationsを使用して多くのAWSアカウントを管理しています。会社の異なる事業部門がAmazon EC2インスタンスでアプリケーションを実行しています。すべてのEC2インスタンスには「BusinessUnit」タグを付ける必要があり、これにより会社は各事業部門のコストを追跡できます。

最近の監査で、いくつかのインスタンスにこのタグが欠けていることが判明しました。会社は手動で不足しているタグをインスタンスに追加しました。

今後、このタグ付け要件を強制するためにソリューションアーキテクトは何をすべきでしょうか？

A. 組織でタグポリシーを有効にし、「BusinessUnit」タグのタグポリシーを作成します。タグキーの大文字小文字の整合性を無効にし、ec2:instanceリソースタイプにタグポリシーを実装し、組織のルートに適用します。

B. 組織でタグポリシーを有効にし、「BusinessUnit」タグのタグポリシーを作成します。タグキーの大文字小文字の整合性を有効にし、ec2:instanceリソースタイプにタグポリシーを実装し、組織の管理アカウントに適用します。

C. SCP（サービスコントロールポリシー）を作成し、それを組織のルートに適用します。次のステートメントをSCPに含めます：

D. SCP（サービスコントロールポリシー）を作成し、それを組織の管理アカウントに適用します。次のステートメントをSCPに含めます：

解説

この問題は、AWS環境において、EC2インスタンスに「BusinessUnit」タグを必ず設定することで、各事業部門のコストを追跡するために、将来的にタグの管理を自動化する方法を問うものです。

解説

タグポリシー（Tag Policies）とサービスコントロールポリシー（SCP） の使い方について理解する必要があります。

タグポリシーは、特定のタグがリソースに正しく適用されることを強制するために使います。これにより、リソースに必要なタグが付けられていない場合に、エラーを発生させることができます。タグポリシーを設定すると、リソースを作成する際にタグが正しく付けられているかを自動的にチェックできます。

*サービスコントロールポリシー（SCP）**は、AWS Organizations内のアカウントに適用されるポリシーで、特定のアクションやリソースの操作を制限することができます。これにより、例えば、タグが欠けているインスタンスの起動を禁止することができます。

各選択肢の解説

A. タグポリシーを有効にして、タグキーの大文字小文字の整合性を無効にする

タグポリシーは正しい選択ですが、タグキーの大文字小文字の整合性を無効にする理由は不明です。AWSでは、タグキーの大文字小文字の整合性を有効にしておくのが一般的です。このため、この選択肢は不適切です。

B. タグポリシーを有効にして、大文字小文字の整合性を有効にする

こちらは適切な選択肢です。タグポリシーを有効にし、BusinessUnit タグの整合性をチェックすることで、タグが欠けているインスタンスを作成できなくなります。これにより、将来的に手動でタグを追加する必要がなくなります。

C. SCPを作成して、タグがないインスタンスの作成を禁止

SCPを使用してインスタンス作成時に「BusinessUnit」タグが付いていない場合、インスタンスを起動できないように制限する方法です。これは確実な方法ですが、SCPはインスタンス作成の「ブロック」を意味します。タグがないインスタンスの作成を防ぐために使える手段ではありますが、タグポリシーを利用した方が簡潔で管理が容易です。