![[新機能] タグポリシー機能がOrganizationに追加されてタグの値を制御できるようになりました](https://devio2023-media.developers.io/wp-content/uploads/2019/04/aws-organizations.png)
[新機能] タグポリシー機能がOrganizationに追加されてタグの値を制御できるようになりました
こんにちは、中川です。
今週はたくさんアップデートありました。来週はいよいよ re:Invent でさらにたくさんのアップデートが楽しみですね!
本記事で紹介するアップデートは、タグポリシーという新機能です。
事前に定義したタグの値のみを使用するように制限が可能になりました。
環境やコスト配分用のタグなどで、許可されていない値が設定されることを防ぎ、組織で一貫したタグ付けルールを集中管理できます。
タグポリシーは、AWS Organizaitons の追加機能となりますので、AWS Organizaitonsの利用が前提となります。
また、タグ付けを強制する設定ではないので、特定のタグ付けを強制したい場合は IAM ポリシー側で設定いただくことになります。タグ付けの強制は以下の AWS ブログが参考になるかと思います。
やってみた
タグポリシーの設定
Organization を設定したアカウントにタグポリシーを設定していきます。
Organization を開き、[ポリシー]タブに移動します。[タグポリシー]をクリックします。
初期ではタグポリシーは無効になっているので、[タグポリシーを有効にする]で有効化します。
タグポリシーを有効化した状態がこちらです。ここに各ポリシーを作成していきます。[ポリシーの作成]をクリックします。
最初にポリシー名とポリシーの説明を入力します。
続いて、メインのポリシーを設定していきます。今回は、環境を定義する「env」キーを用意して、prd/stg/ver/dev の値のいずれかのみを許可するように設定します。また、リソースタイプでは、EC2 インスタンスをポリシーの対象リソースに設定します。
| 項目 | 説明 |
|---|---|
| タグキー | 制限するタグキーを入力します |
| タグキー大文字化コンプライアンス | タグキーを大文字で使用する場合に有効化します |
| タグ値コンプライアンス | 許可するタグの値を指定します |
| 強制するリソースタイプ | タグを使用するリソースをしています |
設定を保存すると、ポリシーが作成されました。
続いて、[アカウント整理]のタブに移動して、作成したポリシーをアタッチします。アタッチはアカウントや OU に可能です。今回は OU に対してアタッチします。
アタッチしたら設定は完了です。動作確認していきます。
動作確認
Organization でアカウントを作成すると「OrganizationAccountAccessRole」というロールが作成されてますので、この使って OU 配下のアカウントにスイッチロールします。
インスタンスを作成をして、許可していないタグ値を設定してみます。
インスタンスの作成をすると以下のようにエラーが発生します。
許可したタグを値を設定すると、インスタンスを作成できました。
さいごに
タグポリシーという新機能が Organization に追加されたので試してみました。
タグで設定できる値を制御できるようになったので、組織として共通でタグの運用をしやすくなりました。
設定の適用は簡単ですので、Organization を使用している環境でしたら、是非活用いただくとよろしいかと思います。
