ある企業が AWS Organizations の管理アカウントから複数のメンバーアカウントにコスト配分タグを強制適用したいと考えています。すべてのリソースに「CostCenter」タグが付いていない場合はリソース作成を拒否し、タグ付けポリシーを Organizations の OU レベルで管理したいと考えています。最も適切な方法はどれですか?
- A. IAM パーミッションバウンダリーを全アカウントに設定し、CostCenter タグが含まれないリクエストを拒否する条件を追加する
- B. AWS Config のマネージドルール「required-tags」を全アカウントにデプロイし、タグなしリソースを自動削除する Lambda 関数を設定する
- C. Organizations でタグポリシー(Tag Policies)を有効化し、CostCenter タグを必須とするタグポリシーを該当 OU にアタッチする。さらに SCP で aws:RequestTag 条件を使ってタグなしリソース作成を Deny する
- D. AWS Service Catalog を使って全リソースをカタログ化し、製品テンプレートにタグを埋め込む。Service Catalog 外でのリソース作成を SCP で禁止する
解答と解説を見る
正解: C
Organizations のタグポリシーはタグのキーと値の形式を標準化しますが、単独では強制的な拒否はできません。SCP で aws:RequestTag 条件キーを使って CostCenter タグがないリクエストを Deny することで、タグなしリソース作成を事前に防止できます。この組み合わせが最も直接的かつ効果的です。 B: Config ルールは検出・修復が目的であり、リソース作成を事前に防止(予防的制御)する機能ではありません。自動削除は誤削除のリスクを生じます。 A: パーミッションバウンダリーは IAM エンティティの権限の上限を設定するものであり、全アカウントのすべてのリソース作成に対してタグ条件を適用するには SCP の方が適切です。 D: Service Catalog は標準化されたプロビジョニングに有効ですが、すべてのリソースを Service Catalog 経由に制限するのは現実的な運用制約が大きく、柔軟性が損なわれます。
📚 関連サービスの解説: AWS Organizations