AWS リソースグループ - ユーザーガイド...AWS リソースグループ...

91
AWS リソースグループ ユーザーガイド

Transcript of AWS リソースグループ - ユーザーガイド...AWS リソースグループ...

Page 1: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループユーザーガイド

Page 2: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

AWS リソースグループ: ユーザーガイドCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon の商標およびトレードドレスは、Amazon のものではない製品またはサービスと関連付けてはならず、また、お客様に混乱を招くような形や Amazon の信用を傷つけたり失わせたりする形で使用することはできません。Amazon が所有しない商標はすべてそれぞれの所有者に所属します。所有者は必ずしも Amazon と提携していたり、関連しているわけではありません。また、Amazon 後援を受けているとはかぎりません。

Page 3: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

Table of ContentsAWS Resource Groups とは ................................................................................................................ 1

リソースグループとは ................................................................................................................. 1リソースグループのユースケース .......................................................................................... 2

AWS Resource Groups アクセス許可 ............................................................................................ 2AWS Resource Groups リソース .................................................................................................. 3タグ付けの仕組み ....................................................................................................................... 3AWS Resource Groups と連携する AWS サービス .......................................................................... 3サポートされているリソース ........................................................................................................ 5

Amazon API Gateway ......................................................................................................... 6Amazon AppStream ............................................................................................................ 6AWS AppSync ................................................................................................................... 6AWS Certificate Manager ..................................................................................................... 7AWS Certificate Manager Private Certificate Authority .............................................................. 7AWS Cloud9 ...................................................................................................................... 7AWS CloudFormation .......................................................................................................... 7Amazon CloudFront ............................................................................................................ 8AWS CloudTrail .................................................................................................................. 8Amazon CloudWatch ........................................................................................................... 8Amazon CloudWatch ログ ................................................................................................... 9AWS CodeBuild ................................................................................................................. 9AWS CodeCommit .............................................................................................................. 9AWS CodeDeploy ............................................................................................................... 9Amazon CodeGuru Reviewer .............................................................................................. 10AWS CodePipeline ............................................................................................................ 10Amazon Cognito ............................................................................................................... 10Amazon Comprehend ........................................................................................................ 10AWS Config ..................................................................................................................... 11AWS Data Exchange ......................................................................................................... 11AWS Data Pipeline ........................................................................................................... 11AWS Database Migration Service ........................................................................................ 11Amazon DynamoDB .......................................................................................................... 12Amazon EMR ................................................................................................................... 12Amazon EMR コンテナ ..................................................................................................... 12Amazon ElastiCache ......................................................................................................... 13AWS Elastic Beanstalk ...................................................................................................... 13Amazon Elastic Compute Cloud (Amazon EC2) ..................................................................... 13Amazon Elastic Container Registry ...................................................................................... 14Amazon Elastic Container Service ....................................................................................... 15Amazon Elastic File System ............................................................................................... 15Amazon Elastic Inference ................................................................................................... 15Amazon Elastic Kubernetes Service (Amazon EKS) ............................................................... 15Elastic Load Balancing ...................................................................................................... 16Amazon Elasticsearch Service ............................................................................................ 16Amazon CloudWatch Events .............................................................................................. 16Amazon FSx .................................................................................................................... 16Amazon Forecast .............................................................................................................. 17Amazon Fraud Detector ..................................................................................................... 17AWS Glue ....................................................................................................................... 18AWS Glue DataBrew ......................................................................................................... 18AWS Identity and Access Management ................................................................................ 18Amazon Inspector ............................................................................................................. 19AWS IoT ......................................................................................................................... 19AWS IoT Analytics ............................................................................................................ 19AWS IoT Events ............................................................................................................... 20

iii

Page 4: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

AWS IoT Greengrass ........................................................................................................ 20AWS Key Management Service .......................................................................................... 20Amazon Kinesis ................................................................................................................ 21Amazon Kinesis Data Analytics ........................................................................................... 21Amazon Kinesis Data Firehose ........................................................................................... 21AWS Lambda ................................................................................................................... 21Amazon MQ ..................................................................................................................... 22Amazon Macie ................................................................................................................. 22Amazon Managed Streaming for Apache Kafka ..................................................................... 22AWS OpsWorks ................................................................................................................ 22AWS Organizations ........................................................................................................... 23Amazon Quantum Ledger Database (Amazon QLDB) ............................................................. 23Amazon Redshift .............................................................................................................. 23Amazon リレーショナルデータベースサービス(Amazon RDS) ............................................. 24AWS Resource Access Manager ......................................................................................... 24AWS リソースグループ ..................................................................................................... 25AWS Roboaker ................................................................................................................. 25Amazon Route 53 ............................................................................................................. 25Amazon Route 53 リゾルバー ............................................................................................ 26Amazon S3 Glacier ........................................................................................................... 26Amazon SageMaker .......................................................................................................... 26AWS Secrets Manager ...................................................................................................... 27AWS Service Catalog ........................................................................................................ 27Service Quotas ................................................................................................................. 27Amazon Simple Notification Service ..................................................................................... 28Amazon Simple Queue Service ........................................................................................... 28Amazon Simple Storage Service (Amazon S3) ...................................................................... 28AWS Step Functions ......................................................................................................... 28AWS Storage Gateway ...................................................................................................... 29AWS Systems Manager ..................................................................................................... 29Amazon WorkSpaces ........................................................................................................ 29

開始方法 .................................................................................................................................. 29前提条件 .......................................................................................................................... 30

グループの作成 ......................................................................................................................... 34リソースグループのクエリーの種類 ..................................................................................... 34タグベースのクエリを構築し、グループを作成する ................................................................ 35AWS CloudFormation スタックベースグループの作成 ............................................................ 37

グループの更新 ......................................................................................................................... 38タグベースのクエリグループの更新 ..................................................................................... 39AWS CloudFormation スタックベースのグループの更新 ......................................................... 40

グループの削除 ......................................................................................................................... 42タグエディター ......................................................................................................................... 42

タグ付けするリソースの検索 .............................................................................................. 43タグの管理 ....................................................................................................................... 48タグ変更のトラブルシューティング ..................................................................................... 54

タグポリシー ............................................................................................................................ 55前提条件とアクセス許可 .................................................................................................... 55アカウントのコンプライアンスの評価 .................................................................................. 57組織全体のコンプライアンスを評価します。 ......................................................................... 59

セキュリティ ............................................................................................................................ 60データ保護 ....................................................................................................................... 61Identity and Access Management ........................................................................................ 62ログ記録とモニタリング .................................................................................................... 74コンプライアンス検証 ....................................................................................................... 76耐障害性 .......................................................................................................................... 77インフラストラクチャセキュリティ ..................................................................................... 77セキュリティのベストプラクティス ..................................................................................... 78

iv

Page 5: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

リファレンス ............................................................................................................................ 78AWS Resource Groups で使用できる AWS 管理ポリシー ....................................................... 78

ドキュメント履歴 .............................................................................................................................. 80以前の更新 ............................................................................................................................... 84

AWS の用語集 .................................................................................................................................. 85.................................................................................................................................................. lxxxvi

v

Page 6: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドリソースグループとは

AWS Resource Groups とは次を使用できます。リソースグループを使用して AWS リソースを整理します。AWS Resource Groups とは、多数のリソース上のタスクを一度に管理および自動化できるサービスです。このガイドでは、AWSResource Groups 作成方法および管理方法について説明します。リソースで実行できるタスクは、使用している AWS サービスによって異なります。AWS Resource Groups をサポートするサービスのリスト、および各サービスでリソースグループに対して実行できることの簡単な説明については、AWS ResourceGroups と連携する AWS サービス (p. 3)。

Resource Groups にアクセスするには、次のいずれかのエントリポイントを使用します。

• 左AWS マネジメントコンソール上部のナビゲーションバーで、[] を選択します。サービス。次に、[] の下でマネジメント&ガバナンス] で、Resource Groups タグエディタ。

直接リンク: AWS Resource Groups コンソール• AWS Systems Manager コンソールから、Resource Groups 左ナビゲーションペインエントリ。• Resource Groups API、AWS CLI コマンド、または AWS SDK プログラミング言語。

AWS Management Console のホームでリソースグループを使用するには

1. AWS マネジメントコンソール へサインインします。2. ナビゲーションバーで、[] を選択します。サービス。3. []マネジメント&ガバナンス] で、Resource Groups タグエディタ。4. 左側のナビゲーションペインで、[] を選択します。保存されたResource Groupsを使用して既存のグ

ループを操作するか、グループの作成をクリックして、新しいものを作成します。

リソースグループとはAWS では、リソースは、ユーザーが操作できるエンティティです。例としては、Amazon EC2 インスタンス、AWS CloudFormation スタック、または Amazon S3 バケットなどがあります。複数のリソースを使用する場合、タスクごとに AWS のサービスから別のサービスに移動するよりも、グループとして管理すると便利です。アプリケーション層を構成する EC2 インスタンスなど、多数の関連リソースを管理する場合は、これらのリソースに対して一括アクションを一度に実行する必要があります。一括アクションの例を以下に示します。

• アップデートまたはセキュリティパッチの適用。• アプリケーションのアップグレード。• ネットワークトラフィックのポートの開閉。• 特定のログの収集、またはインスタンスのフリートのデータの監視。

Aリソースグループは、すべてが同じ AWS リージョンにあり、グループのクエリで指定された条件に適合する AWS リソースのコレクションです。Resource Groups では、グループの構築に使用できるクエリは2 種類あります。どちらの照会タイプにも、AWS::service::resource の形式で指定されているリソースが含まれています。

• タグベース

タグベースのクエリには、リソースとタグのリストが含まれています。タグ は、企業内のリソースを識別およびソートするのに役立ちます。タグには、キーの値が含まれます。

1

Page 7: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドリソースグループのユースケース

Important

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスをお客様に提供します。タグは、プライベートデータや機密データに使用することを意図していません。

• AWS CloudFormation スタックベース

AWS CloudFormation スタックベースのクエリでは、現在のリージョン内のアカウントで AWSCloudFormation スタックを選択してから、グループ内に含めるスタック内のリソースタイプを選択します。クエリは 1 つの AWS CloudFormation スタックだけに基づくことができます。

リソースグループはネストできます。つまり、同じリージョン上の既存のリソースグループは、リソースグループに含めることができます。

リソースグループのユースケースデフォルトでは、AWS マネジメントコンソールは AWS のサービスによって編成されています。ただし、Resource Groups を使用すると、タグで指定された条件、または AWS CloudFormation スタックのリソースに基づいて情報を整理し、統合するカスタムコンソールを作成できます。次のリストでは、リソースのグループ化を使用したリソースの整理に役立つケースを紹介します。

• 開発、ステージング、本番稼働用といった、さまざまな段階があるアプリケーション。• 複数の部門または個々のユーザーによって管理されるプロジェクト.• 共通のプロジェクトで一緒に使用する、またはグループとして管理あるいはモニタリングする一連の

AWS リソース.• 特定のプラットフォーム (例: Android または iOS) で実行されるアプリケーションに関連するリソースの

セット。

たとえば、ウェブアプリケーションを開発中で、アルファ環境、ベータ環境、リリースステージのリソースのセットを個々に管理しているとします。各バージョンは、Amazon Elastic Block Store ストレージボリュームを持つ Amazon EC2 で実行されます。Elastic Load Balancing を使用してトラフィックを管理し、Route 53 を使用してドメインを管理します。Resource Groups を使用しないと、サービスのステータスの確認や、アプリケーションのバージョン設定の変更を行うために、複数のコンソールにアクセスする必要があります。

Resource Groups を使用すると、単一のページでリソースを表示および管理できます。たとえば、ツールを使用して、アプリケーションのバージョン— アルファ、ベータ、リリース— ごとにリソースグループを作成するとします。アルファバージョンのアプリケーションのリソースを確認するには、リソースグループを開きます。次に、リソースグループのページで統合情報を表示します。特定のリソースを変更するには、必要な設定が行われているサービスコンソールにアクセスできるように、リソースグループのページでリソースのリンクを選択します。

AWS Resource Groups アクセス許可Resource Groups 機能のアクセス許可は、アカウントレベルです。アカウントを共有しているユーザーに適切な IAM アクセス許可が付与されていれば、作成したリソースグループを操作することができます。IAM ユーザー作成の詳細については、「」を参照してください。IAM ユーザーの作成()IAM ユーザーガイド。

タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグループのユーザーは、共通の用語 (タグ) から引き出し、そのロールと責任に意味のあるリソースグループを作成できます。また、共通のタグのプールを持つことは、ユーザーがリソースグループを共有する際に、タグ情報を失うまたは競合する心配がないことを意味します。

2

Page 8: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Resource Groups リソース

AWS Resource Groups リソースResource Groups で利用可能なリソースは、グループのみです。グループには、一意の Amazon リソースネーム (ARN) が関連付けられています。ARN の詳細については、『アマゾン ウェブ サービス全般のリファレンス』の「Amazon リソースネーム (ARN) と AWS のサービスの名前空間」を参照してください。

リソースタイプ

ARN 形式

ResourceGroup

arn:aws:resource-groups:region:account:group/group-name

タグ付けの仕組みタグは、AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどのAWS リソースでは、それが Amazon EC2 インスタンス、Amazon S3 バケット、または別のリソースであるかどうかにかかわらず、リソースを作成する際にタグを追加するオプションがあります。ただし、タグエディタを使用して、タグをサポートされている複数のリソースに一度に追加することもできます。さまざまな種類のリソースのクエリを作成し、検索結果のリソースのタグを追加、削除、または置換します。タグベースのクエリは AND 演算子をタグに割り当てます。そのため、クエリによって、指定されたリソースタイプおよび指定されたすべてのタグと一致するすべてのリソースが返ります。

Important

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスをお客様に提供します。タグは、プライベートデータや機密データに使用することを意図していません。

タグ付けの詳細については、このガイドの「タグエディター (p. 42)」を参照してください。タグエディタを使用してサポートされているリソース (p. 5)をタグ付けし、そのリソースを作成します。さらに追加する場合は、リソースを作成し、管理するサービスコンソールのタグ付け機能を使用します。

AWS Resource Groups と連携する AWS サービスAWS Resource Groups では、以下の AWS サービスを使用できます。

AWS サービス Resource Groups でのの使用

AWS CloudFormation— スタックテンプレートを使用して AWS CloudFormation でリソースグループを作成します。

AWS リソースのプロビジョニングと編成を同時に行います。リソースをタグ別に整理します。別のスタックからリソースを整理します。AmazonCloudWatch を使用してリソースグループ内のAWS リソースに関する洞察を収集するか、AWSSystems Manager を使用してオペレーションアクションを実行します。

詳細については、「」を参照してください。リソースResourceGroups タイプのリファレンス()AWS Resource Groups ユーザーガイド。

Amazon CloudWatch— AWS リソースと、AWS でリアルタイムに実行されるアプリケーションのモニタリングを可能にします。

単一のリソースグループのメトリクスとアラームに絞って表示します。

3

Page 9: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Resource Groups と連携する AWS サービス

AWS サービス Resource Groups でのの使用詳細については、「」を参照してください。リソースグループのメトリックスとアラームに重点を置く()Amazon CloudWatch ユーザーガイド。

Amazon CloudWatch アプリケーションのインサイト:.NET および SQL Server ベースのアプリケーションの一般的な問題を検出します。

リソースグループに属する.NET および SQLServer アプリケーションのリソースを監視します。

詳細については、「」を参照してください。サポートされるアプリケーションコンポーネント()Amazon CloudWatch ユーザーガイド。

Amazon DynamoDB テーブルグループ—DynamoDB テーブルを論理グループに整理して、より簡単にリソースを管理できます。

DynamoDB から DynamoDB テーブルのグループを作成、編集、削除するアクションメニューメニューを開きます。

詳細については、『』を参照してください。Amazon DynamoDB 開発者ガイド。

Amazon EC2 専用ホスト:WindowsServer、SUSE および Linux Enterprise Server を含むソフトウェアのライセンスを、既存のソケット単位、または VM 単位のソフトウェアライセンスを、既存のソフトウェアライセンスを持ち込んでください。

Amazon EC2 インスタンスをホストリソースグループに起動し、Dedicated Hosts の使用率を最大化します。

詳細については、「」を参照してください。専用ホストの使用()Linux インスタンス用 Amazon EC2ユーザーガイド。

Amazon EC2 キャパシティー予約— Amazon EC2インスタンスを必要なときに使用するキャパシティーを予約します。一致する属性で起動するAmazon EC2 インスタンスのみで動作するように、キャパシティ予約の属性を指定できます。

1 つ以上の容量予約を含むリソースグループにAmazon EC2 インスタンスを起動します。リクエストされたインスタンスに対して一致する属性と使用可能なキャパシティを持つキャパシティがグループに存在しない場合、インスタンスはオンデマンドインスタンスとして実行されます。一致するキャパシティー予約をターゲットグループに追加すると、インスタンスは自動的にマッチングされ、リザーブドキャパシティーに移動されます。

詳細については、「」を参照してください。キャパシティ予約グループの操作()Linux インスタンス用 Amazon EC2 ユーザーガイド。

AWS License Manager:ソフトウェアベンダーのライセンスをクラウドに移動するプロセスを効率化します。

ホストリソースグループを構成して、LicenseManager で専用ホストを管理できるようにします。

詳細については、「」を参照してください。License Manager のホストResourceGroups()License Manager ユーザーガイド。

AWS Resource Access Manager— 自分が所有している AWS リソースを指定して、他のアカウントと共有します。

AWS RAM を使用してホストリソースグループを共有します。

詳細については、「」を参照してください。共有可能なリソース()AWS RAM ユーザーガイド。

4

Page 10: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドサポートされているリソース

AWS サービス Resource Groups でのの使用

AWS Systems Manager— AWS リソースの可視性と制御を可能にします。

運用上の洞察を収集し、リソースグループに対して一括アクションを実行します。AWSSystems Manager コンソールで、AWS リソースグループページには、指定したグループの操作データが 5 つのタブに表示されます。詳細、設定、CloudTrail、モニタリング, およびOpsItems。これらのタブの情報を使用して、グループ内のどのリソースが準拠しているか、どのリソースにアクションが必要なのかを判断できます。詳細については、「」を参照してください。AWSResource Groups オペレーションデータの表示()AWS Systems Manager ユーザーガイド。

詳細については、「」を参照してください。AWSリソースグループ()AWS Systems Manager ユーザーガイド。

AWS Resource Groups で使用できるリソースAWS マネジメントコンソールまたは AWS CLI を使用して、多数の AWS リソースにタグを追加することができます。このトピックでは、AWS Resource Groups (リソースグループ) を使用してタグ付けできるリソース、およびタグエディタを使用してタグ付けできるリソースについて説明します。

Important

のクエリに基づくリソースグループサポートされているリソースタイプでは新しいResourceGroups サポートされているため、では自動的にメンバーを追加することができます。[Allsupported resource types (サポートされているすべてのリソースタイプ)] に基づき、自動化などの一括タスクを既存のリソースグループで実行する場合、最初に作成した際のグループの場合よりも、多くのリソースでアクションが実行される可能性があります。また、他のリソース用に作成した自動化またはタスクは、意図しないリソースや、タスクを完了できないリソースに適用される場合があります。

次の表は、タグベースのグループ、タグエディターでのタグ付け、および AWS CloudFormation スタックベースのグループでサポートされるリソースの一覧です。

5

Page 11: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon API Gateway

Amazon API Gateway

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ApiGateway::Account ☓ いいえ ☓ いいえ ✓ はい

AWS::ApiGateway::ApiKey ☓ いいえ ☓ いいえ ✓ はい

AWS::ApiGateway::DomainName ☓ いいえ ☓ いいえ ✓ はい

AWS::ApiGateway::RestApi ☓ いいえ ✓ はい ✓ はい

AWS::ApiGateway::Stage ☓ いいえ ✓ はい ☓ いいえ

AWS::ApiGateway::UsagePlan ☓ いいえ ☓ いいえ ✓ はい

Amazon AppStream

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::AppStream::Fleet ✓ はい ✓ はい ✓ はい

AWS::AppStream::ImageBuilder ✓ はい ✓ はい ✓ はい

AWS::AppStream::Stack ✓ はい ✓ はい ✓ はい

AWS AppSync

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::AppSync::DataSource ☓ いいえ ☓ いいえ ✓ はい

AWS::AppSync::GraphQLApi ☓ いいえ ☓ いいえ ✓ はい

6

Page 12: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Certificate Manager

AWS Certificate Manager

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CertificateManager::Certificate ✓ はい ✓ はい ✓ はい

AWS Certificate Manager Private Certificate Authority

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ACMPCA::CertificateAuthority ☓ いいえ ✓ はい ☓ いいえ

AWS Cloud9

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# Cloud9# Environment ✓ はい ✓ はい ☓ いいえ

AWS CloudFormation

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CloudFormation::Stack ✓ はい ✓ はい ✓ はい

7

Page 13: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon CloudFront

Amazon CloudFront

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CloudFront::Distribution ✓Yes¹ ✓Yes² ✓Yes²

AWS::CloudFront::StreamingDistribution ✓Yes¹ ✓Yes² ✓Yes²

¹ これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。タグエディタを使用してこのリソースタイプのタグを作成または変更するには、us-east-1からのリージョンの選択リストの下のタグ付けするリソースを検索するにはタグエディタのコンソールで。

² これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。Resource Groupsリージョンごとに個別に管理されるため、AWS マネジメントコンソールを、グループに含めるリソースを含む AWS リージョンに切り替える必要があります。グローバルリソースを含むリソースグループを作成するには、AWS マネジメントコンソールを米国東部 (バージニア北部) us-east-1AWS コンソールの右上隅にある [リージョンセレクター] を使用します。

AWS CloudTrail

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CloudTrail::Trail ✓ はい ✓ はい ✓ はい

Amazon CloudWatch

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CloudWatch::Alarm ✓ はい ✓ はい ✓ はい

AWS::CloudWatch::Dashboard ☓ いいえ ☓ いいえ ✓ はい

8

Page 14: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon CloudWatch ログ

Amazon CloudWatch ログ

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Logs::LogGroup ☓ いいえ ✓ はい ✓ はい

AWS CodeBuild

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CodeBuild::Project ✓ はい ✓ はい ☓ いいえ

AWS CodeCommit

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CodeCommit::Repository ✓ はい ✓ はい ☓ いいえ

AWS CodeDeploy

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CodeDeploy::Application ☓ いいえ ☓ いいえ ✓ はい

AWS::CodeDeploy::DeploymentConfig ☓ いいえ ☓ いいえ ✓ はい

9

Page 15: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon CodeGuru Reviewer

Amazon CodeGuru Reviewer

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CodeGuruReviewer::RepositoryAssociation ✓ はい ✓ はい ✓ はい

AWS CodePipeline

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::CodePipeline::CustomActionType ☓ いいえ ✓ はい ☓ いいえ

AWS::CodePipeline::Pipeline ✓ はい ✓ はい ✓ はい

AWS::CodePipeline::Webhook ✓ はい ✓ はい ✓ はい

Amazon Cognito

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Cognito::IdentityPool ✓ はい ✓ はい ✓ はい

AWS::Cognito::UserPool ✓ はい ✓ はい ✓ はい

Amazon Comprehend

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# Comprehend# ドキュメントクラシファイア ✓ はい ✓ はい ☓ いいえ

AWS# Comprehend# エンティティ認識機能 ✓ はい ✓ はい ☓ いいえ

10

Page 16: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Config

AWS Config

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Config::ConfigRule ✓ はい ✓ はい ☓ いいえ

AWS Data Exchange

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# DataExchange# DatDataSet et ✓ はい ✓ はい ☓ いいえ

AWS# データエクスチェンジ# リビジョン ☓ いいえ ✓ はい ☓ いいえ

AWS Data Pipeline

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::DataPipeline::Pipeline ✓ はい ✓ はい ✓ はい

AWS Database Migration Service

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::DMS::Certificate ☓ いいえ ✓ はい ☓ いいえ

AWS::DMS::Endpoint ☓ いいえ ✓ はい ✓ はい

AWS::DMS::EventSubscription ☓ いいえ ✓ はい ☓ いいえ

AWS::DMS::ReplicationInstance ☓ いいえ ✓ はい ✓ はい

AWS::DMS::ReplicationSubnetGroup ☓ いいえ ✓ はい ☓ いいえ

11

Page 17: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon DynamoDB

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::DMS::ReplicationTask ☓ いいえ ✓ はい ☓ いいえ

Amazon DynamoDB

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::DynamoDB::Table ✓ はい ✓ はい ✓ はい

Amazon EMR

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::EMR::Cluster ✓ はい ✓ はい ✓ はい

Amazon EMR コンテナ

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# EMRContainers# JobRun ☓ いいえ ✓ はい ☓ いいえ

AWS::EMRContainers::VirtualCluster ✓ はい ✓ はい ✓ はい

12

Page 18: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon ElastiCache

Amazon ElastiCache

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ElastiCache::CacheCluster ✓ はい ✓ はい ✓ はい

AWS::ElastiCache::Snapshot ✓ はい ✓ はい ☓ いいえ

AWS Elastic Beanstalk

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ElasticBeanstalk::Application ✓ はい ✓ はい ☓ いいえ

AWS::ElasticBeanstalk::ApplicationVersion ☓ いいえ ✓ はい ☓ いいえ

AWS::ElasticBeanstalk::ConfigurationTemplate ☓ いいえ ✓ はい ☓ いいえ

AWS::ElasticBeanstalk::Environment ☓ いいえ ✓ はい ☓ いいえ

Amazon Elastic Compute Cloud (Amazon EC2)

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::EC2::CapacityReservation ☓ いいえ ✓ はい ☓ いいえ

AWS::EC2::CustomerGateway ✓ はい ✓ はい ✓ はい

AWS::EC2::DHCPOptions ✓ はい ✓ はい ✓ はい

AWS::EC2::EIP ✓ はい ✓ はい ☓ いいえ

AWS::EC2::Host ☓ いいえ ✓ はい ☓ いいえ

AWS::EC2::Image ✓ はい ✓ はい ☓ いいえ

AWS::EC2::Instance ✓ はい ✓ はい ✓ はい

AWS::EC2::InternetGateway ✓ はい ✓ はい ✓ はい

AWS::EC2::LaunchTemplate ☓ いいえ ✓ はい ✓ はい

13

Page 19: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Elastic Container Registry

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::EC2::NatGateway ☓ いいえ ✓ はい ✓ はい

AWS::EC2::NetworkAcl ✓ はい ✓ はい ✓ はい

AWS::EC2::NetworkInterface ✓ はい ✓ はい ✓ はい

AWS::EC2::ReservedInstance ✓ はい ✓ はい ☓ いいえ

AWS::EC2::RouteTable ✓ はい ✓ はい ✓ はい

AWS::EC2::SecurityGroup ✓ はい ✓ はい ✓ はい

AWS::EC2::Snapshot ✓ はい ✓ はい ☓ いいえ

AWS::EC2::SpotInstanceRequest ✓ はい ✓ はい ☓ いいえ

AWS::EC2::Subnet ✓ はい ✓ はい ✓ はい

AWS::EC2::TransitGateway ☓ いいえ ✓ はい ☓ いいえ

AWS::EC2::TransitGatewayRouteTable ☓ いいえ ✓ はい ☓ いいえ

AWS::EC2::Volume ✓ はい ✓ はい ✓ はい

AWS::EC2::VPC ✓ はい ✓ はい ✓ はい

AWS::EC2::VPCPeeringConnection ☓ いいえ ✓ はい ✓ はい

AWS::EC2::VPNConnection ✓ はい ✓ はい ✓ はい

AWS::EC2::VPNGateway ✓ はい ✓ はい ✓ はい

Amazon Elastic Container Registry

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ECR::Repository ☓ いいえ ✓ はい ☓ いいえ

14

Page 20: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Elastic Container Service

Amazon Elastic Container Service

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ECS::Cluster ✓ はい ✓ はい ☓ いいえ

AWS::ECS::ContainerInstance ☓ いいえ ✓ はい ☓ いいえ

AWS::ECS::Service ☓ いいえ ✓ はい ☓ いいえ

AWS::ECS::Task ☓ いいえ ✓ はい ☓ いいえ

AWS::ECS::TaskDefinition ✓ はい ✓ はい ☓ いいえ

Amazon Elastic File System

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::EFS::FileSystem ✓ はい ✓ はい ✓ はい

Amazon Elastic Inference

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# 伸縮自在性# ElasticInferenceAccelerator ✓ はい ✓ はい ☓ いいえ

Amazon Elastic Kubernetes Service (Amazon EKS)

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::EKS::Cluster ✓ はい ✓ はい ✓ はい

15

Page 21: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドElastic Load Balancing

Elastic Load Balancing

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ElasticLoadBalancing::LoadBalancer ✓ はい ✓ はい ✓ はい

AWS::ElasticLoadBalancingV2::LoadBalancer ✓ はい ✓ はい ✓ はい

AWS::ElasticLoadBalancingV2::TargetGroup ✓ はい ✓ はい ✓ はい

Amazon Elasticsearch Service

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Elasticsearch::Domain ✓ はい ✓ はい ✓ はい

Amazon CloudWatch Events

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Events::Rule ✓ はい ✓ はい ✓ はい

Amazon FSx

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::FSx::FileSystem ✓ はい ✓ はい ☓ いいえ

16

Page 22: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Forecast

Amazon Forecast

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# Forecast ation# Datas ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# データセットグループ ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# DatasetImportJob ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# 予測 ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# 予測レポートジョブ ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# プレディクタ ✓ はい ✓ はい ☓ いいえ

AWS# Forecast# プレディクタバックテストポートジョブ ✓ はい ✓ はい ☓ いいえ

Amazon Fraud Detector

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# FaudDetector# ✓ はい ✓ はい ☓ いいえ

AWS# 詐欺検出器# 検出バージョン ☓ いいえ ✓ はい ☓ いいえ

AWS# 不正検出器# エンティティタイプ ✓ はい ✓ はい ☓ いいえ

AWS# 詐欺検出器# EventType ✓ はい ✓ はい ☓ いいえ

AWS# 不正検出器# 外部モデル ✓ はい ✓ はい ☓ いいえ

AWS# 詐欺検出器# ラベル ✓ はい ✓ はい ☓ いいえ

AWS# Fudentector# Model ✓ はい ✓ はい ☓ いいえ

AWS# 詐欺検出器# モデルバージョン ☓ いいえ ✓ はい ☓ いいえ

AWS# 詐欺検出器# 結果 ✓ はい ✓ はい ☓ いいえ

AWS# Fudedector# Rule ☓ いいえ ✓ はい ☓ いいえ

AWS# 詐欺検出器# 変数 ✓ はい ✓ はい ☓ いいえ

17

Page 23: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Glue

AWS Glue

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Glue::Crawler ✓ はい ✓ はい ☓ いいえ

AWS::Glue::Database ☓ いいえ ☓ いいえ ✓ はい

AWS::Glue::Job ✓ はい ✓ はい ☓ いいえ

AWS::Glue::Trigger ✓ はい ✓ はい ☓ いいえ

AWS Glue DataBrew

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::DataBrew::Dataset ✓ はい ✓ はい ✓ はい

AWS::DataBrew::Job ✓ はい ✓ はい ✓ はい

AWS::DataBrew::Project ✓ はい ✓ はい ✓ はい

AWS::DataBrew::Recipe ✓ はい ✓ はい ✓ はい

AWS::DataBrew::Schedule ✓ はい ✓ はい ✓ はい

AWS Identity and Access Management

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::IAM::InstanceProfile ☓ いいえ ✓ はい ☓ いいえ

AWS::IAM::ManagedPolicy ☓ いいえ ✓ はい ☓ いいえ

AWS::IAM::OpenIDConnectProvider ☓ いいえ ✓ はい ☓ いいえ

AWS::IAM::Role ☓ いいえ ☓ いいえ ✓ はい

AWS::IAM::SAMLProvider ☓ いいえ ✓ はい ☓ いいえ

AWS::IAM::ServerCertificate ☓ いいえ ✓ はい ☓ いいえ

18

Page 24: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Inspector

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::IAM::VirtualMFADevice ☓ いいえ ✓ はい ☓ いいえ

Amazon Inspector

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Inspector::AssessmentTemplate ☓ いいえ ✓ はい ✓ はい

AWS IoT

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::IoT::TopicRule ☓ いいえ ✓ はい ✓ はい

AWS IoT Analytics

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::IoTAnalytics::Channel ☓ いいえ ✓ はい ☓ いいえ

AWS::IoTAnalytics::Dataset ✓ はい ✓ はい ☓ いいえ

AWS::IoTAnalytics::Datastore ☓ いいえ ✓ はい ☓ いいえ

AWS::IoTAnalytics::Pipeline ☓ いいえ ✓ はい ☓ いいえ

19

Page 25: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS IoT Events

AWS IoT Events

リソース タグエディタ

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::IoTEvents::DetectorModel ✓ はい ✓ はい ✓ はい

AWS::IoTEvents::Input ✓ はい ✓ はい ✓ はい

AWS IoT Greengrass

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Greengrass::ConnectorDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::CoreDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::DeviceDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::FunctionDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::Group ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::LoggerDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::ResourceDefinition ✓ はい ✓ はい ☓ いいえ

AWS::Greengrass::SubscriptionDefinition ✓ はい ✓ はい ☓ いいえ

AWS Key Management Service

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::KMS::Alias ☓ いいえ ☓ いいえ ✓ はい

AWS::KMS::Key ✓ はい ✓ はい ✓ はい

20

Page 26: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Kinesis

Amazon Kinesis

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Kinesis::Stream ✓ はい ✓ はい ✓ はい

Amazon Kinesis Data Analytics

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::KinesisAnalytics::Application ✓ はい ✓ はい ✓ はい

AWS::KinesisAnalyticsV2::Application ☓ いいえ ☓ いいえ ✓ はい

Amazon Kinesis Data Firehose

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::KinesisFirehose::DeliveryStream ☓ いいえ ✓ はい ✓ はい

AWS Lambda

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Lambda::Alias ☓ いいえ ☓ いいえ ✓ はい

AWS::Lambda::EventSourceMapping ☓ いいえ ☓ いいえ ✓ はい

AWS::Lambda::Function ✓ はい ✓ はい ✓ はい

AWS::Lambda::LayerVersion ☓ いいえ ☓ いいえ ✓ はい

AWS::Lambda::Version ☓ いいえ ☓ いいえ ✓ はい

21

Page 27: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon MQ

Amazon MQ

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::AmazonMQ::Broker ✓ はい ✓ はい ☓ いいえ

AWS::AmazonMQ::Configuration ✓ はい ✓ はい ☓ いいえ

Amazon Macie

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# Macie# ClassificationJob ✓ はい ✓ はい ☓ いいえ

AWS::Macie::CustomDataIdentifier ✓ はい ✓ はい ✓ はい

AWS::Macie::FindingsFilter ✓ はい ✓ はい ✓ はい

AWS# Macie# Messor ✓ はい ✓ はい ☓ いいえ

Amazon Managed Streaming for Apache Kafka

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Kafka::Cluster ✓ はい ✓ はい ☓ いいえ

AWS OpsWorks

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::OpsWorks::Instance ☓ いいえ ✓ はい ✓ はい

AWS::OpsWorks::Layer ☓ いいえ ✓ はい ✓ はい

22

Page 28: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Organizations

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::OpsWorks::Stack ☓ いいえ ✓ はい ✓ はい

AWS Organizations

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# Organizations# アカウント ✓ はい ✓ はい ☓ いいえ

AWS# Organizations# OrganizationalUnit ☓ いいえ ✓ はい ☓ いいえ

AWS# Organizations# ポリシー ☓ いいえ ✓ はい ☓ いいえ

AWS# Organizations# ルート ✓ はい ✓ はい ☓ いいえ

Amazon Quantum Ledger Database (Amazon QLDB)

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::QLDB::Ledger ✓ はい ✓ はい ✓ はい

AWS::QLDB::Stream ☓ いいえ ✓ はい ✓ はい

Amazon Redshift

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Redshift::Cluster ✓ はい ✓ はい ✓ はい

AWS::Redshift::ClusterParameterGroup ✓ はい ✓ はい ✓ はい

AWS::Redshift::ClusterSecurityGroup ☓ いいえ ✓ はい ✓ はい

AWS::Redshift::ClusterSubnetGroup ✓ はい ✓ はい ✓ はい

23

Page 29: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon リレーショナルデータ

ベースサービス(Amazon RDS)

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Redshift::HSMClientCertificate ✓ はい ✓ はい ☓ いいえ

Amazon リレーショナルデータベースサービス(Amazon RDS)

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::RDS::DBCluster ✓ はい ✓ はい ✓ はい

AWS::RDS::DBClusterParameterGroup ✓ はい ✓ はい ✓ はい

AWS::RDS::DBClusterSnapshot ✓ はい ✓ はい ☓ いいえ

AWS::RDS::DBInstance ✓ はい ✓ はい ✓ はい

AWS::RDS::DBParameterGroup ✓ はい ✓ はい ✓ はい

AWS::RDS::DBSecurityGroup ✓ はい ✓ はい ✓ はい

AWS::RDS::DBSnapshot ✓ はい ✓ はい ☓ いいえ

AWS::RDS::DBSubnetGroup ✓ はい ✓ はい ✓ はい

AWS::RDS::EventSubscription ✓ はい ✓ はい ☓ いいえ

AWS::RDS::OptionGroup ✓ はい ✓ はい ☓ いいえ

AWS::RDS::ReservedDBInstance ✓ はい ✓ はい ☓ いいえ

AWS Resource Access Manager

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::RAM::ResourceShare ✓ はい ✓ はい ☓ いいえ

24

Page 30: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS リソースグループ

AWS リソースグループ

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ResourceGroups::Group ✓ はい ✓ はい ☓ いいえ

AWS Roboaker

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::RoboMaker::DeploymentJob ✓ はい ✓ はい ☓ いいえ

AWS::RoboMaker::Fleet ✓ はい ✓ はい ☓ いいえ

AWS::RoboMaker::Robot ✓ はい ✓ はい ☓ いいえ

AWS::RoboMaker::RobotApplication ✓ はい ✓ はい ☓ いいえ

AWS::RoboMaker::SimulationApplication ✓ はい ✓ はい ☓ いいえ

AWS::RoboMaker::SimulationJob ✓ はい ✓ はい ☓ いいえ

Amazon Route 53

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Route53::Domain ✓Yes¹ ✓Yes² ☓ いいえ

AWS::Route53::HealthCheck ✓Yes¹ ✓Yes² ✓Yes²

AWS::Route53::HostedZone ✓Yes¹ ✓Yes² ✓Yes²

¹ これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。タグエディタを使用してこのリソースタイプのタグを作成または変更するには、us-east-1からのリージョンの選択リストの下のタグ付けするリソースを検索するにはタグエディタのコンソールで。

² これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。Resource Groupsリージョンごとに個別に管理されるため、AWS マネジメントコンソールを、グループに含めるリソースを含む AWS リージョンに切り替える必要があります。グローバルリソースを含むリソースグループを作成

25

Page 31: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Route 53 リゾルバー

するには、AWS マネジメントコンソールを米国東部 (バージニア北部) us-east-1AWS コンソールの右上隅にある [リージョンセレクター] を使用します。

Amazon Route 53 リゾルバー

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Route53Resolver::ResolverEndpoint ✓Yes¹ ✓Yes² ☓ いいえ

AWS::Route53Resolver::ResolverRule ✓Yes¹ ✓Yes² ☓ いいえ

¹ これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。タグエディタを使用してこのリソースタイプのタグを作成または変更するには、us-east-1からのリージョンの選択リストの下のタグ付けするリソースを検索するにはタグエディタのコンソールで。

² これは、グローバルサービスのリソースで、米国東部(バージニア北部)リージョン。Resource Groupsリージョンごとに個別に管理されるため、AWS マネジメントコンソールを、グループに含めるリソースを含む AWS リージョンに切り替える必要があります。グローバルリソースを含むリソースグループを作成するには、AWS マネジメントコンソールを米国東部 (バージニア北部) us-east-1AWS コンソールの右上隅にある [リージョンセレクター] を使用します。

Amazon S3 Glacier

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::Glacier::Vault ✓ はい ✓ はい ☓ いいえ

Amazon SageMaker

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SageMaker::Endpoint ☓ いいえ ✓ はい ✓ はい

AWS::SageMaker::EndpointConfig ☓ いいえ ✓ はい ✓ はい

AWS::SageMaker::HyperParameterTuningJob ☓ いいえ ✓ はい ☓ いいえ

AWS# SageMaker# LabelingJob ☓ いいえ ✓ はい ☓ いいえ

AWS::SageMaker::Model ☓ いいえ ✓ はい ✓ はい

26

Page 32: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Secrets Manager

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SageMaker::NotebookInstance ✓ はい ✓ はい ✓ はい

AWS::SageMaker::TrainingJob ☓ いいえ ✓ はい ☓ いいえ

AWS::SageMaker::TransformJob ☓ いいえ ✓ はい ☓ いいえ

AWS::SageMaker::Workteam ☓ いいえ ✓ はい ☓ いいえ

AWS Secrets Manager

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SecretsManager::Secret ✓ はい ✓ はい ✓ はい

AWS Service Catalog

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::ServiceCatalog::CloudFormationProduct ☓ いいえ ✓ はい ✓ はい

AWS::ServiceCatalog::Portfolio ☓ いいえ ✓ はい ✓ はい

Service Quotas

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS# サービスコタ# クォータ ☓ いいえ ✓ はい ☓ いいえ

27

Page 33: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAmazon Simple Notification Service

Amazon Simple Notification Service

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SNS::Topic ✓ はい ✓ はい ✓ はい

Amazon Simple Queue Service

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SQS::Queue ✓ はい ✓ はい ✓ はい

Amazon Simple Storage Service (Amazon S3)

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::S3::Bucket ✓ はい ✓ はい ✓ はい

AWS Step Functions

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::StepFunctions::Activity ✓ はい ✓ はい ✓ はい

AWS::StepFunctions::StateMachine ✓ はい ✓ はい ✓ はい

28

Page 34: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Storage Gateway

AWS Storage Gateway

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::StorageGateway::Gateway ✓ はい ✓ はい ☓ いいえ

AWS::StorageGateway::Volume ☓ いいえ ✓ はい ☓ いいえ

AWS Systems Manager

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::SSM::Document ☓ いいえ ✓ はい ✓ はい

AWS::SSM::MaintenanceWindow ☓ いいえ ✓ はい ☓ いいえ

AWS::SSM::ManagedInstance ☓ いいえ ✓ はい ☓ いいえ

AWS::SSM::Parameter ✓ はい ✓ はい ✓ はい

AWS::SSM::PatchBaseline ☓ いいえ ✓ はい ✓ はい

Amazon WorkSpaces

リソース タグエディタのタグ付け

タグベースのグループ

AWSCloudFormationスタックベースグループ

AWS::WorkSpaces::Workspace ✓ はい ✓ はい ✓ はい

AWS Resource Groups 開始方法AWS では、リソースはユーザーが操作できるエンティティです。例として、Amazon EC2 インスタンス、Amazon S3 バケット、または Amazon Route 53 ホストゾーンなどがあります。複数のリソースを使用する場合、タスクごとに 1 つの AWS のサービスから別のサービスに移動するよりも、グループとして管理すると便利です。

このセクションでは、AWS Resource Groups 開始方法を示します。まず、AWS リソースを整理するには、タグエディタでタグ付けします。次に、グループに必要なリソースタイプと、リソースに適用したタグを含むクエリを [Resource Groups] に作成します。

29

Page 35: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド前提条件

Resource Groups でリソースグループを作成したら、AWS Systems Manager のツール (例:Automation) を使用して、リソースのグループの管理タスクを簡素化します。

AWS Systems Manager の機能やツールの開始方法の詳細については、AWS Systems Manager ユーザーガイドを参照してください。

トピック• AWS Resource Groups を使用するための前提条件 (p. 30)

AWS Resource Groups を使用するための前提条件リソースグループの使用を開始する前に、既存のリソースを含むアクティブな AWS アカウントと、リソースをタグ付けし、グループを作成する適切な権限があることを確認します。

AWS にサインアップAWS アカウントをお持ちでない場合は、以下の手順に従ってアカウントを作成してください。

サインアップして AWS アカウントを作成するには

1. https://portal.aws.amazon.com/billing/signup を開きます。2. オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

リソースの作成空のリソースグループを作成することはできますが、グループにリソースができるまで、リソースグループメンバーのタスクを実行することはできません。サポートされるリソースタイプの詳細については、「AWS Resource Groups で使用できるリソース (p. 5)」を参照してください。

アクセス権限の設定リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。

• 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。

• タグエディタコンソールを使用するために必要なアクセス許可• AWS Resource Groups コンソールおよび API を使用するために必要なアクセス許可。

お客様が管理者である場合は、AWS Identity and Access Management (IAM) サービスを通じてポリシーを作成し、ユーザーにアクセス許可を付与できます。まず IAM ユーザーまたはグループを作成し、必要なアクセス許可のあるポリシーを適用します。IAM ポリシーの作成とアタッチについては、ポリシーの使用。

個々のサービスに対するアクセス許可Important

このセクションでは、他のサービスコンソールや API を使用してリソースをタグ付けし、そのリソースをリソースグループに追加する場合に必要なアクセス許可について説明します。

「リソースグループとは (p. 1)」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを

30

Page 36: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド前提条件

追加するには、リソースが属するサービスに必要なアクセス許可が必要です。たとえば、Amazon EC2インスタンスにタグ付けするには、そのサービスの API でのタグ付けアクションに対するアクセス許可(例:Amazon EC2 ユーザーガイド。

リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon EC2 のこのようなポリシーの例については、Amazon EC2 コンソールで機能するサンプルポリシー()Linux インスタンス用 Amazon EC2 ユーザーガイド。

Resource Groups タグエディタに必要なアクセス許可

Resource Groups タグエディタを使用するには、IAM のユーザーのポリシーステートメントに以下のアクセス許可を追加する必要があります。AWS によって維持され、最新の状態に維持される AWS 管理ポリシーを追加することも、独自のカスタムポリシーを作成して維持することもできます。

Resource Groups およびタグエディタのアクセス許可に対する AWS 管理ポリシーの使用

AWS Resource Groups タグエディターでは、事前定義されたアクセス権限セットをユーザーに提供するために使用できる、以下の AWS 管理ポリシーがサポートされています。これらの管理ポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。

リソースグループタグエディタ読み取り専用アクセス

このポリシーは、アタッチされた IAM ユーザーまたはロールに、Resource Groups タグエディターの両方の読み取り専用オペレーションを呼び出すアクセス権限を付与します。リソースのタグを読み取るには、別のポリシーを使用してそのリソースに対するアクセス許可も持っている必要があります (以下の「重要事項」を参照)。

ResourceGroupsandTagEditorFullAccess

このポリシーは、アタッチされた IAM ユーザーまたはロールに、タグエディターでResource Groupsオペレーションとタグの読み取りおよび書き込みオペレーションを呼び出すアクセス権限を付与します。リソースのタグを読み書きするには、別のポリシーを使用してそのリソースに対するアクセス許可も持っている必要があります (以下の「重要事項」を参照)。

Important

上記の 2 つのポリシーは、Resource Groups タグエディター操作を呼び出し、それらのコンソールを使用する権限を付与しました。Resource Groups 操作の場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。ただし、タグ付け操作およびタグエディターのコンソールでは、権限がよりきめ細かくなります。操作を呼び出すためのアクセス許可だけでなく、アクセスしようとしているタグを持つ特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセスを許可するには、次のポリシーのいずれかをアタッチする必要があります。

• AWS 管理ポリシーReadOnlyAccessは、すべてのサービスのリソースに対する読み取り専用操作に対するアクセス許可を付与します。AWS は、新しい AWS サービスが利用可能になると、このポリシーを自動的に最新の状態に保ちます。

• 多くのサービスには、サービス固有の読み取り専用 AWS 管理ポリシーが用意されています。これを使用して、そのサービスによって提供されるリソースのみへのアクセスを制限できます。たとえば、Amazon EC2 では、AmazonEC2ReadOnlyAccess。

• ユーザーにアクセスを許可する少数のサービスとリソースについて、非常に特定の読み取り専用操作のみへのアクセスを許可する独自のポリシーを作成できます。このポリシーは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。

許可リスト戦略では、アクセスがデフォルトで拒否されるという事実を利用して、明示的な許可ポリシーでそれ。したがって、次の例に示すポリシーを使用できます。

31

Page 37: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド前提条件

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ], "Resource": "?????????" } ]}

または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ], "Resource": "?????????" } ]}

Resource Groups タグエディタの権限を手動で追加する

• resource-groups:*(この権限は、すべてのResource Groups アクションを許可します。 ユーザーが使用できるアクションを制限するために、アスタリスクを特定のResource Groups アクション、またはコンマ区切りのアクションのリストに)

• cloudformation:DescribeStacks

• cloudformation:ListStackResources

• tag:GetResources

• tag:TagResources

• tag:UntagResources

• tag:getTagKeys

• tag:getTagValues

• resource-explorer:*

コンソールでResource Groups タグエディタを使用するには、resource-groups:ListGroupResourcesaction. この権限は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。でのポリシー条件の使用resource-groups:ListGroupResourcesは現在サポートされていません。

AWS Resource Groups タグエディタを使用するためのアクセス許可を付与する

AWS Resource Groups タグエディタを使用するためのポリシーをユーザーに追加するには、以下の操作を行います。

1. IAM コンソールを開きます。

32

Page 38: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド前提条件

2. ナビゲーションペインで [Users] を選択します。3. AWS Resource Groups タグエディタのアクセス許可を付与するユーザーを見つけます。ユーザーの

名前を選択して、ユーザーのプロパティページを開きます。4. [Add permissions] を選択します。5. [Attach existing policies directly] を選択します。6. [Create policy] を選択します。7. [JSON] タブに、以下のポリシーステートメントを貼り付けます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ]}

Note

このサンプルポリシーステートメントは、AWS Resource Groups タグエディタアクションにのみアクセス許可を付与します。AWS Resource Groups コンソールで AWSSystems Manager のタスクにアクセスすることはできません。たとえば、このポリシーでは、Systems Manager Automation コマンドを使用するためのアクセス許可は付与されません。リソースグループで Systems Manager タスクを実行するには、Systems Managerのアクセス許可 (例:ssm:*). Systems Manager へのアクセス権のへの付与の詳細については、」Systems Manager へのアクセスを構成する()AWS Systems Manager ユーザーガイド。

8. [ポリシーの確認] を選択します。9. 新しいポリシーの名前と説明を入力します (たとえば、AWSResourceGroupsQueryAPIAccess)。10. [Create policy] を選択します。11. ポリシーが IAM に保存され、他のユーザーにアタッチできるようになりました。ポリシーをユーザー

に追加する方法の詳細については、」ポリシーを直接ユーザーにアタッチして、アクセス許可を追加する()IAM ユーザーガイド。

AWS Resource Groups 承認とアクセス制御の詳細

Resource Groups、以下をサポートしています。

• アクションベースのポリシー。 たとえば、ユーザーにListGroups操作が、他にはありません。• リソースレベルのアクセス許可。 Resource Groups、ARNポリシーで個々のリソースを指定します。• タグに基づいた承認。 Resource Groups、リソースタグ (p. 42)ポリシーの条件で。たとえば、リ

ソースグループのユーザーに、お客様がタグ付けしたグループへのフルアクセスを許可するポリシーを作成できます。

33

Page 39: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドグループの作成

• 一時認証情報。 AWS Resource Groups オペレーションを許可するポリシーが関連付けられたロールを引き受けることができます。

Resource Groups、リソースベースのポリシーをサポートしていません。

Resource Groups、サービスにリンクされたロールを使用しません。

Resource Groups タグエディタが AWS Identity and Access Management (IAM) にどのように統合されているかの詳細については、AWS Identity and Access Management ユーザーガイド。

• IAM と連携する AWS のサービス• AWS リソースグループのアクション、リソース、および条件キー• ポリシーを使用したアクセスの制御

AWS Resource Groups でのクエリとグループの構築

トピック• リソースグループのクエリーの種類 (p. 34)• タグベースのクエリを構築し、グループを作成する (p. 35)• AWS CloudFormation スタックベースグループの作成 (p. 37)

リソースグループのクエリーの種類AWS Resource Groups では、queryグループの基盤です。リソースグループは、2 つのタイプのクエリのいずれかに基づくことができます。

タグベース

タグベースのクエリには、AWS::service::resource 形式で指定されているリソースのリスト、およびタグが含まれます。タグは、企業内のリソースを識別およびソートするのに役立ちます。タグには、キーの値が含まれます。

タグベースのクエリの場合、グループのメンバーにするリソースによって共有されるタグも指定します。たとえば、アプリケーションのテストステージを実行するために使用している AmazonEC2 インスタンスと Amazon S3 バケットをすべて含むリソースグループを作成しており、このようにタグ付けされたインスタンスとバケットがある場合は、[]AWS::EC2::InstanceおよびAWS::S3::Bucketリソースタイプおよび、タグキーStageで、タグ値はTest。

AWS CloudFormation スタックベース

AWS CloudFormation スタックベースのクエリでは、現在のリージョン内のアカウント内の AWSCloudFormation スタックを選択してから、グループに含めるスタック内のリソースタイプを選択します。クエリは 1 つの AWS CloudFormation スタックのみに基づくことができます。ResourceGroups、次のいずれかのステータスにある AWS CloudFormation スタックに基づくクエリをサポートします。

Important

クエリ内のスタックの一部として直接作成されたリソースのみが、リソースグループに含まれます。グループのメンバーによって後で作成されたリソースは、グループのメンバーに

34

Page 40: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグベースのクエリを構築し、グループを作成する

なりません。たとえば、スタックの一部として AWS CloudFormation によってauto-scalingグループが作成された場合、そのauto-scaling グループ、グループのメンバー。ただし、そのauto-scaling グループによってオペレーションの一部として作成された Amazon EC2 インスタンスではありませんAWS CloudFormation スタックベースのリソースグループのメンバー。

AWS CloudFormation スタックに基づいてグループを作成し、スタックのステータスが、グループクエリの基準ではないステータスに変化する場合、DELETE_COMPLETEの場合、グループはまだ存在しますが、メンバリソースはありません。• CREATE_COMPLETE

• CREATE_IN_PROGRESS

• DELETE_IN_PROGRESS

• DELETE_FAILED

• REVIEW_IN_PROGRESS

• ROLLBACK_IN_PROGRESS

• ROLLBACK_FAILED

• UPDATE_IN_PROGRESS

• UPDATE_COMPLETE_CLEANUP_IN_PROGRESS

• UPDATE_COMPLETE

• UPDATE_ROLLBACK_IN_PROGRESS

• UPDATE_ROLLBACK_FAILED

• UPDATE_ROLLBACK_COMPLETE_CLEANUP_IN_PROGRESS

• UPDATE_ROLLBACK_COMPLETE

リソースグループを作成したら、グループ内のリソースに対してタスクを実行できます。

タグベースのクエリを構築し、グループを作成する以下の手順では、タグベースのクエリを構築し、それを使用してリソースグループを作成する方法を示します。

Console

1. にサインインします。AWS Resource Groups コンソール。2. ナビゲーションペインで [] を選択します。リソースグループの作成。3. リポジトリの []クエリベースのグループの作成ページのGroup type] で、タグベースGroup type4. []グループ化条件[] で、リソースグループで使用するリソースタイプを選択します。1 つのクエリ

に最大 20 のリソースタイプを設定できます。このウォークスルーでは、[AWS::EC2::Instance] および [AWS::S3::Bucket] を選択します。

5. まだ[]グループ化条件, 用タグでタグキーまたはタグのキーと値のペアを指定して、一致するリソースに、指定された値でタグ付けされたもののみを含めるように制限します。タグ付けが完了したら、[追加] を選択するか、Enter キーを押します。この例では、[ステージ] のタグキーを含むリソースをフィルタリングします。タグ値はオプションですが、クエリの結果を絞り込むことができます。タグキー用に複数の値を追加するには、ORタグ値の間の演算子。さらにタグを追加するには、[追加] を選択します。クエリは AND 演算子をタグに割り当てます。そのため、クエリによって、指定されたリソースタイプおよび指定されたすべてのタグと一致するすべてのリソースが返ります。

6. まだ[]グループ化条件] で、グループのリソースのプレビューを使用して、アカウント内の EC2 インスタンスと S3 バケットを、指定されたタグキーまたはキーに一致する、アカウント内の EC2インスタンスと S3 バケットを返します。

35

Page 41: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグベースのクエリを構築し、グループを作成する

7. 必要な結果が得られたら、このクエリに基づいてグループを作成します。

a. []グループの詳細, 用グループ名[] にリソースグループの名前を入力します。

リソースグループ名は、文字、数字、ハイフン、ピリオド、アンダースコアを含む最大 128文字で構成されます。名前の先頭を AWS または aws にすることはできません。これらは予約されています。リソースグループ名は、アカウントの現在のリージョンで一意である必要があります。

b. (オプション) [Group description (グループの説明)] に、グループの説明を入力します。c. (オプション) [グループタグ] で、リソースグループにのみ適用するタグキーと値のペアを追

加します。グループのメンバーリソースは追加しません。

グループタグは、このグループを大規模なグループのメンバーにする場合に便利です。グループを作成するには少なくとも 1 つのタグキーを指定する必要があるため、[Group tags(グループタグ)] にタグキーを追加して、大規模なグループにネストする予定のグループにタグキーを 1 つ以上追加してください。

8. 完了したら、[] を選択します。グループの作成。

AWS CLI & AWS SDKs

タグベースのグループは、タイプ TAG_FILTERS_1_0 のクエリに基づいています。

1. AWS CLI セッションで、次のように入力し、[] キーを押します。Enterで、グループ名、説明、リソースタイプ、タグキー、タグ値は独自に設定した内容に置き換えられます。説明には、文字、数字、ハイフン、アンダースコア、句読点、空白文字を含め、最大で 512 文字使用できます。1つのクエリに最大 20 のリソースタイプを設定できます。リソースグループ名は、文字、数字、ハイフン、ピリオド、アンダースコアを含む最大 128 文字で構成されます。名前の先頭を AWS または aws にすることはできません。これらは予約されています。リソースグループ名は、アカウントで一意である必要があります。

ResourceTypeFilters に少なくとも 1 つの値が必要です。すべてのリソースタイプを指定するには、ResourceTypeFilters 値として AWS::AllSupported を使用します。

$ aws resource-groups create-group \ --name resource-group-name \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"],\"TagFilters\":[{\"Key\":\"Key1\",\"Values\":[\"Value1\",\"Value2\"]},{\"Key\":\"Key2\",\"Values\":[\"Value1\",\"Value2\"]}]}"}'

サンプルコマンドを次に示します。

$ aws resource-groups create-group \ --name my-resource-group \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

次のコマンドでは、サポートされているすべてのリソースタイプが含まれている例です。

$ aws resource-groups create-group \ --name my-resource-group \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::AllSupported\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

2. このコマンドのレスポンスで返る内容は次のとおりです。

36

Page 42: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS CloudFormation スタックベースグループの作成

• 作成したグループの詳細な説明。• グループの作成に使用したリソースクエリ。• グループに関連付けられているタグ。

AWS CloudFormation スタックベースグループの作成以下の手順では、スタックベースのクエリを構築し、それを使用してリソースグループを作成する方法を示します。

Console

1. にサインインします。AWS Resource Groups コンソール。2. ナビゲーションペインで [] を選択します。リソースグループの作成。3. の場合クエリベースのグループの作成[]Group type] で、CloudFormation スタックベースGroup

type4. グループの基盤にするスタックを選択します。リソースグループは、1 つのスタックにのみ基づ

くことができます。スタックのリストをフィルタリングするには、スタックの名前の入力を開始します。サポートされているステータスのスタックのみがリストに表示されます。

5. グループに含めるスタックでリソースタイプを選択します。この演習では、デフォルトの [Allsupported resource types (サポートされているすべてのリソースタイプ)] のままにしておきます。サポートされていて、グループに含めることができるリソースタイプの詳細については、「AWS Resource Groups で使用できるリソース (p. 5)」を参照してください。

6. 選択グループリソースの表示をクリックして、選択したリソースタイプに一致する AWSCloudFormation スタック内のリソースのリストを返します。

7. 必要な結果が得られたら、このクエリに基づいてグループを作成します。

a. []グループの詳細, 用グループ名[] にリソースグループの名前を入力します。

リソースグループ名は、文字、数字、ハイフン、ピリオド、アンダースコアを含む最大 128文字で構成されます。名前の先頭を AWS または aws にすることはできません。これらは予約されています。リソースグループ名は、アカウントの現在のリージョンで一意である必要があります。

b. (オプション) [Group description (グループの説明)] に、グループの説明を入力します。c. (オプション) [グループタグ] で、リソースグループにのみ適用するタグキーと値のペアを追

加します。グループのメンバーリソースは追加しません。

グループタグは、このグループを大規模なグループのメンバーにする場合に便利です。グループを作成するには少なくとも 1 つのタグキーを指定する必要があるため、[Group tags(グループタグ)] にタグキーを追加して、大規模なグループにネストする予定のグループにタグキーを 1 つ以上追加してください。

8. 完了したら、[] を選択します。グループの作成。

AWS CLI & AWS SDKs

AWS CloudFormation スタックベースのグループは、タイプCLOUDFORMATION_STACK_1_0。

1. 次のコマンドを実行し、グループ名、説明、スタック識別子、リソースタイプの値を独自に設定した内容に置き換えます。説明には、文字、数字、ハイフン、アンダースコア、句読点、空白文字を含め、最大で 512 文字使用できます。

リソースタイプを指定しない場合、[Resource Group (Resource Groups)] には、スタックでサポートされるすべてのリソースタイプが含まれます。1 つのクエリに最大 20 のリソースタイプを設定できます。リソースグループ名は、文字、数字、ハイフン、ピリオド、アンダースコアを含

37

Page 43: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドグループの更新

む最大 128 文字で構成されます。名前の先頭を AWS または aws にすることはできません。これらは予約されています。リソースグループ名は、アカウントで一意である必要があります。

- stack_identifier コマンド例に示すように、スタック ARN です。

$ aws resource-groups create-group \ --name group_name \ --description "description" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"stack_identifier\",\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"]}"}'

サンプルコマンドを次に示します。

$ aws resource-groups create-group \ --name My-CFN-stack-group \ --description "My first CloudFormation stack-based group" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"arn:aws:cloudformation:us-west-2:123456789012:stack\/AWStestuseraccount\/fb0d5000-aba8-00e8-aa9e-50d5cEXAMPLE\",\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\"]}"}'

2. このコマンドのレスポンスで返る内容は次のとおりです。

• 作成したグループの詳細な説明。• グループの作成に使用したリソースクエリ。

AWS リソースグループのグループのグループの更新

リソースグループのタグベースのResource Groups を更新するには、グループの基礎であるクエリおよびタグを編集できます。グループのリソースを追加および削除するには、クエリまたはタグに変更を適用します。グループに追加する、またはグループから削除する特定のリソースを選択することはできません。グループから特定のリソースを追加または削除するには、リソースのタグを編集する必要があります。次に、リソースグループのタグクエリにタグが含まれているかどうかを確認し、そのリソースをグループに追加するかどうかによって、タグが含まれているかどうかを確認してください。

AWS CloudFormation スタックベースのリソースグループを更新するには、別のスタックを選択できます。グループの一部にするリソースタイプをスタックに追加または削除することもできます。スタックで使用可能なリソースを変更するには、スタックの作成に使用された AWS CloudFormation テンプレートを更新してから、AWS CloudFormation のスタックを更新します。AWS CloudFormation スタックの更新方法の詳細については、「」を参照してください。AWS CloudFormation スタックの更新()AWSCloudFormation ユーザーガイド。

AWS CLI では、2 つのコマンドでグループを更新します。

• update-group。グループの説明を更新する場合に実行します。• update-group-query。グループのメンバーリソースを決定するリソースクエリおよびタグを更新す

る場合に実行します。

コンソールでは、AWS CloudFormation スタックベースのグループをタグベースのクエリグループに、またはその逆に変更することはできません。ただし、AWS CLI でを含む、Resource Groups API を使用してこれを行うことができます。

38

Page 44: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグベースのクエリグループの更新

タグベースのクエリグループの更新Console

グループの基になっているクエリ内のリソースタイプまたはタグを変更して、タグベースのグループを更新します。グループの説明を追加または変更することもできます。

1. にサインインします。AWS Resource Groups コンソール。2. ナビゲーションペインの [] で、保存されたリソースグループグループの名前を選択し、[] をク

リックします。編集。

Note

ユーザーが所有するリソースグループのみを更新できます。-所有者列には、各リソースグループのアカウント所有権が表示されます。サインインしているアカウント所有者以外のアカウント所有者を持つグループは、AWS License Manager で作成されました。詳細については、「」を参照してください。AWS License Manager でリソースグループをホストする()License Manager ユーザーガイド。

3. リポジトリの []グループを編集するページの下にあるグループ分けの条件で、リソースタイプを追加または削除します。1 つのクエリに最大 20 のリソースタイプを設定できます。リソースタイプを削除するには、リソースタイプのラベルの [X] を選択します。この変更によるグループのリソースメンバーへの影響を確認するには、[View group resources (グループリソースの表示)] を選択します。このウォークスルーでは、リソースタイプ [AWS::RDS::DBInstance] をクエリに追加します。

4. まだ[]グループ分けの条件で、必要に応じてタグを編集します。この例では、[Stage (ステージ)]のタグキーを含むリソースをフィルタリングし、[Test (テスト)] のタグ値を追加します。タグ値はオプションですが、クエリの結果を絞り込むことができます。タグを削除するには、タグのラベルで [X] を選択します。

5. [Additional information (追加情報)] で、グループの説明を編集できます。グループの作成後にグループの名前を編集することはできません。

6. (オプション)でグループタグタグを追加または削除できます。グループタグは、リソースグループに関するメタデータです。メンバーリソースには影響しません。リソースグループのクエリによって返るリソースを変更するには、リソースグループのクエリによって返るリソースを変更するには、グループ分けの条件。

グループタグは、このグループを大規模なグループのメンバーにする場合に便利です。グループを作成するには、少なくともタグキーを指定する必要があります。したがって、タグキーは少なくともグループタグを、より大きなグループにネストする予定のグループに割り当てます。

7. 選択グループのリソースをプレビューします。アカウント内の指定されたタグキーに一致するEC2 インスタンス、S3 バケット、Amazon RDS データベースインスタンスの更新リストを取得するには、リソースがリストに表示されない場合は、該当リソースが、[Grouping criteria (グループ分けの条件)] で指定したタグでタグ付けされていることを確認してください。

8. 完了したら、[Save changes (変更の保存)] を選択します。

AWS CLI & AWS SDKs

AWS CLI では、2 つの異なるコマンドを使用して、グループのクエリを更新し、リソースグループの説明を更新します。既存グループの名前を編集することはできません。AWS CLI では、タグベースのグループを CloudFormation スタックベースのグループに、またはその逆に変更できます。

1. グループの説明を変更しない場合は、このステップをスキップし、次に進みます。AWS CLI セッションで、次のように入力し、[] キーを押します。Enterグループ名の値と説明は独自に設定した内容に置き換えられます。

$ aws resource-groups update-group \

39

Page 45: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS CloudFormation スタックベースのグループの更新

--group-name resource-group-name \ --description "description_text"

サンプルコマンドを次に示します。

$ aws resource-groups update-group \ --group-name my-resource-group \ --description "EC2 instances, S3 buckets, and RDS DBs that we are using for the test stage."

このコマンドでは、更新されたグループの完全な説明が返ります。2. グループのクエリおよびタグを更新するには、以下のコマンドを入力します。グループ

名、リソースタイプ、タグキー、タグ値の値を独自に設定した内容に置き換えます。その後、presEnter。1 つのクエリに最大 20 のリソースタイプを設定できます。

$ aws resource-groups update-group-query \ --group-name resource-group-name \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"],\"TagFilters\":[{\"Key\":\"Key1\",\"Values\":[\"Value1\",\"Value2\"]},{\"Key\":\"Key2\",\"Values\":[\"Value1\",\"Value2\"]}]}"}'

サンプルコマンドを次に示します。

$ aws resource-groups update-group-query \ --group-name my-resource-group \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\",\"AWS::RDS::DBInstance\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

このコマンドでは、更新されたクエリが結果として返ります。

AWS CloudFormation スタックベースのグループの更新Console

AWS Management Console で AWS CloudFormation スタックベースのグループをタグベースのグループに変更することはできません。ただし、グループのベースとなるスタックを変更したり、グループに含めるスタックを変更することができます。グループの説明を追加または変更することもできます。

1. にサインインします。AWS Resource Groups コンソール。2. ナビゲーションペインの [] で、保存されたリソースグループグループの名前を選択し、[] をク

リックします。編集。3. Note

ユーザーが所有するリソースグループのみを更新できます。-所有者列には、各リソースグループのアカウント所有権が表示されます。サインインしているアカウント所有者以外のアカウント所有者を持つグループは、AWS License Manager で作成されました。詳細については、「」を参照してください。AWS License Manager でリソースグループをホストする()License Manager ユーザーガイド。

4. リポジトリの []グループを編集するページの下にあるグループ分けの条件グループのベースとなるスタックを変更するには、ドロップダウンリストからスタックを選択します。リソースグルー

40

Page 46: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS CloudFormation スタックベースのグループの更新

プは、1 つのスタックにのみ基づくことができます。スタックのリストをフィルタリングするには、スタックの名前の入力を開始します。サポートされているステータスのスタックのみがリストに表示されます。サポートされているステータスのリストについては、ガイドの「AWSResource Groups でのクエリとグループの構築 (p. 34)」を参照してください。

5. リソースタイプを追加または削除します。スタック内の使用可能なリソースタイプのみが表示され、ドロップダウンリストに表示されます。デフォルトは [All supported resource types (サポートされているすべてのリソースタイプ)] です。1 つのクエリに最大 20 のリソースタイプを設定できます。リソースタイプを削除するには、リソースタイプのラベルの [X] を選択します。サポートされていて、グループに含めることができるリソースタイプの詳細については、「AWSResource Groups で使用できるリソース (p. 5)」を参照してください。

6. 選択グループのリソースをプレビューします。をクリックして、選択したリソースタイプに一致する AWS CloudFormation スタック内のリソースのリストを取得します。

7. [Additional information (追加情報)] で、グループの説明を編集できます。グループの作成後にグループの名前を編集することはできません。

8. [Group tags (グループタグ) で、タグを追加または削除します。グループタグは、リソースグループに関するメタデータです。メンバーリソースには影響しません。リソースグループのクエリによって返るリソースを変更するには、[Grouping criteria (グループ分けの条件)] を編集します。

グループタグは、このグループを大規模なグループのメンバーにする場合に便利です。グループを作成するには、少なくともタグキーを指定する必要があります。したがって、タグキーは少なくともグループタグを、より大きなグループにネストする予定のグループに割り当てます。

9. 完了したら、[Save changes (変更の保存)] を選択します。

AWS CLI & AWS SDKs

AWS CLI では、2 つの異なるコマンドを使用して、グループのクエリを更新し、リソースグループの説明を更新します。既存グループの名前を編集することはできません。AWS CLI では、タグベースのグループを CloudFormation スタックベースのグループに、またはその逆に変更できます。

1. グループの説明を変更しない場合は、このステップをスキップし、次に進みます。次のコマンドを実行します。これにより、グループ名の値と説明は独自に設定した内容に置き換えられます。

$ aws resource-groups update-group \ --group-name "resource-group-name" \ --description "description_text"

サンプルコマンドを次に示します。

$ aws resource-groups update-group \ --group-name "My-CFN-stack-group" \ --description "EC2 instances, S3 buckets, and RDS DBs that we are using for the test stage."

このコマンドでは、更新されたグループの完全な説明が返ります。2. グループのクエリとタグを更新するには、以下のコマンドを実行します。グループ名、スタック

識別子、リソースタイプの値を独自に設定した内容に置き換えます。リソースタイプを追加するには、追加するリソースタイプだけでなく、リソースタイプの完全なリストをコマンドに指定します。1 つのクエリに最大 20 のリソースタイプを設定できます。

- stack_identifier コマンド例に示すように、スタック ARN です。

$ aws resource-groups update-group-query \ --group-name resource-group-name \ --description "description" \

41

Page 47: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドグループの削除

--resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"stack_identifier\",\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"]}"}'

サンプルコマンドを次に示します。

$ aws resource-groups update-group-query \ --group-name "my-resource-group" \ --description "Updated CloudFormation stack-based group" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"arn:aws:cloudformation:us-west-2:810000000000:stack\/AWStestuseraccount\/fb0d5000-aba8-00e8-aa9e-50d5cEXAMPLE\",\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\"]}"}'

このコマンドでは、更新されたクエリが結果として返ります。

AWS Resource Groups からのグループの削除「」を使用できます。AWS Resource Groups コンソールAWS Resource Groups からリソースグループを削除するには、AWS CLI を使用します。リソースグループを削除しても、グループのメンバーであるリソースや、メンバーリソース上のタグは削除されません。グループ構造、およびグループレベルのタグのみ削除されます。

Console

リソースグループを削除するには

1. にサインインします。AWS Resource Groups コンソール。2. 削除するリソースグループの名前を選択します。3. グループの詳細ページで、[削除] を選択します。4. 削除の確認を求められたら、[削除] を選択します。

AWS CLI & AWS SDKs

リソースグループを削除するには

1. 次のコマンドを実行します。resource_group_name 「」をグループの名前に置き換えます。

$ aws resource-groups delete-group \ --group-name resource_group_name

2. 削除の確認を求められたら、yes と入力し、[Enter] キーを押して続行します。

タグエディタータグとは、メタデータとして使用される単語や語句で、AWS リソースを特定し、整理するのに使用できます。リソースには、最大 50 個のユーザー適用タグを含めることができます。読み取り専用のシステムタグを含めることもできます。各タグはキーと 1 つのオプションの値で構成されます。詳細については、「」を参照してください。AWS タグ付け戦略がAWS Answers, およびコスト配分タグの使用()AWS Billingand Cost Management ユーザーガイド。

42

Page 48: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ付けするリソースの検索

Important

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスをお客様に提供します。タグは、プライベートデータや機密データに使用することを意図していません。

リソースを作成するときにリソースにタグを追加できます。リソースのサービスコンソールまたは API を使用して、これらのタグを一度に 1 リソースずつ追加、変更、または削除することができます。一度に複数のタグを追加するには、タグエディターを使用します。タグエディタを使用してタグ付けするリソースを検索し、検索結果からそのリソースのタグを管理します。

タグエディタを起動するには

1. AWS マネジメントコンソール へサインインします。2. ナビゲーションバーで、[] を選択します。サービス。次に、[] の下で管理およびガバナンス]

で、Resource Groups タグエディタ。左側のナビゲーションペインで、[] を選択します。タグエディタ。

直接リンク: AWS タグエディタコンソール

すべてのリソースが適用されるタグを持つことができるわけではありません。タグエディタがサポートするリソースの詳細については、「AWS Resource Groups で使用できるリソース (p. 5)」を参照してください。タグ付けするリソースタイプがサポートされていない場合は、必ず [フィードバックツール。コンソールウィンドウの左下隅にある [

リソースのタグ付けに必要なアクセス許可やロールの詳細については、「アクセス権限の設定 (p. 30)」を参照してください。

トピック• タグ付けするリソースの検索 (p. 43)• タグの管理 (p. 48)• タグ変更のトラブルシューティング (p. 54)

タグ付けするリソースの検索タグエディタを使用して、タグ付けに使用できる 1 つまたは複数の AWS リージョンでリソースを見つけるためのクエリを構築します。最大 20 の個々のリソースタイプを選択でき、また [すべてのリソースタイプ] に対するクエリを構築できます。クエリには、既にタグがあるリソースを含めることができ、タグがないリソースを含めることもできます。詳細については、「AWS Resource Groups で使用できるリソース (p. 5)」を参照してください。

タグ付けするリソースを検索した後、タグエディタを使用してタグを追加、タグを表示、編集、または削除できます。

タグ付けするリソースを検索するには

1. にサインインします。AWS マネジメントコンソール] で、リソースグループ] を選択し、[] を選択します。タグエディタ。

2. (省略可能)タグ付けするリソースを検索するリージョンを選択します。デフォルトでは、現在のリージョンが選択されています。この演習では、[us-east-1] および [us-west-2] を選択します。

43

Page 49: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ付けするリソースの検索

3. [リリースタイプ] ドロップダウンリストから少なくとも 1 つのリソースタイプを選択します。一度に最大 20 の個々のリソースタイプのタグを追加または編集でき、または [すべてのリソースタイプ] を選択できます。このウォークスルーでは、[AWS::EC2::Instance] および [AWS::S3::Bucket] を選択します。

4. (省略可能)左タグフィールドで、タグキーまたはタグのキーと値のペアを指定して、現在の AWS リージョン内のリソースを指定された値でタグ付けされたもののみに制限します。タグキーを入力すると、現在のリージョンで一致するタグキーが以下のリストに表示され、リストからタグキーを選択できます。既存のキーと一致する十分な文字を入力すると、タグエディタがタグキーを自動補完します。タグ付けが完了したら、[追加] を選択するか、Enter キーを押します。この例では、[ステージ] のタグキーを含むリソースをフィルタリングします。タグ値はオプションですが、クエリの結果を絞り込むことができます。さらにタグを追加するには、[追加] を選択します。クエリは AND 演算子をタグに割り当てます。そのため、クエリによって、指定されたリソースタイプおよび指定されたすべてのタグと一致するすべてのリソースが返ります。

タグキーに複数の値があるリソースを検索するには、クエリに同じキーの別のタグを追加できますが、別の値を指定します。この結果には、同じタグキーでタグ付けされたすべてのリソースと、選択した値のいずれかがあるすべてのリソースが含まれています 検索では、大文字と小文字が区別されます。

[タグ] ボックスを空のままにして、現在の AWS リージョンで指定されたタイプのすべてのリソースを見つけます。このクエリは、任意のタグがあるリソースを返し、これにはタグがないリソースも含まれます。クエリからタグを削除するには、タグのラベルで [X] を選択します。

タグに空の値を持つリソースを検索するには、(空の値)カーソルがタグ値ボックスにあるとき。タグキーはあるがタグ値がないリソースを検索するには、[(タグ付けなし)] を選択します。

Note

指定されたタグでリソースを検索する前に、現在の AWS リージョンで指定されたタイプのリソースが 少なくとも 1 つの適用されている必要があります。

5. クエリの準備ができたら、[リソースの検索] を選択します。結果は [Resource search results (リソース検索の結果)] 領域に表示されます。

44

Page 50: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ付けするリソースの検索

大量のリソースをフィルタリングするには、[Filter resources (リソースのフィルタ)] に、リソース名の一部などのフィルタテキストを入力します。

6. (省略可能)リソースの検索結果でタグエディタに表示される列を設定するには、設定歯車アイコ

ン ()リソースの検索結果。

[設定] ページで、検索結果に表示する行数を選択します。

タグエディタで結果に表示する列をオンにします。検索結果に含まれるタグごとに、列を表示でき、また検索結果のうち選択したサブセットを表示できます。これは、タグ付けするリソースを検出した後、いつでも実行できます。列を有効にするには、タグの横にあるスイッチアイコンを選択して、[オ

フ] から変更します。 をオンにする 。

表示可能な列と表示される行の数の設定が終了したら、[確認] を選択します。

45

Page 51: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ付けするリソースの検索

選択したリソースのタグの表示と編集タグエディタでは、選択したリソースの既存のタグを表示します。これらのタグは、タグ付けするリソースの検索にクエリします。

いずれかを有効にした場合は、Tag列をクリックすると、検索結果の各リソースについて、そのタグの現在の値が確認できます。

Note

このトピックでは、タグを編集する方法について説明します。個別ののリソース。同時に複数のリソースのタグを編集することもできます。詳細については、「タグの管理 (p. 48)」を参照してください。

検索結果テーブルでタグをインラインで編集するには

1. 編集するリソースのタグの値を選択します。

Note

• 選択されたリソースに、選択されたキーを持つタグが現在ない場合、値は(タグなし)。• 選択したリソースに、選択したキーを持つタグがあり、値が指定されていない場合、値は

'–'。

次の例では、タグEnvの値で、現在の値を持つProdが選ばれた。

2. 新しい値を入力するか、このタグを使用して他のリソースに既に存在する値から選択できます。この1 つのリソースからタグを削除するには、タグの削除。

個々のリソースのすべてのタグを表示するには

1. あなたの結果でタグ付けするリソースの検索クエリで、タグ列で、既存のタグを表示したいリソースを選択します。[Tags (タグ)] 列でダッシュの付いたリソースには既存のタグがありません。

2. [リソースタグ] で既存のタグを表示します。タグを変更または削除するとき、[タグの管理] ページで、このウィンドウを開くこともできます。

46

Page 52: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ付けするリソースの検索

Note

最近リソースに加えたタグが表示されない場合は、ブラウザウィンドウを更新してください。

CSV への結果のエクスポート[Find Resources to tag (タグ付けするリソースを検索)] クエリの結果をカンマ区切り値 (CSV) ファイルにエクスポートすることができます。CSV ファイルには、リソース名、サービス、リージョン、リソースID、タグの合計数、および収集内の一意のタグキーそれぞれの列が記載されています。CSV ファイルは、組織内のリソースのタグ付け戦略の決定、またはリソース間でのタグ付けに重複または不整合が存在する場所の特定に役立ちます。

1. [Find Resources to tag (タグ付けするリソースを検索)]クエリの結果で、[Export to CSV (CSV にエクスポート)] を選択します。

2. ブラウザでプロンプトが表示されたら、CSV ファイルを (通常は Microsoft Excel で) 開くことを選択するか、または都合のよい場所に保存します。

関連情報• AWS タグ付け戦略• コスト配分タグの使用• タグエディター (p. 42)

47

Page 53: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

タグの管理あなたの後リソースの検索 (p. 43)タグに設定するタグは、検索結果の一部またはすべてについて、タグを追加、削除、または編集できます。タグエディタでは、リソースにアタッチされているすべてのタグと、それらのタグがタグエディタで追加されたか、リソースのサービスコンソールを使用するか、API を使用して追加されたかを表示します。

Important

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスをお客様に提供します。タグは、プライベートデータや機密データに使用することを意図していません。

タグの管理その他の方法

このトピックでは、AWS コンソールでタグエディターを使用してリソースにタグを付ける方法について説明します。ただし、AWS リソースのタグを管理するために使用できるツールは他にもあります。

• シェルプロンプトでまたはスクリプトコマンドを入力するには、resourcegroupstaggingapiコマンドAWS Command Line Interface (AWS CLI) にサインインします。

• PowerShell スクリプトを作成して実行するには、AWS Resource Groups タグ付け API」(AWSTools for PowerShell for PowerShell

• プログラムを作成して実行するには、利用可能なAWS SDKを使用してAPI にタグを付けるリソースグループのようなものである。Python 用の API のタグ付けまたはタグ付け, Java 用API。

既存のタグを追加、削除、または編集すると、[Find resources to tag (タグ付けするリソースを見つける)]クエリの結果のうち選択したリソースのタグのみが変更されます。タグを管理するリソースを最大 500 個まで選択できます。

トピック• 選択したリソースにタグを追加します。 (p. 48)• 選択したリソースのタグを編集する (p. 50)• 選択したリソースからタグを削除します。 (p. 52)• 失敗したタグの変更を再試行 (p. 54)• 関連情報 (p. 54)

選択したリソースにタグを追加します。タグエディタを使用して、[Find resources to tag (タグ付けするリソースを見つける)] クエリの結果に含まれる選択したリソースにタグを追加してタグを追加できます。

Note

このトピックでは、のタグを一括編集する方法について説明します。複数リソースの使用料金を見積もることができます。個々のリソースのタグ値を編集することもできます。詳細については、「選択したリソースのタグの表示と編集 (p. 46)」を参照してください。

1. [Find resources to tag (タグ付けするリソースを見つける)] クエリの結果で、タグを追加するリソースの横にあるチェックボックスをオンにします。リソースの名前、ID、タグキー、またはタグ値の一部をフィルリングするには、[Filter resources (リソースをフィルタリングする)] にテキスト文字列を入力します。[Tags (タグ)] 列で、結果内のリソースに既にタグが適用されていることに注意してください。次の例では、最初に選択した EC2 インスタンスには既に 2 つのタグがあります。

48

Page 54: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

2. 1 つ以上のリソースのチェックボックスをオンにし、選択したリソースのタグの管理。3. [タグの管理] ページで、選択したリソースのタグを表示します。元のクエリからより多くのリソース

が返されましたが、ステップ 1 で選択したリソースにのみタグを追加していることに注意してください。[Add tag] を選択します。

4. タグキーとオプションのタグ値を入力します。このチュートリアルでは、タグキー Team とタグ値Development を追加します。

49

Page 55: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

Note

リソースには、最大 50 個のユーザー適用タグを含めることができます。50 個のユーザー適用タグに近づいている場合は、リソースに新しいタグを追加できない可能性があります。一般的に、読み取り専用システムタグは 50 タグ制限には適用されません。タグキーも選択したリソース内で一意である必要があります。選択したリソースの既存のタグキーと一致するキーで新しいタグを追加することはできません。

5. タグの追加が終了したら、[Review and apply changes (変更を確認して適用)] を選択します。6. 変更を受け入れる場合は、[Apply changes to all selected (選択したすべてに変更を適用する)] を選択

します。

7. 選択したリソースの数によっては、新しいタグを適用するのに数分かかる場合があります。同じブラウザタブでページを離れたり、別のページを開いたりしないでください。変更が成功した場合は、緑色の成功バナーがページ上部に表示されます。続行する前に、成功または失敗のバナーがページに表示されるのを待ちます。

一部またはすべてのリソースに対するタグの変更が成功しなかった場合は、「タグ変更のトラブルシューティング (p. 54)」を参照してください。失敗したタグの変更 (アクセス権の不足など)の根本的な原因をトラブルシューティングして解決した後は、タグの変更に失敗したリソースでタグの変更を再試行できます。詳細については、「the section called “失敗したタグの変更を再試行” (p. 54)」を参照してください。

選択したリソースのタグを編集するタグエディタを使用して、[Find resources to tag (タグ付けするリソースを見つける)] クエリ (p. 43) の結果に含まれる選択したリソースの既存のタグ値を変更できます。タグを編集すると、同じタグキーを持つ選択したすべてのリソースのタグの値が変更されます。タグキーを編集することはできませんが、タグを削除して新しいタグを作成してタグキーを置き換えることはできます。これにより、選択したリソースのそのキーを持つすべてのタグが削除されます。

Important

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスをお客様に提供します。タグは、プライベートデータや機密データに使用することを意図していません。

1. [Find resources to tag (タグ付けするリソースを見つける)] クエリの結果で、既存のタグを変更するリソースの横にあるチェックボックスをオンにします。[Filter resources (リソースをフィルタリングする)] にテキスト文字列を入力して、リソースの名前または ID の一部をフィルタリングします。[Tags(タグ)] 列で、結果内のリソースに既にタグが適用されていることに注意してください。次の例では、最初に選択した EC2 インスタンスには既に 2 つのタグがあります。

50

Page 56: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

2. [Manage tags of the selected resources (選択したリソースのタグの管理)] を選択します。3. [Manage tags (タグの管理)] ページの [Edit tags of selected resources (選択したリソースのタグの編

集)] で、選択したリソースのタグを表示します。元のクエリはより多くのリソースを返しましたが、ステップ 1 で選択したリソースのタグのみを変更していることに注意してください。

4. タグ値を変更、追加、または削除します。既存のタグにはタグキーが必要ですが、タグ値はオプションです。このチュートリアルでは、Team タグの値を QA に変更します。

選択したリソースが同じキーに対して異なる値を持つ場合、[Selected resources have different tagvalues (選択したリソースのタグ値は異なります)] がタグ値フィールドに表示されます。この場合、ボックス内にカーソルを置くと、選択したリソース内のこのタグキーに使用できるすべての値のドロップダウンリストが開きます。

51

Page 57: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

選択内のリソースに必要なタグ値がある場合は、入力時にそのタグ値が強調表示されます。たとえば、選択内のリソースにすでにタグ値 QA が付いている場合は、Q と入力するとその値が強調表示されます。ドロップダウンリストの値は、タグ値をリソース間で一貫性を保つのに役立ちます。タグ値は、選択したすべてのリソースで変更されます。この例では、Team タグキーを持つ選択したすべてのリソースのタグ値が QA に変更されます。Team タグを持たない選択されたリソースの場合、値 QAを持つ Team タグが追加されます。

5. タグの変更が完了したら、[Review and apply changes (変更を確認して適用)] を選択します。6. 変更を受け入れる場合は、[Apply changes to all selected (選択したすべてに変更を適用する)] を選択

します。

7. 選択したリソースの数によっては、タグの編集には数分かかることがあります。同じブラウザタブでページを離れたり、別のページを開いたりしないでください。変更が成功した場合は、緑色の成功バナーがページ上部に表示されます。続行する前に、成功または失敗のバナーがページに表示されるのを待ちます。

一部またはすべてのリソースに対するタグの変更が成功しなかった場合は、「タグ変更のトラブルシューティング (p. 54)」を参照してください。失敗したタグの変更 (アクセス権の不足など)の根本的な原因をトラブルシューティングして解決した後は、タグの変更に失敗したリソースでタグの変更を再試行できます。詳細については、「the section called “失敗したタグの変更を再試行” (p. 54)」を参照してください。

選択したリソースからタグを削除します。タグエディタを使用して、[Find resources to tag (タグ付するリソースを見つける)] (p. 43) クエリの結果に含まれる選択したリソースからタグを削除できます。タグを削除すると、そのタグを持つ選択されたすべてのリソースからタグが削除されます。タグキーは編集できないため、タグキーを編集する必要があ

52

Page 58: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグの管理

る場合は、タグを削除して新しいタグに置き換えることができます。これにより、選択したリソースのそのキーを持つすべてのタグが削除されます。

1. [Find resources to tag (タグ付けするリソースを見つける)] クエリの結果で、タグを削除するリソースの横にあるチェックボックスをオンにします。[Filter resources (リソースをフィルタリングする)] にテキスト文字列を入力して、リソースの名前または ID の一部をフィルタリングします。

2. [Manage tags of the selected resources (選択したリソースのタグの管理)] を選択します。3. [Manage tags (タグの管理)] ページの、[Edit tags of selected resources (選択したリソースのタグの管

理)] で、選択したリソースのタグを表示します。元のクエリはより多くのリソースを返しましたが、ステップ 1 で選択したリソースのタグのみを変更していることに注意してください。

4. 削除するタグの横にある [Remove tag (タグの削除)] を選択します。このチュートリアルでは、Teamタグを削除します。

Note

[Remove tag (タグの削除)] を選択すると、そのタグを持つ選択したすべてのリソースからタグが削除されます。この例では、タグの値に関係なく、現在 Team タグを持っているすべての選択されたリソースから Team タグを削除します。

5. [Review and apply changes (変更を確認して適用)] を選択します。6. 確認ページで、[Apply changes to all selected (選択したすべてに変更を適用)] を選択します。

53

Page 59: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグ変更のトラブルシューティング

7. 選択したリソースの数によっては、タグの削除に数分かかることがあります。同じブラウザタブでページを離れたり、別のページを開いたりしないでください。変更が成功した場合は、緑色の成功バナーがページ上部に表示されます。続行する前に、成功または失敗のバナーがページに表示されるのを待ちます。

一部またはすべてのリソースに対するタグの変更が成功しなかった場合は、「タグ変更のトラブルシューティング (p. 54)」を参照してください。失敗したタグの変更 (アクセス権の不足など)の根本的な原因をトラブルシューティングして解決した後は、タグの変更に失敗したリソースでタグの変更を再試行できます。詳細については、「the section called “失敗したタグの変更を再試行” (p. 54)」を参照してください。

失敗したタグの変更を再試行選択したリソースの少なくとも 1 つでタグの変更に失敗した場合、タグエディタのページ下部に赤いバナーが表示されます。バナーには、発生した障害の種類ごとにエラーメッセージが表示されます。エラーごとに、バナーはタグエディタがタグを変更できなかった特定のリソースを識別します。エラーを確認してトラブルシューティングを行った (p. 54)後、[Retry failed tag changes on resources (リソースで失敗したタグの変更を再試行する)] を選択して、タグの変更に失敗したリソースに対してのみ変更を再試行します。

関連情報• AWS タグ付け戦略• コスト配分タグの使用• タグエディター (p. 42)

タグ変更のトラブルシューティング[Find resources to tag (タグ付けするリソースを見つける)] (p. 43) クエリの結果で選択したリソースにタグを適用または変更しようとしたときにエラーが発生した場合は、次のチェックリストが役立ちます。

• リソースタグの最大数がすでにある場合があります。一般に、リソースは最大 50 個のユーザー適用タグを持つことができます。読み取り専用のシステムタグは通常、最大 50 タグまでカウントされません。他のユーザーも同じリソースに同時にタグを追加している可能性があります。これにより、リソースのタグが最大になる可能性があります。

• 一部のサービスでは、タグを作成するために異なる文字セットを使用できます (または許可されている文字セットを制限します)。特殊文字を使用してタグを追加または変更した場合は、リソースのサービスドキュメントでタグの要件を調べて、それらの文字がサービスで許可されていることを確認してください。

• リソースのタグを変更するためのアクセス許可がない可能性があります。リソース上の既存のタグを表示する権限がない場合は、リソースのタグを変更することはできません。

• リソースを変更するための適切な権限がない可能性があります。リソースのメタデータに対する変更は、他の管理者によって制限されている可能性があります。

54

Page 60: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドタグポリシー

• リソースが別のユーザーまたはプロセスによって編集または削除された可能性があります。たとえば、AWS CloudFormation スタックの作成の一部としてリソースが起動され、そのスタックが削除されたかアクティブ状態になっていない場合、そのリソースは使用できなくなる可能性があります。

• リソースがオフラインであるか終了している場合、またはリソースへの他の更新 (ソフトウェアのアップグレードなど) が進行中の場合は、タグを変更できない可能性があります。

• ページを離れる前に変更を終了させないと、タグの変更が失敗する可能性があります。ページを離れる前に、タグの変更が終了したら、成功または失敗のバナーがページに表示されるのを待ちます。

関連情報• AWS タグ付け戦略• コスト配分タグの使用• タグエディター (p. 42)

タグポリシーAタグポリシーは、AWS Organizations で作成するポリシーの一種です。タグポリシーを使用すると、組織のアカウント内のリソース間でタグを標準化できます。タグポリシーを使用するには、AWS」で説明されているワークフローに従うことをお勧めします。タグポリシーの開始方法()AWS Organizations ユーザーガイド。このページで説明したように、推奨ワークフローには、準拠していないタグの検索と修正が含まれます。これらのタスクを実行するには、Resource Groups コンソールを使用します。

トピック• 前提条件とアクセス許可 (p. 55)• アカウントのコンプライアンスの評価 (p. 57)• 組織全体のコンプライアンスを評価します。 (p. 59)

前提条件とアクセス許可AWS Resource Groups タグポリシーのコンプライアンスを評価する前に、要件を満たし、必要なアクセス権限を設定する必要があります。

タグポリシーへの準拠を評価するための前提条件タグポリシーへの準拠を評価するには、次が必要です。

• 最初に AWS Organizations でこの機能を有効にし、タグポリシーを作成してアタッチする必要があります。詳細については、の次のページを参照してください。AWS Organizations ユーザーガイド:• タグポリシーを管理するための前提条件とアクセス許可• タグポリシーの有効化• タグポリシーの開始方法

• Toアカウントのリソースで準拠していないタグを検索する (p. 57)を使用するには、そのアカウントのサインイン資格情報と、アカウントのコンプライアンスを評価するためのアクセス許可 (p. 55)。

• To組織全体のコンプライアンスを評価します。 (p. 59)には、組織の管理アカウントのサインイン資格情報と、組織全体のコンプライアンスを評価するためのアクセス許可 (p. 56)。

アカウントのコンプライアンスを評価するためのアクセス許可アカウントのリソースで非準拠タグを検索するには、次の権限が必要です。

55

Page 61: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド前提条件とアクセス許可

• organizations:DescribeEffectivePolicy— アカウントの有効なタグポリシーの内容を取得します。

• tag:GetResources— アタッチされたタグポリシーに準拠していないリソースのリストを取得します。

• tag:TagResources— タグを追加または更新するには。タグを作成するには、サービス固有の権限も必要です。たとえば、Amazon EC2 でリソースにタグを付けるには、ec2:CreateTags。

• tag:UnTagResources— タグを削除するには。タグを削除するには、サービス固有のアクセス許可も必要です。たとえば、Amazon EC2 でリソースのタグ付けを解除するには、ec2:DeleteTags。

以下の IAM ポリシーの例は、アカウントのタグコンプライアンスを評価するためのアクセス権限を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ]}

IAM ポリシーとアクセス許可に関する詳細については、「」を参照してください。IAM ユーザーガイド。

組織全体のコンプライアンスを評価するためのアクセス許可タグポリシーを使用して組織全体のコンプライアンスを評価するには、次の権限が必要です。

• organizations:DescribeEffectivePolicy— 組織、OU、またはアカウントにアタッチされているタグポリシーの内容を取得します。

• tag:GetComplianceSummary組織内のすべてのアカウントで、準拠していないリソースの概要を取得します。

• tag:StartReportCreation最新のコンプライアンス評価の結果をファイルにエクスポートします。組織全体のコンプライアンスは 48 時間ごとに評価されます。

• tag:DescribeReportCreation— レポート作成のステータスを確認します。

以下の IAM ポリシーの例は、組織全体のコンプライアンスを評価するためのアクセス権限を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ],

56

Page 62: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドアカウントのコンプライアンスの評価

"Resource": "*" } ]}

IAM ポリシーとアクセス許可に関する詳細については、「」を参照してください。IAM ユーザーガイド。

レポートを保存するための Amazon S3 バケットポリシー組織全体のコンプライアンスレポートを作成するには、レポートストレージ用に米国東部(バージニア北部)リージョンの Amazon S3 バケットに、タグポリシーサービスプリンシパルへのアクセスを許可する必要があります。次のバケットポリシーをバケットにアタッチし、プレースホルダを実際の S3 バケット名とポリシーを適用する組織の ID 番号に置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-bucket-name" }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::your-bucket-name/AwsTagPolicies/your-org-id/*" } ]}

アカウントのコンプライアンスの評価有効なタグポリシーを使用して、組織内のアカウントのコンプライアンスを評価できます。

Important

タグ付けされていないリソースは、結果で非準拠と表示されません。

有効なタグポリシーは、アカウントに適用されるタグ付けルールを指定するものです。これは、アカウントが継承するすべてのタグポリシーと、アカウントに直接アタッチされたタグポリシーの集約です。タグポリシーを組織ルートにアタッチすると、組織内のすべてのアカウントに適用されます。組織単位 (OU)にタグポリシーをアタッチすると、OU に属するすべてのアカウントと OU に適用されます。

Note

タグポリシーをまだ作成していない場合は、」タグポリシーの開始方法()AWS Organizations ユーザーガイド。

57

Page 63: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドアカウントのコンプライアンスの評価

非準拠タグを検索するには、次のアクセス許可が必要です。

• organizations:DescribeEffectivePolicy

• tag:GetResources

• tag:TagResources

• tag:UntagResources

有効なタグポリシーに対するアカウントのコンプライアンスを評価するには (コンソール)

1. コンプライアンスを確認するアカウントにログインしている状態で、AWS Resource Groups コンソール[] を選択し、ナビゲーションペインで [] を選択します。タグポリシー。

直接リンク: タグポリシーコンソール2. -有効なタグポリシーセクションには、ポリシーが最後に更新された日時と定義されたタグキーが表示

されます。タグキーを展開すると、その値、ケース処理、および値が特定のリソースタイプに適用されるかどうかに関する情報を表示できます。

Note

管理アカウントにサインインしている場合は、有効なポリシーを表示し、コンプライアンス情報を表示するには、アカウントを選択する必要があります。

3. 左非準拠タグを持つリソースセクションで、非準拠タグを検索するリージョンを指定します。必要に応じて、リソースタイプで検索することもできます。次に [] を選択します。リソースの検索。

リアルタイムの結果は、検索結果セクションに追加します。ページごとに返される結果の数または表

示する列を変更するには、設定アイコン ( ).4. 検索結果で、非準拠タグを持つリソースを選択します。5. リソースのタグを一覧表示するダイアログボックスで、ハイパーリンクを選択して、リソースが作成

された AWS サービスを開きます。そのコンソールから、非準拠タグを修正します。

Tip

非準拠タグが不明な場合は、有効なタグポリシーセクションで、Resource Groups コンソールでアカウントを選択します。タグキーを展開すると、そのタグ付けルールを表示できます。

6. 重視するアカウントリソースが各リージョンで準拠するまで、タグを見つけて修正するプロセスを繰り返します。

準拠していないタグを検索するには(AWS CLI、AWS API)

非準拠のタグを検索するには、次のコマンドと操作を使用します。

• AWS CLI:• aws リソースグループstaggingapi 取得リソース• aws リソースグループタグリソース• aws リソースグループタグ付け解除リソース

AWS CLI でタグポリシーを使用する完全な手順については、「」を参照してください。AWS CLI でのタグポリシーの使用()AWS Organizations ユーザーガイド。

• AWS API:• GetResources• TagResources• UntagResources

58

Page 64: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド組織全体のコンプライアンスを評価します。

次のステップ

AWS では、コンプライアンス問題を検出して修正するプロセスを繰り返すことをお勧めします。気になるアカウントのリソースが、各リージョンの有効なタグポリシーに準拠するまで続行します。

非準拠タグの検索と修正は、次のような複数の理由による反復処理です。

• 組織によるタグポリシーの使用は、時間の経過とともに変化する可能性があります。• リソースを作成するときに、組織内の変更を有効にするには時間がかかります。• コンプライアンスは、新しいリソースが作成されたとき、または新しいタグがリソースに割り当てられ

ているときにいつでも変更できます。• アカウントの有効なタグポリシーは、タグポリシーがアタッチまたはデタッチされるたびに更新されま

す。有効なタグポリシーは、アカウントが継承するポリシーにタグを付けるために変更が行われるたびに更新されます。

組織内の管理アカウントとしてサインインしている場合は、レポートを生成することもできます。このレポートには、組織のアカウントにあるすべてのタグ付きリソースに関する情報が表示されます。詳細については、組織全体のコンプライアンスを評価します。 (p. 59) を参照してください。

組織全体のコンプライアンスを評価します。組織全体のアカウントにあるすべてのタグ付きリソースと、各リソースが有効なタグポリシーに準拠しているかどうかを一覧表示するレポートを生成できます。

Important

タグ付けされていないリソースは、結果で非準拠と表示されません。

組織の管理アカウントからレポートを生成するには、us-east-1リージョンのみ。米国東部 (バージニア北部) リージョンの Amazon S3 バケットにアクセスできる必要があります。「」に示されているように、バケットにはバケットポリシーがアタッチされている必要があります。レポートを保存するためのAmazon S3 バケットポリシー (p. 57)。

組織全体のコンプライアンスレポートを生成するには、次のアクセス権限が必要です。

• organizations:DescribeEffectivePolicy

• tag:StartReportCreation

• tag:DescribeReportCreation

• tag:GetComplianceSummary

組織全体のコンプライアンスレポートを生成するには (コンソール)

1. 左AWS Resource Groups コンソールナビゲーションペインで、[] を選択します。タグポリシー。

直接リンク: タグポリシーコンソール2. 「」からタグポリシーペインで、[] を選択します。組織ルート[] タブ。3. ページの下部にある [] を選択します。レポートの生成。4. リポジトリの []レポートの生成画面で、レポートの保存場所を指定します。5. 選択エクスポートの開始。

レポートが完了したら、[] の [] からダウンロードすることができます。非準拠レポートのセクション組織ルート[] タブ。

レポート抜粋の例を以下に示します。

59

Page 65: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドセキュリティ

Notes

組織全体のコンプライアンスは 48 時間ごとに評価されます。これにより、次のようになります。

• タグポリシーまたはリソースに加えた変更が組織全体のコンプライアンスレポートに反映されるまで、最大で 48 時間かかる可能性があります。たとえば、リソースタイプに対して新しい標準化されたタグを定義するタグポリシーがあるとします。レポートでは、このタイプでこのタグを持たないリソースが最大 48 時間にわたって準拠していると表示されます。

• レポートはいつでも生成できますが、レポートの結果は次の評価が完了するまで更新されません。

• -非準拠キー列には、有効なタグポリシーに準拠していないリソース上のタグキーが一覧表示されます。

• -不適合値を含むキー列には、リソース上の有効なポリシーで定義されたキーが、大文字と小文字の扱いが間違っているか、準拠していない値のいずれかで一覧表示されます。

組織全体のコンプライアンスレポートを生成するには(AWS CLI、AWS API)

組織全体のコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示するには、次のコマンドと操作を使用します。

• AWS CLI:• aws リソースグループstaggingapi 開始レポート作成• aws リソースグループstaggingapi 記述-レポート作成• aws リソースグループstaggingapi 取得-コンプライアンス-概要

AWS CLI でタグポリシーを使用する完全な手順については、「」を参照してください。AWS CLI でのタグポリシーの使用()AWS Organizations ユーザーガイド。

• AWS API:• StartReportCreation• DescribeReportCreation• GetComplianceSummary

AWS Resource Groups セキュリティクラウドセキュリティは AWS の最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

• クラウドのセキュリティ – AWS は、AWS クラウドで AWS のサービスを実行するインフラストラクチャを保護する責任を担います。また、AWS では安全に使用できるサービスも用意されています。AWS コンプライアンスプログラムの一環として、サードパーティーの監査人によって定期的にセ

60

Page 66: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドデータ保護

キュリティの有効性がテストおよび検証されています。AWS Resource Groups に適用されるコンプライアンスプログラムの詳細については、「」を参照してください。コンプライアンスプログラムによるAWS 対象範囲内のサービス。

• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、Resource Groups を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために ResourceGroups を構成する方法について説明します。また、Resource Groups モニタリングや保護に AWS の他のサービスを利用する方法についても説明します。

トピック• AWS Resource Groups データ保護 (p. 61)• AWS Resource Groups の Identity and Access Management (p. 62)• Resource Groups でのログ記録とモニタリング (p. 74)• Resource Groups コンプライアンス検証 (p. 76)• Resource Groups 耐障害性 (p. 77)• Resource Groups インフラストラクチャセキュリティ (p. 77)• Resource Groups セキュリティのベストプラクティス (p. 78)

AWS Resource Groups データ保護AWS責任共有モデルAWS Resource Groups データ保護に適用されます。このモデルで説明したように、AWS は、すべての AWS クラウドを実行するグローバルインフラストラクチャを保護します。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用する AWS のサービスのセキュリティ設定および管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。ヨーロッパのデータ保護の詳細については、「」を参照してください。AWS の責任共有モデルとGDPRのブログ投稿AWS セキュリティブログ。

データ保護の目的で、AWS アカウントの認証情報を保護し、個々のユーザーアカウントを AWS Identityand Access Management (IAM) で設定することをお勧めします。この方法により、それぞれの職務を遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします。

• 各アカウントで多要素認証 (MFA) を使用します。• SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。• AWS CloudTrail を使用して API とユーザーアクティビティログを設定します。• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使

用します。• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3

に保存される個人データの検出と保護が支援されます。• コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-2 検証済

みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、連邦情報処理規格 (FIPS) 140-2 を参照してください。

顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK で ResourceGroups または他の AWS のサービスを使用する場合も同様です。Resource Groups または他のサービスに入力したすべてのデータは、診断ログに取り込まれる場合があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

61

Page 67: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

データの暗号化他の AWS サービスと比較して、AWS Resource Groups 以外の AWS リソースの変更、追加、削除の方法を提供しないため、攻撃対象範囲は最小限です。Resource Groups、ユーザーから次のサービス固有の情報を収集します。

• グループ名(暗号化されていない、プライベートではない)• グループの説明(暗号化されていないが、プライベート)• グループ内のメンバーリソース (これらはログに格納されますが、暗号化されません)

保管時の暗号化

Resource Groups 固有のサービスまたはネットワークトラフィックを分離する追加の方法はありません。該当する場合は、AWS 固有の分離を使用します。VPC でResource Groups API とコンソールを使用すると、プライバシーとインフラストラクチャのセキュリティを最大化できます。

転送時の暗号化

AWS Resource Groups データは、バックアップのためにサービスの内部データベースに送信される際に暗号化されます。これはユーザーが設定できません。

キーの管理

AWS Resource Groups、現在 AWS Key Management Service 統合されておらず、カスタマーマスターキー(CMK)をサポートしていません。

インターネットトラフィックのプライバシーAWS リソースグループは、Resource Groups ユーザーと AWS 間のすべての送信に HTTPS を使用します。Resource Groups、トランスポート層セキュリティ (TLS) 1.2 を使用しますが、TLS 1.0 と 1.1 をサポートしています。

AWS Resource Groups の Identity and AccessManagementAWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを管理者が安全に制御するために役立つ AWS のサービスです。IAM 管理者は、認証済み(サインイン) と承認済み(アクセス許可を持つ) Resource Groups リソースを使用します。IAM は、AWS のサービスで追加料金は発生しません。

トピック• Audience (p. 62)• アイデンティティを使用した認証 (p. 63)• ポリシーを使用したアクセスの管理 (p. 65)• IAM を使用したResource Groups 仕組み (p. 67)• AWS Resource Groups アイデンティティベースのポリシーの例 (p. 70)• AWS Resource Groups Identity and Access のトラブルシューティング (p. 72)

AudienceAWS Identity and Access Management (IAM) の使用方法は、Resource Groups で行う作業によって異なります。

62

Page 68: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

サービスユーザー— Resource Groups サービスを使用してジョブを実行する場合は、必要な認証情報とアクセス許可を管理者が用意します。作業を実行するためにさらに多くの Resource Groups 機能を使用するとき、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切なアクセス許可をリクエストするのに役に立ちます。Resource Groups 機能にアクセスできない場合は、「」を参照してください。AWS Resource Groups Identity and Access のトラブルシューティング (p. 72)。

サービス管理者-社内の Resource Groups リソースを担当している場合は、Resource Groups へのフルアクセスがあります。従業員がどの Resource Groups 機能とリソースアクセスする必要があるかを決定するのは管理者の仕事です。その後で、サービスユーザーのアクセス許可を変更するために、IAM 管理者にリクエストを送信する必要があります。IAM の基本概念については、このページの情報を確認します。会社で Resource Groups を使用して IAM を利用する方法の詳細については、「」を参照してください。IAMを使用したResource Groups 仕組み (p. 67)。

IAM 管理者— IAM 管理者の場合は、Resource Groups へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Resource Groups アイデンティティベースのポリシーの例を表示するには、「」を参照してください。AWS Resource Groups アイデンティティベースのポリシーの例 (p. 70)。

アイデンティティを使用した認証認証は、アイデンティティ認証情報を使用して AWS にサインインする方法です。AWS マネジメントコンソールでサインインする方法の詳細については、「」を参照してください。IAM ユーザーまたは root ユーザーとして AWS マネジメントコンソールにサインインする()IAM ユーザーガイド。

AWS アカウントのルートユーザーとして、または IAM ユーザーとして、または IAM ロールを引き受けることによって認証される (AWS にサインインする) 必要があります。会社のシングルサインオン認証を使用することも、Google や Facebook を使用してサインインすることもできます。このような場合、管理者は以前に IAM ロールを使用して ID フェデレーションを設定しました。他の会社の認証情報を使用してAWS にアクセスした場合、ロールを間接的に割り当てられています。

AWS マネジメントコンソールに直接サインインするには、ルートユーザーの E メールアドレスまたは自分の IAM ユーザー名と自分のパスワードを使用します。自分のルートユーザーまたは IAM ユーザーのアクセスキーを使用して AWS にプログラムでアクセスできます。AWS では、SDK とコマンドラインツールを提供して、お客様の認証情報を使用して、リクエストに暗号で署名できます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。これには、インバウンド API リクエストを認証するためのプロトコル、署名バージョン 4 を使用します。リクエストの認証の詳細については、「」を参照してください。署名バージョン 4 の署名プロセス()AWS 全般のリファレンス。

使用する認証方法を問わず、追加のセキュリティ情報の提供を要求される場合もあります。たとえば、AWS では Multi-Factor Authentication (MFA) を使用してアカウントのセキュリティを高めることを推奨しています。詳細については、次を参照してください。AWS での多要素認証 (MFA) の使用()IAM ユーザーガイド。

AWS アカウントのルートユーザー

AWS アカウントを初めて作成する場合は、すべての AWS のサービスとリソースに対して完全なアクセス権限を持つシングルサインイン ID で始めます。このアイデンティティは root ユーザーと呼ばれ、AWS アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

IAM ユーザーとグループ

IAM ユーザーは、単一のユーザーまたはアプリケーションに特定のアクセス許可がある AWS アカウント内のアイデンティティです。IAM ユーザーは、ユーザー名とパスワード、アクセスキーのセットなど、

63

Page 69: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

長期的な認証情報を持つことができます。アクセスキーの生成方法については、「」を参照してください。IAM ユーザーのアクセスキーの管理()IAM ユーザーガイド。IAM ユーザーにアクセスキーを生成するとき、必ずキーペアを表示して安全に保存してください。後になって、シークレットアクセスキーを回復することはできません。新しいアクセスキーペアを生成する必要があります。

IAM グループは、IAM ユーザーのコレクションを指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、一度に複数のユーザーに対してアクセス許可を指定できます。多数の組のユーザーがある場合、グループを使用すると管理が容易になります。たとえば、IAMAdmins という名前のグループを設定して、そのグループに IAM リソースを管理するアクセス許可を与えることができます。

ユーザーは、ロールとは異なります。ユーザーは 1 人の特定の人またはアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時的な認証情報が利用できます。詳細については、次を参照してください。IAM ユーザーを作成する場合 (ロールではなく)()IAM ユーザーガイド。

IAM ロール

IAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のアイデンティティです。これは IAMユーザーに似ていますが、特定のユーザーに関連付けられていません。ロールの切り替えを実行して、AWS マネジメントコンソールで IAM ロールを一時的に引き受けることができます。ロールを引き受けるには、AWS CLI または AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールの使用方法の詳細については、「」を参照してください。IAM ロールの使用()IAM ユーザーガイド。

IAM ロールと一時的な認証情報は、次の状況で役立ちます。

• 一時的な IAM ユーザーアクセス許可 – IAM ユーザーは、特定のタスクに対して複数の異なるアクセス許可を一時的に IAM ロールで引き受けることができます。

• フェデレーティッドユーザーアクセス - ユーザーを作成するのではなく、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーの既存のユーザーアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWSでは、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、「」を参照してください。フェデレーティッドユーザーとロール()IAM ユーザーガイド。

• クロスアカウントアクセス – IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを別のアカウントの人物 (信頼済みプリンシパル) に許可できます。ロールは、クロスアカウントアクセスを許可する主な方法です。ただし、一部の AWS のサービスでは、(ロールをプロキシとして使用する代わりに) リソースにポリシーを直接アタッチできます。クロスアカウントアクセスでのロールとリソースベースのポリシーの違いの詳細については、IAM ロールとリソースベースのポリシーの違い()IAMユーザーガイド。

• クロスサービスアクセス – 一部の AWS のサービスは、他の AWS のサービスの機能を使用します。たとえば、サービスで呼び出しを行う場合、そのサービスでは Amazon EC2 でアプリケーションを実行したり、Amazon S3 にオブジェクトを保存したりするのが一般的です。サービスは、呼び出し元プリンシパルのアクセス許可、サービスロール、またはサービスリンクロールを使用してこれを行う場合があります。• プリンシパルアクセス許可 – IAM ユーザーまたはロールを使用して AWS でアクションを実行する場

合、ユーザーはプリンシパルと見なされます。ポリシーは、プリンシパルにアクセス許可を付与します。一部のサービスを使用する場合、別のサービスで別のアクションをトリガーするアクションを実行することがあります。この場合、両方のアクションを実行するためのアクセス許可が必要です。アクションにポリシーで追加の依存アクションが必要かどうかを確認するには、サービス認証リファレンスを参照してください。

• サービスロール – サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「」を参照してください。AWS のサービスにアクセス許可を委任するロールの作成()IAM ユーザーガイド。

64

Page 70: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

• サービスリンクロール – サービスリンクロールは、AWS のサービスにリンクされたサービスロールの一種です。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

• Amazon EC2 で実行されているアプリケーション - EC2 インスタンスで実行され、AWS CLI またはAWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理するには、IAM ロールを使用します。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールをEC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、「」を参照してください。IAM ロールを使用して、Amazon EC2 インスタンスで実行されるアプリケーションにアクセス許可を付与する()IAM ユーザーガイド。

IAM ロールまたは IAM ユーザーのどちらを使用するかについては、IAM ロールの作成が適している場合(ユーザーではなく)()IAM ユーザーガイド。

ポリシーを使用したアクセスの管理AWS でアクセスを制御するには、ポリシーを作成して IAM のアイデンティティや AWS のリソースにアタッチします。ポリシーは AWS のオブジェクトで、ID やリソースに関連付けて、これらのアクセス許可を定義します。ルートユーザーまたは IAM ユーザーとしてサインインすることも、IAM ロールを引き受けることもできます。リクエストを行うと、AWS は関連するアイデンティティベースまたはリソースベースのポリシーを評価します。ポリシーでのアクセス許可により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWS に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、JSON ポリシーの概要()IAM ユーザーガイド。

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパル実行できるアクションとはのリソース、そして何の下での条件。

すべての IAM エンティティ (ユーザーまたはロール) は、アクセス許可のない状態からスタートします。言い換えると、デフォルト設定では、ユーザーは何もできず、自分のパスワードを変更することすらできません。何かを実行するアクセス許可をユーザーに付与するには、管理者がユーザーにアクセス許可ポリシーをアタッチする必要があります。また、管理者は、必要なアクセス許可があるグループにユーザーを追加できます。管理者がグループにアクセス許可を付与すると、そのグループ内のすべてのユーザーにこれらのアクセス許可が付与されます。

IAM ポリシーは、オペレーションの実行方法を問わず、アクションのアクセス許可を定義します。たとえば、iam:GetRole アクションを許可するポリシーがあるとします。このポリシーを持つユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からロール情報を取得することができます。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、IAM user ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、「」を参照してください。IAM ポリシーの作成()IAM ユーザーガイド。

アイデンティティベースのポリシーは、さらにインラインポリシーまたは管理ポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンポリシーです。管理ポリシーには、AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。管理ポリシーとインラインポリシーのどちらを選択する方法については、「」を参照してください。管理ポリシーとインラインポリシーの比較()IAM ユーザーガイド。

65

Page 71: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

リソースベースのポリシー

リソースベースのポリシーは、リソースにアタッチする JSON ポリシードキュメントです。リソースベースのポリシーの例は、IAM ロールの信頼ポリシーおよび Amazon S3 バケットポリシーです。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。ポリシーがアタッチされているリソースの場合、ポリシーは、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件を定義します。リソースベースのポリシーで、プリンシパルを指定する必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または AWS のサービスを含めることができます。

リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーで IAM の AWS マネージドポリシーを使用することはできません。

アクセスコントロールリスト (ACL)

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

Amazon S3、AWS WAF、および Amazon VPC は、ACL をサポートするサービスの例です。ACL の詳細については、「」を参照してください。アクセスコントロールリスト (ACL) の概要()Amazon SimpleStorage Service 開発者ガイド。

その他のポリシータイプ

AWS では、別のあまり一般的ではないポリシータイプもサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大のアクセス許可を設定できます。

• アクセス許可の境界 – アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティ(IAM ユーザーまたはロール) に付与できるアクセス許可の上限を設定する高度な機能です。エンティティのアクセス許可の境界を設定できます。結果として得られるアクセス許可は、エンティティの IDベースのポリシーとそのアクセス許可の境界の共通部分です。Principal フィールドでユーザーまたはロールを指定するリソースベースのポリシーは、アクセス許可の境界では制限されません。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。アクセス許可の境界の詳細については、「」を参照してください。IAM エンティティのアクセス許可の境界()IAM ユーザーガイド。

• サービスコントロールポリシー (SCP) – SCP は JSON ポリシーで、AWS Organizations の組織または組織単位 (OU) のアクセス許可の上限を指定します。AWS Organizations は、ビジネスが所有する複数の AWS アカウントをグループ化して一元管理するためのサービスです。組織内のすべての機能を有効にすると、サービス制御ポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP は、各AWS アカウントルートユーザーを含めてメンバーアカウントのエンティティに対するアクセス許可を制限します。Organizations と SCP の詳細については、「」を参照してください。SCP の仕組み()AWSOrganizations ユーザーガイド。

• セッションポリシー – セッションポリシーは、ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果として得られるセッションのアクセス許可は、ユーザーまたはロールの ID ベースのポリシーとセッションポリシーの共通部分です。また、リソースベースのポリシーからアクセス許可が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。詳細については、「」を参照してください。セッションポリシー()IAM ユーザーガイド。

複数のポリシータイプ

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに複雑になります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法については、ポリシー評価論理()IAM ユーザーガイド。

66

Page 72: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

IAM を使用したResource Groups 仕組みIAM を使用してResource Groups へのアクセスを管理する前に、Resource Groups で使用できる IAM 機能について理解しておく必要があります。Resource Groups およびその他の AWS のサービスが IAM と連携する方法の概要を理解するには、IAM と連携する AWS のサービス()IAM ユーザーガイド。

トピック• Resource Groups アイデンティティベースのポリシー (p. 67)• リソースベースのポリシー (p. 69)• Resource Groups タグに基づいた承認 (p. 69)• Resource Groups IAM ロール (p. 69)

Resource Groups アイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Resource Groups、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「」を参照してください。IAM JSON ポリシーエレメントのリファレンス()IAM ユーザーガイド。

Actions

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパル実行できるアクションとはのリソース、そして何の下での条件。

JSON ポリシーの Action 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションを持たないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Resource Groups ポリシーアクションは、アクションの前にプレフィックスを使用します。resource-groups:。タグエディターのアクションは完全にコンソールで実行されますが、resource-explorerログエントリに。

たとえば、リソースグループを使用してResource Groups を作成するアクセス許可をユーザーに付与するには、CreateGroupAPI 操作を実行する場合は、resource-groups:CreateGroup彼らのポリシーのアクション。ポリシーステートメントには、Action または NotAction エレメントを含める必要があります。Resource Groups、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のResource Groups タグエディタのアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "resource-groups:action1", "resource-groups:action2", "resource-explorer:action3"

ワイルドカード (*) を使用して複数のアクションを指定することができます。たとえば、List という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "resource-groups:List*"

67

Page 73: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

Resource Groups アクションのリストを表示するには、「」を参照してください。AWS リソースグループのアクション、リソース、および条件キー()IAM ユーザーガイド。

Resources

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパル実行できるアクションとはのリソース、そして何の下での条件。

Resource JSON ポリシーエレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ベストプラクティスとして、リソースは Amazon リソースネーム (ARN) を使用して指定します。これは、リソースレベルのアクセス許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルのアクセス許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"

Resource Groups リソースはグループ。グループリソースには、次の形式の ARN があります。

arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}

ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS のサービスの名前空間」を参照してください。

たとえば、指定するにはmy-test-groupリソースグループを使用する場合は、次の ARN を使用します。

"Resource": "arn:aws:resource-groups:us-west-2:123456789012:group/my-test-group"

特定のアカウントに属するすべてのグループを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:resource-groups:us-west-2:123456789012:group/*"

リソースを作成するためのアクションなど、Resource Groups の一部のアクションは、特定のリソースに対して実行できません。このような場合は、ワイルドカード (*) を使用する必要があります。

"Resource": "*"

一部のResource Groups API アクションには、複数のリソースが関連します。例:DeleteGroupはグループを削除するため、IAM ユーザーは特定のグループまたはすべてのグループを削除する権限を持っている必要があります。複数のリソースを単一のステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [ "resource1", "resource2"

Resource Groups リソースタイプとその ARN の一覧を表示し、各リソースの ARN を指定できるアクションの詳細については、AWS リソースグループのアクション、リソース、および条件キー()IAM ユーザーガイド。

条件キー

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパル実行できるアクションとはのリソース、そして何の下での条件。

68

Page 74: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、「」を参照してください。IAM ポリシーエレメント:変数とタグ()IAM ユーザーガイド。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「」を参照してください。AWS グローバル条件コンテキストキー()IAM ユーザーガイド。

Resource Groups、独自の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「」を参照してください。AWS グローバル条件コンテキストキー()IAM ユーザーガイド。

Resource Groups 条件キーの一覧と、条件キーを使用できるアクションおよびリソースの詳細については、」AWS リソースグループのアクション、リソース、および条件キー()IAM ユーザーガイド。

Examples

Resource Groups アイデンティティベースのポリシーの例については、「」を参照してください。AWSResource Groups アイデンティティベースのポリシーの例 (p. 70)。

リソースベースのポリシー

Resource Groups、リソースベースのポリシーはサポートされていません。

Resource Groups タグに基づいた承認

Resource Groups グループのグループにタグをアタッチすることも、リクエスト内のタグを ResourceGroups に渡すこともできます。タグに基づいてアクセスを制御するには、aws:ResourceTag/key-name、aws:RequestTag/key-name または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。グループを作成または更新するときに、グループにタグを適用できます。Resource Groups でのグループのタグ付けの詳細については、「」を参照してください。AWSResource Groups でのクエリとグループの構築 (p. 34)およびAWS リソースグループのグループのグループの更新 (p. 38)このガイドの「」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「タグに基づくグループの表示 (p. 72)」を参照してください。

Resource Groups IAM ロール

IAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。Resource Groupsには、サービスロールがない、または使用されていない。

Resource Groups を使用した一時的な認証情報の使用

Resource Groups では、一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

69

Page 75: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

サービスにリンクされたロール

サービスにリンクされたロールによって、AWS のサービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。

Resource Groups には、サービスにリンクされたロールがない、または使用されていない。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。

Resource Groups には、サービスロールがない、または使用されていない。

AWS Resource Groups アイデンティティベースのポリシーの例デフォルトでは、IAM ユーザーとロールには、Resource Groups リソースを作成または変更するためのアクセス許可はありません。また、AWS マネジメントコンソール、AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

これらの例の JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、[JSON] タブでのポリシーの作成()IAM ユーザーガイド。

トピック• ポリシーのベストプラクティス (p. 70)• Resource Groups コンソールと API の使用 (p. 71)• ユーザーに自分のアクセス許可の表示を許可 (p. 71)• タグに基づくグループの表示 (p. 72)

ポリシーのベストプラクティス

アイデンティティベースのポリシーは非常に強力です。アカウント内で、Resource Groups リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウントに追加料金が発生する可能性があります。アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います。

• AWS 管理ポリシーの使用開始— Resource Groups の使用をすばやく開始するには、AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントですでに有効になっており、AWS によって管理および更新されています。詳細については、「」を参照してください。AWS 管理ポリシーを使用したアクセス権限の使用開始()IAM ユーザーガイド。

• 最小権限を付与する – カスタムポリシーを作成するときは、タスクの実行に必要なアクセス許可のみを付与します。最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します。この方法は、寛容なアクセス権限で始め、後でそれらを強化しようとするよりも安全です。詳細については、「」を参照してください。最小限の特権を認める。()IAM ユーザーガイド。

• 機密性の高いオペレーションに MFA を有効にする – 追加セキュリティとして、機密性の高いリソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、Multi-Factor Authentication(MFA) の使用を要求します。詳細については、「」を参照してください。AWS での多要素認証 (MFA)の使用()IAM ユーザーガイド。

• 追加のセキュリティとしてポリシー条件を使用する – 実行可能な範囲内で、アイデンティティベースのポリシーでリソースへのアクセスを許可する条件を定義します。たとえば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、「」を参照してください。IAM JSON ポリシーエレメント: 条件()IAM ユーザーガイド。

70

Page 76: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

Resource Groups コンソールと API の使用AWS Resource Groups タグエディタコンソールと API にアクセスするには、最小限のアクセス許可を持っている必要があります。これらのアクセス許可により、AWS アカウントのResource Groups の詳細をリストおよび表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、コンソールおよび API コマンドはそのポリシーを使用したエンティティ (IAM ユーザーまたはロール) に対して意図したとおりに機能しません。

これらのエンティティが Resource Groups を使用できるように、エンティティに次のポリシー (またはアタッチします。詳細については、「」を参照してください。ユーザーへのアクセス許可の追加()IAM ユーザーガイド:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:List*" ], "Resource": "*" } ]}

Resource Groups タグエディタへのアクセス権のへの付与については、AWS Resource Groups タグエディタを使用するためのアクセス許可を付与する (p. 32)このガイドの「」を参照してください。

ユーザーに自分のアクセス許可の表示を許可この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWSAPI を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy",

71

Page 77: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

"iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

タグに基づくグループの表示

アイデンティティベースのポリシーの条件を使用して、タグに基づいて Resource Groups リソースへのアクセスを制御できます。この例では、グループの表示を許可するポリシーを作成する方法を示します。ただし、アクセス許可が付与されるのは、グループタグOwnerはそのユーザーのユーザー名の値を持ちます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListSpecificGroup", "Effect": "Allow", "Action": "resource-groups:ListGroups", "Resource": "arn:aws:resource-groups::region:account_ID:group/group_name" }, { "Sid": "ViewGroupIfOwner", "Effect": "Allow", "Action": "resource-groups:ListGroups", "Resource": "arn:aws:resource-groups::region:account_ID:group/group_name", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ]}

このポリシーをアカウントの IAM ユーザーにアタッチできます。という名前のユーザーがrichard-roeがResource Groups を表示しようとする場合、グループにタグを付ける必要があります。Owner=richard-roeまたはowner=richard-roe。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー Owner は Owner と owner に一致します。詳細については、「」を参照してください。IAM JSON ポリシーエレメント: 条件()IAM ユーザーガイド。

AWS Resource Groups Identity and Access のトラブルシューティング以下の情報は、Resource Groups と IAM の使用に伴う一般的な問題の診断や修復に役立ちます。

トピック• Resource Groups でアクションを実行する権限がない (p. 73)• iam:PassRole を実行する権限がない (p. 73)• マイアクセスキーを表示したい (p. 73)• 管理者として Resource Groups へのアクセスを他のユーザーに許可したい (p. 74)

72

Page 78: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドIdentity and Access Management

• AWS アカウント以外のユーザーにResource Groups へのアクセスを許可したい (p. 74)

Resource Groups でアクションを実行する権限がないAWS マネジメントコンソールから、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。

次の例のエラーが発生すると、mateojacksonIAM ユーザーはコンソールを使用して、グループの詳細を表示しようとしているが、resource-groups:ListGroupsアクセス許可。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group

この場合、Mateo は、resource-groups:ListGroups アクションを使用して my-test-group リソースにアクセスできるように、ポリシーの更新を管理者に依頼します。

iam:PassRole を実行する権限がないiam:PassRole アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。Resource Groups ロールを渡すことができるようにポリシーを更新するよう、管理者に依頼します。

一部の AWS のサービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、という IAM ユーザーが発生します。marymajorはコンソールを使用して、Resource Groups でアクションを実行しようします。ただし、アクションでは、サービスロールによって付与されたアクセス許可がサービスにある必要があります。メアリーには、ロールをサービスに渡すアクセス許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。

マイアクセスキーを表示したいIAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーをもう一度表示することはできません。シークレットアクセスキーを紛失した場合は、新しいキーペアを作成する必要があります。

アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されます。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーをしっかり管理してください。

Important

正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへの永続的アクセスを取得する場合があります。

アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、新しいアクセスキーを IAM ユーザーに追加する必要があ

73

Page 79: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドログ記録とモニタリング

ります。最大 2 つのアクセスキーを持つことができます。すでに 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を確認するには、以下を参照してください。アクセスキーの管理()IAM ユーザーガイド。

管理者として Resource Groups へのアクセスを他のユーザーに許可したいResource Groups へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーは、このエンティティの認証情報を使用して AWS にアクセスします。次に、Resource Groups 適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。

すぐに開始するには、「」を参照してください。最初の IAM が委任したユーザーおよびグループの作成()IAM ユーザーガイド。

Resource Groups タグエディタへのアクセス権のへの付与については、AWS Resource Groups タグエディタを使用するためのアクセス許可を付与する (p. 32)このガイドの「」を参照してください。

AWS アカウント以外のユーザーにResource Groups へのアクセスを許可したい他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。

• Resource Groups これらの機能をサポートしているかどうかについては、「」を参照してください。IAM を使用したResource Groups 仕組み (p. 67)。

• 所有している AWS アカウント間でリソースへのアクセスを提供する方法については、」所有している別の AWS アカウントの IAM ユーザーへのアクセスを許可する()IAM ユーザーガイド。

• サードパーティーの AWS アカウントにリソースへのアクセスを提供する方法については、「」を参照してください。サードパーティが所有する AWS アカウントへのアクセスを許可する()IAM ユーザーガイド。

• ID フェデレーションを介してアクセスを提供する方法については、外部で認証された (ID フェデレーション) ユーザーへのアクセスを許可する()IAM ユーザーガイド。

• クロスアカウントアクセスでロールとリソースベースのポリシーを使用する方法の違いについては、IAM ロールとリソースベースのポリシーの違い()IAM ユーザーガイド。

Resource Groups でのログ記録とモニタリングすべての AWS Resource Groups アクションは、AWS CloudTrail に記録されます。

AWS CloudTrail を使用した AWS Resource Groups API 呼び出しのログ記録AWS リソースグループとタグエディタは、AWS CloudTrail と統合されます。AWS CloudTrailは、Resource Groups またはタグエディタでユーザー、ロール、または AWS のサービスで実行されたアクションのレコードを提供するサービスです。CloudTrail は、Resource Groups またはタグエディタコンソールからのコールや、Resource Groups API へのコード呼び出しを含む、リソースグループのすべての API コールをイベントとしてキャプチャします。証跡を作成する場合は、Resource Groups イベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、Resource Groups に対するリクエスト、リクエスト元のIP アドレス、リクエスト者、リクエスト日などの詳細を確認できます。

CloudTrail に関する詳細は、AWS CloudTrail ユーザーガイドを参照してください。

74

Page 80: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドログ記録とモニタリング

CloudTrail でのResource Groups 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Resource Groups またはタグエディタコンソールでアクティビティが発生すると、そのアクティビティはイベント履歴。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Resource Groups イベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、その他の AWS サービスを設定して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、以下のトピックを参照してください。

• 証跡を作成するための概要• CloudTrail のサポート対象サービスと統合• Amazon SNS の CloudTrail 通知の設定• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから

CloudTrail ログファイルを受け取る」

すべてのResource Groups アクションは CloudTrail によって記録され、AWS Resource GroupsAPI のリファレンス。CloudTrail のResource Groups アクションは、API エンドポイントでイベントとして表示されます。resource-groups.amazonaws.comそれらのソースとして。例えば、CreateGroup、GetGroup、UpdateGroupQuery の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。コンソール内のタグエディターのアクションは CloudTrail によって記録され、内部 API エンドポイントのイベントとして表示されます。resource-explorerそれらのソースとして。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用

して送信されたか.• リクエストが AWS の別のサービスによって生成されたかどうか。

詳細については、『』を参照してください。CloudTrailuserIdentity要素。

Resource Groups ログファイルエントリの概要

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベントは任意の発生元からの 1つのリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次は、CreateGroup アクションを示す CloudTrail ログエントリの例です。

{"eventVersion":"1.05","userIdentity":{ "type":"AssumedRole", "principalId":"ID number:AWSResourceGroupsUser", "arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser", "accountId":"831000000000","accessKeyId":"ID number", "sessionContext":{

75

Page 81: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドコンプライアンス検証

"attributes":{ "mfaAuthenticated":"false", "creationDate":"2018-06-05T22:03:47Z" }, "sessionIssuer":{ "type":"Role", "principalId":"ID number", "arn":"arn:aws:iam::831000000000:role/Admin", "accountId":"831000000000", "userName":"Admin" } } },"eventTime":"2018-06-05T22:18:23Z","eventSource":"resource-groups.amazonaws.com","eventName":"CreateGroup","awsRegion":"us-west-2","sourceIPAddress":"100.25.190.51","userAgent":"console.amazonaws.com","requestParameters":{ "Description": "EC2 instances that we are using for application staging.", "Name": "Staging", "ResourceQuery": { "Query": "string", "Type": "TAG_FILTERS_1_0" }, "Tags": { "Key":"Phase", "Value":"Stage" } },"responseElements":{ "Group": { "Description":"EC2 instances that we are using for application staging.", "groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging", "Name":"Staging" }, "resourceQuery": { "Query":"string", "Type":"TAG_FILTERS_1_0" } },"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6","eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3","eventType":"AwsApiCall","recipientAccountId":"831000000000"}

Resource Groups コンプライアンス検証サードパーティーの監査者は、SOC、PCI、FedRAMP、HIPAA など、複数の AWS コンプライアンスプログラムの一環として AWS サービスのセキュリティとコンプライアンスを評価します。

AWS Organizations またはその他の AWS のサービスが、特定のコンプライアンスプログラムの対象となるかどうかについては、コンプライアンスプログラムによる AWS 対象範囲内のサービス。全般的な情報については、「AWS コンプライアンスプログラム」および および「」を参照してください。

サードパーティーの監査報告書は、AWS Artifact を使用してダウンロードすることができます。詳細については、「AWS Artifact でレポートをダウンロードする」を参照してください。

AWS のサービスを使用する際のお客様のコンプライアンス上の責任は、お客様のデータの機密性、企業としてのコンプライアンス上の目的、適用される法令および規則によって決定されます。AWS では、コンプライアンスに役立つ以下のリソースを提供しています。

76

Page 82: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド耐障害性

• セキュリティとコンプライアンスクイックスタートガイドこれらのデプロイメントガイドでは、アーキテクチャー上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするための手順を説明します。

• HIPAA に準拠したセキュリティとコンプライアンスの構築に関するホワイトペーパー – このホワイトペーパーでは、企業が AWS を使用して HIPAA に準拠したアプリケーションを作成する方法について説明します。

Note

すべてのサービスが HIPAA に準拠しているわけではありません。• AWS のコンプライアンスのリソース – お客様の業界や地域に適用される可能性があるワークブックやガ

イドを掲載しています。• ルールでのリソースの評価()AWS Config 開発者ガイド— AWS Config サービスでは、自社プラクティ

ス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。• AWS Security Hub – AWS のセキュリティの状態を包括的に把握し、セキュリティの業界標準およびベ

ストプラクティスへの準拠を確認するために役立つ AWS のサービスです。• AWS Audit Manager— この AWS サービスでは、AWS の使用を継続的に監査し、リスクの管理方法を

簡素化し、規制や業界標準への準拠を支援します。

Resource Groups 耐障害性AWS Resource Groups、内部サービスリソースへの自動バックアップを実行します。これらのバックアップはユーザーが設定できません。バックアップは、保管時と転送時の両方で暗号化されます。ResourceGroups、Amazon DynamoDB に顧客データを保存します。

AWS のグローバルインフラストラクチャは、AWS リージョンとアベイラビリティーゾーンを中心として構築されます。AWS リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立・隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。

ほとんどの顧客データは AWS アベイラビリティーゾーン (AZ) 間でレプリケートされるため、ユーザーリソースグループが完全に失われても、顧客データは失われません。誤ってグループを削除した場合は、AWS サポートセンター。

AWS リージョンとアベイラビリティーゾーンの詳細については、「AWS グローバルインフラストラクチャ」を参照してください。

Resource Groups インフラストラクチャセキュリティResource Groups が提供するサービスまたはネットワークトラフィックを分離する追加の方法はありません。該当する場合は、AWS 固有の分離を使用します。VPC でResource Groups API とコンソールを使用すると、プライバシーとインフラストラクチャのセキュリティを最大化できます。

マネージド型サービスである AWS Resource Groups、AWS グローバルネットワークセキュリティの手順で保護されています。Amazon Web Services: セキュリティプロセスの概要ホワイトペーパー。

AWS が公開した API コールを使用して、ネットワーク経由で Resource Groups にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。ResourceGroups サポートする TLS 1.2 以降を推奨します。また、Ephemeral Diffie-Hellman (DHE) や Elliptic CurveEphemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

77

Page 83: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドセキュリティのベストプラクティス

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

Resource Groups、リソースベースのポリシーはサポートされていません。

Resource Groups セキュリティのベストプラクティス以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションに相当するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは処方箋ではなく、有用な考慮事項と見なしてください。

• 最小権限の原則を使用するグループへのアクセスをに付与するには、次のようにします。ResourceGroups、リソースレベルのアクセス権限をサポートしています。特定のユーザーに必要な場合にのみ、特定のグループにアクセス権を付与します。すべてのユーザーまたはすべてのグループにアクセス許可を割り当てるポリシーステートメントにアスタリスクを使用しないでください。最小権限の詳細については、「」を参照してください。最小権限を付与する()IAM ユーザーガイド。

• 公開フィールドから個人情報を保管します。 グループの名前は、サービスメタデータとして扱われます。グループ名は暗号化されません。グループ名に機密情報を入れないでください。グループの説明はプライベートです。

タグキーまたはタグ値には、プライベートまたは機密情報を入れないでください。• タグ付けに基づく承認を使用する適切なときはいつでも。Resource Groups、タグに基づいた承認をサ

ポートしています。グループにタグを付けて、IAM ユーザーおよびセキュリティグループにアタッチされたポリシーを更新して、グループに適用されるタグに基づいてアクセスレベルを設定できます。タグに基づいた承認の使用方法の詳細については、「」を参照してください。リソースタグを使用した AWSリソースへのアクセスの制御()IAM ユーザーガイド。

多くの AWS のサービスでは、リソースのタグに基づいて認証をサポートしています。タグベースの認可は、グループ内のメンバーリソースに対して設定される可能性があることに注意してください。グループのリソースへのアクセスがタグによって制限されている場合、権限のないユーザーまたはグループは、それらのリソースに対してアクションや自動化を実行できないことがあります。たとえば、グループの 1 つにある Amazon EC2 インスタンスにConfidentialityで、タグ値Highタグ付けされたリソースに対してコマンドを実行する権限がありません。Confidentiality:Highに設定すると、リソースグループ内の他のリソースに対してアクションが成功しても、EC2 インスタンスで実行するアクションまたは自動化は失敗します。リソースに対してタグベースの認証をサポートするサービスの詳細については、」IAM と連携する AWS のサービス()IAM ユーザーガイド。

AWS リソースのタグ付け戦略の開発の詳細については、「」を参照してください。AWS タグ付け戦略。

AWS Resource Groups リファレンスこのセクションのトピックを使用して AWS Resource Groups さまざまな側面に関する参考資料を検索します。

AWS Resource Groups で使用できる AWS 管理ポリシーAWS 管理の IAM アクセス権限ポリシーを使用すると、アカウントの IAM ユーザーおよびロールに事前設定されたアクセス権限を付与できます。AWS 管理ポリシーはテストされ、ベストプラクティスの推奨事項に準拠しているため、定義されているシナリオで確実に使用できます。新しいリソースタイプがリソースグループのメンバーとしてサポートされ、新しいリソースタイプがタグ付けをサポートするため、AWS はこれらのポリシーを自動的に更新してサポートします。何もする必要はありません。

78

Page 84: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイドAWS Resource Groups で使用できる AWS 管理ポリシー

次の表は、AWS Resource Groups にアクセス許可を付与するために使用できる AWS 管理の IAM アクセス許可ポリシーの一覧です。

ポリシー名 説明 ARN

AWSリソースグループ読み取り専用アクセス

AWS Resource Groups 管理コンソールへの読み取り専用アクセスを許可します。これには、アタッチされたタグのリストなど、リソースの詳細を表示する権限が含まれます。このポリシーは、リソースグループまたはタグに変更を加える権限を付与しません。

arn: aws: iam# aws: policy/AWSFourceGroupReadOnlyAccess

リソースグループタグエディタ読み取り専用アクセス

タグエディタを含む AWS ResourceGroups 管理コンソールへの読み取り専用アクセスを許可します。これには、タグを含むリソースの詳細を表示する権限が含まれます。タグエディタを使用してタグクエリに一致するリソースを表示できます。このポリシーは、リソースグループまたはタグに変更を加える権限を付与しません。

arn: aws: iam# aws: policy/リソースグループのタグエディタ読み取り専用Access

ResourceGroupsandTagEditorFullAccessAWS Resource Groups 管理コンソールへの完全な管理アクセスを許可します。これには、リソースグループを表示、作成、および変更する権限が含まれます。また、Tag Editor でサポートされているリソースのタグを表示、設定、および変更する権限も含まれます。

arn: aws: iam# aws: policy/リソースグループTagEditorFullAccess

79

Page 85: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

AWS Resource Groups ドキュメント履歴

update-history-change update-history-description update-history-date

追加の AWS サービスに対するリソースのサポートを追加 (p. 80)

AWS Resource Groups、次のサービスのリソースをサポートするようになりました。AmazonCodeGuru Reviewer、AmazonElastic Inference、AmazonForecast、Amazon FraudDetector、およびService Quotas

2021 年 2 月 25 日

セキュリティとコンプライアンスに関する章を追加しました。 (p. 80)

Resource Groups 情報をどのように保護し、規制基準に準拠しているかについて説明します。

2020 年 7 月 30 日

AWS サービス用に設定されたリソースグループのサポートが追加されました (p. 80)

AWS サービスに関連付けられるリソースグループを作成し、サービスがそのグループ内のリソースとどのようにやり取りできるかを設定できるようになりました。この機能の最初のリリースでは、Amazon EC2 キャパシティ予約を含むリソースグループを作成し、そのグループで AmazonEC2 インスタンスを起動できます。インスタンスに一致する 1つ以上のグループの予約に容量がある場合、そのインスタンスは予約を使用します。インスタンスがグループ内の利用可能な予約と一致しない場合、インスタンスはオンデマンドインスタンスとして起動します。詳細については、「」を参照してください。キャパシティ予約グループの操作()Linux インスタンス用Amazon EC2 ユーザーガイド。

2020 年 7 月 29 日

AWS IoT Greengrass リソースに対するサポートが追加されました。 (p. 80)

AWS リソースグループとタグエディタでサポートされているようになったため、より多くのリソースタイプがサポートされるようになりました。

2020 年 3 月 25 日

AWS Resource Groups オペレーションデータの表示 (p. 80)

AWS Systems Manager コンソールの AWS Resources Groups(Resource Groups) ページには、選択したグループのオペレーションデータが、次の 4 つのタブに表示されます。詳細、設定、CloudTrail、OpsItems。これ

2020 年 3 月 16 日

80

Page 86: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

らのタブは、Resource Groupsコンソールでグループを表示しているときには使用できません。これらのタブの情報を使用して、グループ内のどのリソースが準拠していて正しく動作しているか、どのリソースにアクションが必要なのかを把握できます。リソースに対してアクションを実行する必要がある場合は、SystemsManager Automation Runbook を使用して、一般的なオペレーションのメンテナンスおよびトラブルシューティングのタスクを実行できます。詳細については、「」を参照してください。AWSResource Groups オペレーションデータの表示()AWS SystemsManager ユーザーガイド。

タグポリシーへの準拠の確認 (p. 80)

AWS Organizations を使用してタグポリシーを作成してアカウントにアタッチすると、組織のアカウントのリソースで非準拠のタグを見つけることができます。

2019 年 11 月 26 日

より多くのリソースタイプのSupport (p. 80)

AWS リソースグループとタグエディタでサポートされているようになったため、より多くのリソースタイプがサポートされるようになりました。

2019 年 10 月 4 日

AWS Resource Groups でサポートされている新しいリソースタイプ (p. 80)

AWS Resource Groups(特にAWS CloudFormation スタックに基づくグループの場合)では、より多くのリソースタイプがサポートされるようになりました。

2019 年 8 月 5 日

AWS Resource Groups でサポートされている新しいリソースタイプ (p. 80)

Amazon API Gateway RESTAPI、Amazon CloudWatchEvents イベント、およびAmazon SNS トピックが、AWSResource Groups でサポートされるリソースタイプになりました。

2019 年 6 月 27 日

タグエディタでは、タグなしリソースの検索がサポートされるようになりました。 (p. 80)

タグエディタで、特定のタグキーに適用されていないタグ値を持たないリソースを検索することができるようになりました。

2019 年 6 月 18 日

AWS リソースグループとタグエディタでサポートされている新しいリソースタイプ (p. 80)

50 を超える新しいリソースタイプが AWS Resource Groups タグエディタのサポートに追加されました。

2019 年 6 月 6 日

81

Page 87: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

AWS Resource Groups タグエディタコンソールが AWSSystems Manager コンソールから移行する (p. 80)

AWS Resource Groups タグエディターコンソールは、SystemsManager コンソールから独立しました。AWS ResourceGroups コンソールへのポインタは、Systems Manager の左側のナビゲーションバーに表示されますが、AWS マネジメントコンソールの左上にあるドロップダウンメニューから直接、リソースグループとタグエディタコンソールを開くことができます。

2019 年 6 月 5 日

新しいResource Groups 承認およびアクセス制御機能 (p. 80)

Resource Groups では、アクションベースのポリシー、リソースレベルのアクセス許可およびタグに基づく承認がサポートされるようになりました。

2019 年 5 月 24 日

古い、従来のリソースグループとタグエディタのツールは利用できなくなりました (p. 80)

古い、classic、または従来のリソースグループとタグエディタのメンションは削除されています。これらのツールは、AWS では利用できなくなりました。AWS リソースグループとタグエディタを使用してください。

2019 年 5 月 14 日

タグエディタでは、複数のリージョン間でリソースへのタグ付けがサポートされるようになりました。 (p. 80)

タグエディタで、複数のリージョンにまたがるリソースのタグを検索および管理することができ、現在のリージョンがデフォルトでリソースクエリに追加されます。

2019 年 5 月 2 日

タグエディタで、クエリ結果の CSV へのエクスポートがサポートされるようになりました。 (p. 80)

[Find Resources to tag (タグ付けするリソースを検索)] ページでクエリの結果を CSV 形式のファイルエクスポートできます。新しいリージョン列はタグエディタのクエリ結果に表示されます。タグエディタで、特定のタグキーに対して空白でない値を持つリソースを検索することができるようになりました。既存のキー間にある一意の値を入力すると、タグキーの値が自動入力されます。

2019 年 4 月 2 日

82

Page 88: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

タグエディタで、クエリへのすべてのリソースタイプの追加がサポートされるようになりました。 (p. 80)

1 回のオペレーションで最大 20の個々のリソースタイプにタグを適用することができ、[すべてのリソースタイプ] を選択して、リージョンのすべてのリソースタイプにクエリを実行することもできます。リソース間でタグキーを一貫して有効にするために役立つ、自動補完がクエリの [タグのキー] フィールドに追加されました。一部のリソースでタグの変更が失敗した場合、タグの変更に失敗したリソースのみでタグの変更を再試行できます。

2019 年 3 月 19 日

タグエディタで、複数のリソースタイプが検索でサポートされるようになりました。 (p. 80)

1 回のオペレーションで最大 20のリソースタイプにタグを適用することができます。検索結果に表示された列を選択することもでき、これには検索結果で検出された一意の各タグキーの列または結果から選択されたリソースも含まれます。

2019年2月26日

新しいタグエディタに追加されたドキュメント (p. 80)

「タグエディタの使用」セクションでは、新しい AWS タグエディタコンソール環境を使用する方法について説明しています。

2019 年 2 月 13 日

リソースグループのグループでサポートされている新しいResource Groups タイプ (p. 80)

Resource Groups でサポートされているようになった新しいリソースタイプが追加されました。

2019 年 2 月 4 日

タグベースの Resource Groupsクエリにタグを追加するためのユーザーエクスペリエンスを向上しました (p. 80)

タグベースのクエリでタグを追加するコンソールのユーザーエクスペリエンスに小さな変更を加えました。

2018 年 12 月 17 日

AWS CloudFormation スタックベースのクエリサポートをResource Groups に追加しました (p. 80)

AWS CloudFormation スタックに基づいているリソースグループを作成できます。スタックを選択した後、スタックからグループのクエリに表示するリソースタイプを選択することができます。

2018 年 11 月 13 日

Resource GroupsCloudTrail (p. 80)

Resource Groups で AWSCloudTrail のサポートが提供されるようになりました。CloudTrailでは、すべてのResourceGroups API コールのログはすべて、CloudTrail で表示し、操作できます。

2018 年 6 月 29 日

• API バージョン: 2017-11-27• ドキュメントの最新更新日: 2019 年 9 月 24 日

83

Page 89: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド以前の更新

以前の更新以下の表に、各リリースにおける重要な変更点を示します。AWS Resource Groups ユーザーガイド2018年 6 月の前に。

変更 説明 日付

初回リリース AWS Resource Groups 次世代の初回リリース

2017 年 11 月 29 日

84

Page 90: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

AWS の用語集For the latest AWS terminology, see the AWS glossary in the AWS General Reference.

85

Page 91: AWS リソースグループ - ユーザーガイド...AWS リソースグループ ユーザーガイド AWS リソースグループ のリソース タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグルー

AWS リソースグループ ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

lxxxvi