タグ マネージャーの概要

Google Cloud のリソース階層は、リソースをツリー構造に編成する方法です。階層はリソースを大規模に管理する際に有用ですが、モデル化は、組織構造、地域、ワークロードの種類、コストセンターなど、いくつかのビジネス ディメンションのみに限定されます。階層には、複数のビジネス ディメンションを一体化して階層化する柔軟性が欠落しています。

タグは、リソース階層に加えて、ポリシーを管理する新しい方法としてご利用いただけます。ポリシーは組織リソースから集中管理できますが、タグの存在に応じて条件付きで適用されます。ポリシーを 1 か所で管理および更新し、リソース階層全体で厳密な制御を可能にする柔軟な性質を持つタグを添付できます。

タグを作成する

タグは、アクセス制御リスト(ACL)が適用されたリソースであり、Key-Value ペアとして構造化されています。許可される値のリストは、ACL が適用されているリソースです。たとえば、値が「prod」と「dev」のタグキー「env」が考えられます。タグキーのリソースは組織の下に作成でき、タグ値のリソースはタグキーの下にのみ作成できます。

Key-Value ペアにタグを付ける

タグは、mycompany.com などの組織の下に作成されます。作成中に、人間が読める表示名や説明など、他のプロパティを設定できます。

タグ管理

管理者は、タグを作成、更新、削除、およびリソースに添付できるユーザーを制限することにより、タグの使用を制御できます。個別のタグを選択して、キー名、値の名前の更新、値の追加または削除、説明の更新などの編集を行うことができます。これにより、組織全体でタグをきめ細かく制御できます。

タグには、リソースをアタッチするためタグを参照する際に常に表示できる説明が付されている場合があります。これは、リソースにタグを付けている人がそのタグの目的を理解できるようにするためです。

ポリシーとタグ

ポリシーでタグを使用するには、タグの新しいポリシーと条件を作成する必要があります。新しいポリシーを作成するときに、タグを参照する条件を設定し、それらのタグに基づいてポリシーの動作を管理できます。

タグを作成し、タグを参照するポリシーを作成したら、タグをリソースに適用できます。ポリシーは、実装した条件付き参照に基づいて有効になります。

タグの継承

タグの Key-Value ペアがリソースにアタッチされると、リソースのすべての子孫に継承されます。同じキーのタグ値を継承したリソースに関連付けられているタグは、継承された値を無視し、直接付加されたタグ値を引き継ぎます。

タグの継承

この例では、青色の実線のタグ値がリソースに直接アタッチされていますが、「dev」などの点線のタグ値は継承されています。「test」の値が「dev」の値を上書きする点に留意してください。

タグの削除

タグキーまたは値の定義を削除するときに、添付されたタグのインスタンスがある場合、削除は失敗します。タグの定義を削除する前に、既存の添付タグをクリーンアップする必要があります。完全に消去されるまでの約 30 日の期間については、タグキーと値の定義の削除は復元できます。

使用シナリオ

組織ポリシーの例外

会社のレポート構造を反映するためにセキュリティ管理者が編成したリソース階層を検討してください。この構造はアクセス制御の管理の観点からは有用ですが、本番組織のポリシーの定義には適していません。本番環境のリソースは階層全体に存在し、開発リソースと並列的に存在する可能性があるためです。

現在、組織ポリシーは組織ノードまたは最上位のフォルダに設定されている可能性があります。組織ポリシーの例外は、オーバーライドするために階層の下位に設定されます。残念ながら、これは多くの重複を引き起こし、要件の変更に伴う管理を困難にします。

たとえば、紫色のポリシーをフルタイムの acme.com 従業員のみのドメイン制限付き共有(DRS)として、緑のポリシーをベンダーの helper.com の DRS 例外として考えてみましょう。

組織ポリシーの例

ある日、組織は別のベンダーである assist.com を使用する新しいガバナンス ルールを採用します。既存のすべての組織ポリシーの例外を識別して更新する必要がありますが、もちろん、会社のリソースへの不適切なアクセスにつながる可能性のあるミスが発生する余地があります。

組織ポリシーの例外

タグを使用すると、管理者は 1 つの集中ポリシーを定義し、条件付けされたタグを持つリソースでこのポリシーをアクティブにできるため、管理者は 1 つの集中ポリシーを維持するだけで済みます。

この例では、DRS はデフォルトで acme.com のフルタイム従業員を許可し、濃い紫色のタグが存在する場合にのみ、helper.com へのアクセス条件を許可します。管理者が helper.com を assist.com に更新することを考えた場合、管理者が更新する必要があるのはこの 1 つの集中ポリシーのみです。

タグ付きの組織ポリシーの例

これを複数の組織ポリシーと複数のタグに外挿すると、管理者は複数のビジネス ディメンションでこれらのポリシーをアクティブにしながら、ポリシーを集中管理できます。

一元化された組織ポリシー

次のステップ

タグの使用方法の詳細については、タグの作成と管理のページをご覧ください。