[新機能] タグポリシー機能がOrganizationに追加されてタグの値を制御できるようになりました

2019.11.29

こんにちは、中川です。

今週はたくさんアップデートありました。来週はいよいよre:Inventでさらにたくさんのアップデートが楽しみですね! 本記事で紹介するアップデートは、タグポリシーという新機能です。

AWS launches Tag Policies

事前に定義したタグの値のみを使用するように制限が可能になりました。 環境やコスト配分用のタグなどで、許可されていない値が設定されることを防ぎ、組織で一貫したタグ付けルールを集中管理できます。

タグポリシーは、AWS Organizaitonsの追加機能となりますので、AWS Organizaitonsの利用が前提となります。
また、タグ付けを強制する設定ではないので、特定のタグ付けを強制したい場合はIAMポリシー側で設定いただくことになります。タグ付けの強制は以下のAWSブログが参考になるかと思います。
新機能 – 作成時に EC2 インスタンスと EBS ボリュームにタグ付け

やってみた

タグポリシーの設定

Organizationを設定したアカウントにタグポリシーを設定していきます。 Organizationを開き、[ポリシー]タブに移動します。[タグポリシー]をクリックします。

初期ではタグポリシーは無効になっているので、[タグポリシーを有効にする]で有効化します。

タグポリシーを有効化した状態がこちらです。ここに各ポリシーを作成していきます。[ポリシーの作成]をクリックします。

最初にポリシー名とポリシーの説明を入力します。

続いて、メインのポリシーを設定していきます。今回は、環境を定義する「env」キーを用意して、prd/stg/ver/devの値のいずれかのみを許可するように設定します。また、リソースタイプでは、EC2インスタンスをポリシーの対象リソースに設定します。

項目 説明
タグキー 制限するタグキーを入力します
タグキー大文字化コンプライアンス タグキーを大文字で使用する場合に有効化します
タグ値コンプライアンス 許可するタグの値を指定します
強制するリソースタイプ タグを使用するリソースをしています

設定を保存すると、ポリシーが作成されました。

続いて、[アカウント整理]のタブに移動して、作成したポリシーをアタッチします。アタッチはアカウントやOUに可能です。今回はOUに対してアタッチします。

アタッチしたら設定は完了です。動作確認していきます。

動作確認

Organizationでアカウントを作成すると「OrganizationAccountAccessRole」というロールが作成されてますので、この使ってOU配下のアカウントにスイッチロールします。 インスタンスを作成をして、許可していないタグ値を設定してみます。

インスタンスの作成をすると以下のようにエラーが発生します。

許可したタグを値を設定すると、インスタンスを作成できました。

さいごに

タグポリシーという新機能がOrganizationに追加されたので試してみました。 タグで設定できる値を制御できるようになったので、組織として共通でタグの運用をしやすくなりました。 設定の適用は簡単ですので、Organizationを使用している環境でしたら、是非活用いただくとよろしいかと思います。