AWS Resource Explorer でタグの付与忘れを検索してタグエディタでまとめてタグを付与してみる #AWSreInvent

re:Invnet 2023 において、AWS Resource Explorer の使い方を話すチョークトーク「COP335 | Simplify the discovery of your AWS resources」に参加した際に、タグ付けされていないリソースの検索に Resource Explorer を利用できることを知ったため、早速試してみました。AWS Organizations 組織配下のアカウントをまとめて検索できます。

このブログでは、Resource Explorer を用いて特定のタグが付与されていないリソースを検索して、是正のためにタグエディタを利用してタグを付与する一連の流れをやってみます。

Resource Explorer でタグ付けされていないリソースを検索

今回は、組織全体を検索できるビューを作成済みの前提で始めます。

AWS Resource Explorer は先日のアップデートにより AWS Organizations 組織配下のアカウントを横断的に検索できるようになっています。設定方法は下記ブログで紹介されています。

検索クエリの構文は次のユーザーガイドに記載されています。

Resource Explorer の検索クエリ構文リファレンス - AWS Resource Explorer

まずは、フィルター機能を用いて EC2 インスタンスだけ検索してみます。

resourcetype:ec2:instance

検索結果の歯車の設定アイコンからownerタグの情報も追加で出力させます。この際、ownerタグが一つも付与されていない場合は、候補にでてこない点には注意が必要です。

検索結果からownerタグが付与されていないインスタンスを把握できました。ですが、ownerタグが付与されていないリソースだけを検索したい場合もあると思います。その場合は次のクエリによりownerタグが付与されていない EC2 インスタンスのみを検索できます。

resourcetype:ec2:instance -tag.key:owner

-をつけることで Not 条件として検索できます。今回の場合は一つのアカウントでタグ付けが忘れられていることが分かります。そのため、次はownerタグを付与する是正をしていたいと思います。

タグエディタでタグを一括付与

ownerタグを付与し忘れていたアカウントにサインインして、タグエディタサービスを開きます。

全てのリージョンの EC2 インスタンスを検索します。

次に、ownerタグが付与されていないインスタンスを選択して「選択したリソースのタグを管理する」をクリックします。

ownerタグを追加して「タグの変更を確認して適用する」をクリックします。

確認後に適用すれば、タグ付けは完了です。

ownerタグ付与の反映も確認できました。

今回は手動で実施してみましたが、AWS Config ルールのマネージドルールには指定したタグを付与されているか検出する required-tags もあります。継続的に確認したい場合は Config ルールの作成も検討したほうがよいと思います。

AWS Organizations 環境で Config ルールを複数のアカウントに展開する方法は次のブログが参考になります。

さいごに

AWS Resource Explorer を用いた特定タグの付与状況の確認とタグエディタによる一括タグ付けを試しました。

re:Invent 2023 のチョークトークへの参加は Resource Explorer の機能を見直す良いきっかけとなりました。少し話が逸れますが、チョークトークに参加することで AWS Resource Explorer ステッカーもいただけました。

Resource Explorer は 2023 年 11 月に 86 種類の新しいリソースに対応しており、今後も対応リソースが増えることが期待されます。今後の機能拡充も楽しみです。

AWS Resource Explorer supports 86 new resource types

以上、このブログがどなたかのご参考になれば幸いです。