リソース管理は、タグポリシー機能を提供します。この機能を使用すると、タグポリシーを作成および構成できます。タグポリシーは、リソースに追加されるタグを標準化するために使用されるポリシーの一種です。タグポリシーを使用して、リソースに追加する必要があるタグを定義できます。準拠タグは、タグベースのコスト配分、タグベースのアクセスの制御、自動 O&M などの側面で効率を向上させるのに役立ちます。タグポリシー機能は、シングルアカウントモードとリソースディレクトリモードをサポートしています。2 つのモードは、さまざまな段階での標準化されたタグ管理のビジネス要件を満たすことができます。
シナリオ
クラウド上のリソースが増加するにつれて、リソースにタグを追加してリソースを分類できます。このようにして、タグごとにコストを割り当て、自動 O&M を実装できます。リソースにタグを追加すると、問題が発生する可能性があります。たとえば、リソースを作成した後、リソースにタグを追加するのを忘れた場合、O&M 関連のタグなどの一部のタグのみを追加して財務関連のタグを追加するのを忘れた場合、または追加したタグにスペルミスが含まれている場合があります。これらの問題が発生した場合、タグごとにコストを割り当てるときに、一部のリソースのコストをビジネス要件に基づいて割り当てることができないか、一部のリソースに対して自動 O&M 操作を実行できません。タグポリシー機能は、次のシナリオでこれらの問題に対するソリューションを提供します。
準拠していないタグのイベント前のインターセプト
リソースを作成するときに、標準化されたタグ管理を実行することをお勧めします。タグポリシーのイベント前インターセプト機能を使用すると、リソースを作成するときに準拠タグがリソースに追加されるようにすることができます。
デフォルトでは、イベント前インターセプト機能は、タグポリシーで定義されているタグに対してのみ有効になります。準拠していないタグのイベント前インターセプトの強力な検証を有効にすると、システムは、リソースを作成するときにタグが追加されていないリソース、または他のタグが追加されているリソースに対してイベント前インターセプトを実行します。
詳細については、「準拠していないタグのイベント前インターセプトを有効にする」をご参照ください。
自動タグ検出
リソースを作成してリソースにタグを追加した後、タグポリシーを使用して次の項目を定期的にチェックし、リソースのタグコンプライアンスを判断できます。
リソースに追加されたタグが準拠しているかどうか
タグポリシーで定義されているタグがリソースに追加されているかどうか
自動タグ検出は、できるだけ早く問題を特定するのに役立ちます。
詳細については、「自動タグ検出を実行する」をご参照ください。
タグの自動修復
タグの自動修復を有効にし、構成した修復ルールが自動修復のトリガー条件と一致する場合、システムは検出結果に基づいて準拠していないタグを修復します。
詳細については、「自動タグ修復を有効にする」をご参照ください。
リソースグループからの自動タグ継承
リソースグループにタグを追加した後、リソースグループにリソースを作成または追加すると、タグがリソースに自動的に追加されます。
詳細については、「リソースグループからの自動タグ継承を有効にする」をご参照ください。
タグポリシーの仕組み
タグポリシーは、タグ付けの全プロセスでタグを標準化します。
イベント前インターセプト
リソースを作成したり、既存のリソースにタグを追加したりすると、タグポリシーは、リソースに準拠していないタグがあるかどうかを検出します。ある場合、タグポリシーは操作に対してインターセプトを実行します。
イベント後検出と修復
タグポリシーは、既存のリソースに追加されたタグのコンプライアンスについてイベント後検出を実行します。検出された準拠していないタグは、手動または自動で修復できます。
タグポリシー機能のモード
リソース管理では、シングルアカウントモードまたはリソースディレクトリモードでタグポリシー機能を有効にすることができます。ビジネスシナリオとログインアカウントのタイプに基づいて、特定のモードのタグポリシー機能を有効にすることができます。次の表に、2 つのモードを示します。
シナリオ | ログインアカウントのタイプ | タグポリシー機能のモード | 参照 |
クラウドでのビジネスがシンプルで、単一の Alibaba Cloud アカウントと Alibaba Cloud アカウント内の RAM ユーザーを使用して管理操作を実行する場合は、Alibaba Cloud アカウントを使用して、シングルアカウントモードのタグポリシー機能を有効にすることができます。その後、タグポリシーを使用して、Alibaba Cloud アカウントまたは RAM ユーザーを使用して実行されるタグ関連の操作を管理できます。 | 管理アカウントではない、またはリソースディレクトリのメンバーではない Alibaba Cloud アカウント | シングルアカウントモード: このモードのタグポリシー機能は、Alibaba Cloud アカウントまたは Alibaba Cloud アカウント内の RAM ユーザーを使用して実行されるタグ関連の操作を管理するために使用できます。 | |
クラウドでのビジネスが複雑で、リソースディレクトリを使用してすべてのアカウントを管理する場合は、リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にすることができます。その後、タグポリシーを使用して、リソースディレクトリのメンバーを使用して実行されるタグ関連の操作を管理できます。 | リソースディレクトリの管理アカウント | ビジネス要件に基づいて、両方のモードまたは一方のモードでタグポリシー機能を有効にすることができます。
| |
リソースディレクトリのメンバー | リソースディレクトリに対してタグポリシー機能が有効になっているかどうかによって、次の状況が発生する可能性があります。
|
制限
項目 | 制限 |
シングルアカウントモードのタグポリシー機能を使用する場合に作成できるタグポリシーの最大数 | 100 |
リソースディレクトリモードのタグポリシー機能を使用する場合に作成できるタグポリシーの最大数 | 100 |
各タグポリシーに含めることができる最大文字数 | 2,048 |
準拠していないタグのイベント前インターセプトが有効になるまでに必要な時間 |
|
自動タグ検出が開始または完了するまでに必要な時間 |
|
自動修復が完了するまでに必要な時間 | 準拠タグが追加されていないリソース、または準拠していないタグが追加されているリソースが検出された後、システムは 10 分以内にリソースのタグを修復します。 |
ベストプラクティス
タグポリシーをサポートするサービス
サービス名 | サービスコード | リソースタイプ | 自動タグ検出と自動タグ修復のサポート | リソースグループからの自動タグ継承のサポート | 準拠していないタグのイベント前インターセプトのデフォルト機能をサポートする API 操作1 | 準拠していないタグのイベント前インターセプトの強力な検証をサポートする API 操作2 |
Elastic Compute Service (ECS) | ecs | インスタンス | はい | はい | ||
なし | ||||||
ENI | はい | いいえ | ||||
なし | ||||||
セキュリティグループ | はい | はい | ||||
なし | ||||||
ディスク | はい | はい | ||||
なし | ||||||
スナップショット | はい | いいえ | ||||
なし | ||||||
ddh | はい | はい | ||||
なし | ||||||
イメージ | いいえ | いいえ | ||||
なし | ||||||
なし | ||||||
キーペア | いいえ | いいえ | ||||
なし | ||||||
起動テンプレート | はい | はい | ||||
なし | ||||||
スナップショットポリシー | いいえ | いいえ | ||||
ApsaraDB RDS | rds | インスタンス | はい | はい | なし | |
なし | ||||||
Server Load Balancer (SLB) | slb | インスタンス | はい | はい | なし | |
証明書 | いいえ | いいえ | なし | |||
ACL | いいえ | いいえ | なし | |||
Application Load Balancer (ALB) | alb | acl | いいえ | いいえ | なし | |
ロードバランサー | いいえ | いいえ | なし | |||
セキュリティポリシー | いいえ | いいえ | なし | |||
サーバーグループ | いいえ | いいえ | なし | |||
仮想プライベートクラウド (VPC) | VPC | VPC | はい | はい | なし | |
vSwitch | はい | いいえ | なし | |||
ルートテーブル | はい | いいえ | なし | |||
NAT ゲートウェイ | VPC | NAT ゲートウェイ | はい | はい | なし | |
VPN Gateway | vpc | vpngateway | いいえ | いいえ | なし | |
インターネット共有帯域幅 | VPC | 共通帯域幅パッケージ | いいえ | いいえ | なし | |
EIP (Elastic IP Address) | VPC | EIP | はい | はい | なし | |
クラウドエンタープライズネットワーク (CEN) | cen | cen | はい | はい | なし | |
帯域幅パッケージ | いいえ | いいえ | なし | |||
Alibaba Cloud CDN (CDN) | cdn | ドメイン | はい | はい | なし | なし |
Object Storage Service (OSS) | oss | バケット | はい | はい | なし | なし |
Tair (Redis® OSS 互換) | kvstore | インスタンス | はい | はい | なし | |
なし | ||||||
ApsaraDB for MongoDB | dds | インスタンス | はい | はい | なし | |
ApsaraDB for HBase | マルチモード | クラスタ | はい | はい | なし | |
PolarDB | polardb | クラスタ | はい | はい | なし | なし |
NAS ファイルシステム (NAS) | NAS | ファイルシステム | はい | はい | なし | なし |
Anti-DDoS | ddoscoo | インスタンス | はい | はい | なし | |
なし | ||||||
Container Service for Kubernetes (ACK) | cs | クラスター | はい | はい | なし | なし |
API Gateway | apigateway | api | はい | はい | なし | なし |
API グループ | はい | はい | なし | なし | ||
アプリ | いいえ | いいえ | なし | なし | ||
インスタンス | いいえ | いいえ | なし | なし | ||
プラグイン | いいえ | いいえ | なし | なし | ||
Alibaba Cloud DNS (DNS) | alidns | ドメイン | いいえ | いいえ | なし | なし |
Auto Scaling | ess | scalinggroup | いいえ | いいえ | ||
なし | ||||||
Elastic Container Instance | eci | containergroup | いいえ | いいえ | ||
なし | ||||||
イメージキャッシュ | いいえ | いいえ | なし | |||
なし | ||||||
仮想ノード | いいえ | いいえ | なし | |||
ApsaraMQ for RocketMQ | mq | グループ | いいえ | いいえ | なし | |
インスタンス | いいえ | いいえ | なし | |||
トピック | いいえ | いいえ | なし | |||
堡塁ホスト | bastionhost | インスタンス | いいえ | いいえ | なし | |
Resource Orchestration Service (ROS) | ros | チェンジセット | いいえ | いいえ | なし | |
スタック | いいえ | いいえ | ||||
なし | ||||||
なし | ||||||
テンプレート | いいえ | いいえ | なし |
詳細については、「カテゴリー」をご参照ください。
1コンプライアンス違反タグのイベント前インターセプトは、リソース作成時のイベント前インターセプトとリソースへのタグ追加時のイベント前インターセプトの 2 つのシナリオをサポートしています。 2 つのシナリオのサポートは、Alibaba Cloud サービス、リソースタイプ、および API 操作によって異なります。たとえば、CreateInstance 操作を呼び出して ECS インスタンスを作成するとき、または TagResources 操作を呼び出して ECS インスタンスにタグを追加するときに、コンプライアンス違反タグをインターセプトできます。
2不正なタグのイベント前のインターセプトに対する厳密な検証は、手動で有効にした後にのみ有効になります。 詳細については、「厳密な検証機能」をご参照ください。