type
status
date
slug
summary
tags
category
icon
password
理論
AWSにおけるリソースタグ管理のベストプラクティス
AWS環境では、リソースに適切なタグを付与することが重要です。タグを活用することで、コスト管理、リソースの整理、アクセス制御を効率化できます。以下に、タグ管理を強化するための方法を簡単に解説します。
1. AWS Configを利用したタグ監視
- 概要: AWS Configはリソースの設定変更を追跡し、ルールを作成してタグの有無を監視できます。
- 利点: タグが不足しているリソースを特定し、コンプライアンスを維持可能。
- 使用例: 「特定のタグが存在しないリソースを検出する」ルールを作成。
2. Service Control Policies (SCP) を使用したタグ付けの強制
- 概要: SCPを使うと、AWS Organizations内のアカウントで特定の操作を制限できます。
- 利点: リソース作成時に必須タグがない場合、操作を拒否して未然に問題を防止可能。
- 使用例:
ec2:RunInstancesに対し、指定タグが欠けている場合の拒否ルールを設定。
3. AWS Configアグリゲーターによる一元管理
- 概要: 複数アカウントの設定データを集約し、全体を可視化できます。
- 利点: 組織全体のタグコンプライアンス状況を一元管理可能。
- 使用例: 各アカウントの「タグ不足リソース」を一覧化。
4. IAMポリシーとSCPの違い
- IAMポリシー: 個別のアカウント、ユーザー、ロールに適用。制御範囲が限定的。
- SCP: AWS Organizations全体で強制され、統一的な管理が可能。広範囲に適用したい場合に有効。
5. タグ管理のメリット
- コスト配分: プロジェクト別にコストを正確に追跡可能。
- リソース管理: タグで分類することで、検索性や整理が向上。
- アクセス制御: タグに基づいて操作を許可または拒否するポリシーを設定可能。
まとめ
AWSでは、適切なタグ付けとその監視・制御を組み合わせることで、効率的かつ透明性の高いリソース管理が可能になります。AWS Config、SCP、タグの運用ルールを活用して、リソース管理を最適化しましょう。
実践
略
一問道場
質問 #113
トピック 1
ある企業は、AWSクラウド上で複数のプロジェクトを開発・ホスティングしています。これらのプロジェクトは、AWS Organizations内の同じ組織に属する複数のAWSアカウントで開発されています。企業は、クラウドインフラのコストを所有するプロジェクトに割り当てる必要があります。しかし、全てのAWSアカウントを管理しているチームが、いくつかのAmazon EC2インスタンスにコスト割り当てに使用される「Project」タグが欠けていることを発見しました。
ソリューションアーキテクトが、この問題を解決し、将来的に発生しないようにするためにはどのようなアクションを取るべきですか?(3つ選択してください。)
- A. 各アカウントで、タグが欠けているリソースを検出するためのAWS Configルールを作成します。
- B. 「Project」タグが欠けている場合、
ec2:RunInstancesを拒否するService Control Policy(SCP)を組織に作成します。
- C. 組織内でAmazon Inspectorを使用して、タグが欠けているリソースを検出します。
- D. 各アカウントに、「Project」タグが欠けている場合、
ec2:RunInstancesを拒否するIAMポリシーを作成します。
- E. 組織全体でAWS Configアグリゲーターを作成し、「Project」タグが欠けているEC2インスタンスのリストを収集します。
- F. AWS Security Hubを使用して、「Project」タグが欠けているEC2インスタンスのリストを集約します。
解説
この問題では、AWSリソースの適切なタグ付けを確保し、将来的なタグ付けの欠落を防止するための方法を問われています。以下に解説を示します。
正解: A, B, E
A. AWS Configルールを作成
AWS Configは、リソースの設定変更を追跡し、タグが欠けているリソースを検出するルールを作成できます。このルールを各アカウントで設定することで、現在タグが不足しているリソースを特定できます。
理由: タグの有無を監視するための基本的なツールとして役立ちます。
B. SCPを使用してタグの欠如を防止
Service Control Policies (SCP)は、AWS Organizations内でアカウント全体に適用されるポリシーを設定できます。この問題では、「Project」タグがない状態で
ec2:RunInstancesを実行する操作を拒否するSCPを作成することで、タグが不足しているリソースの作成を未然に防げます。理由: SCPはAWS Organizations内のすべてのアカウントで強制的に適用されるため、確実な予防策になります。
E. AWS Configアグリゲーターを使用
AWS Configアグリゲーターを使用することで、複数のアカウント間でコンプライアンスデータを集約し、タグが欠けているリソースを一元的に管理できます。
理由: 組織全体で一貫した監視を可能にし、コンプライアンス違反を迅速に特定できます。
誤答: C, D, F
C. Amazon Inspectorの使用
Amazon Inspectorは主にセキュリティと脆弱性管理ツールであり、タグの欠如を検出する機能はありません。この問題の要件を満たす適切なツールではありません。
D. IAMポリシーの使用
IAMポリシーは個別のアカウントやユーザーに適用されますが、組織全体での一貫した制御には適していません。この場合、SCPを使用する方が効果的です。
F. AWS Security Hubの使用
AWS Security Hubはセキュリティ関連の問題を統合的に管理するツールであり、タグの欠如に関する特定の機能は提供していません。
まとめ
- 現在の問題を解決する: AWS Configルール (A) と AWS Configアグリゲーター (E) でリソースを監視します。
- 将来の問題を防止する: SCP (B) を使用してタグが欠けているリソースの作成を防ぎます。
これにより、コスト割り当てが適切に行われ、リソース管理が改善されます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16dd7ae8-88e2-8078-b82a-dc60fc4606b7
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
