Oracle Cloud Infrastructureドキュメント

タグとタグ・ネームスペースの管理

テナンシ内の複数のコンパートメントに多くのリソース(たとえば、インスタンス、VCN、ロード・バランサ、ブロック・ボリューム)があると、特定の目的に使用されているリソースを追跡したり、集約したり、レポートを作成したり、それらに対する一括処理が難しくなります。 Taggingでは、キーと値を定義し、それらをリソースに関連付けることができます。 このタグを使用すると、ビジネス・ニーズに基づいてリソースを整理して一覧表示するのに役立ちます。

必要なIAMポリシー

Administratorsグループに所属している場合は、タグ・ネームスペースとタグを管理するために必要なアクセス権があります。 タグおよびタグ・ネームスペースを使用する場合に固有のポリシー・サンプルについては、「定義済みタグの操作に必要な権限」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 グループやその他のIAMコンポーネントのポリシーを書くことについて詳しくは、「IAMの詳細」を参照してください。

タグの概要

Oracle Cloud Infrastructureは2種類のタグをサポートしています: フリーフォームのタグと定義されたタグ。

ヒント

ビデオを視聴して、タグ付け: Taggingの紹介の概念の概念および機能を紹介します。

フリーフォーム・タグ

フリーフォーム・タグは、単純にキーと値で構成されます。たとえば、次のようになります:

Environment: Production

ここで、"Environment"はキーであり、"Production"は値です。

1つのリソース(limitまで)に複数のフリーフォーム・タグを適用できます。

このイメージには、フリーフォームのタグを含む2つのインスタンスが表示されます

フリーフォーム・タグは機能が制限されているため、システムでタギング機能を試してみるために、タギングを最初に開始するときにのみ使用することをお薦めします。 フリーフォーム・タグの機能と制限の詳細については、「フリーフォーム・タグの操作」を参照してください。

定義済みのタグ

定義されたタグはフリーフォームのタグよりも多くの機能とコントロールを提供します。 定義済みのタグ・キーを作成する前に、まずそのタグ用のタグ「ネームスペース」を設定します。 タグ・ネームスペースは、タグ・キーの集合のコンテナと考えることができます。 定義済みタグは、定義済みタグを適用できるユーザーを制御できるようにするポリシーをサポートしています。 タグ・ネームスペースは、ポリシーを適用できるエンティティです。

定義されたタグをリソースに適用するには、まずユーザーはタグ・ネームスペースを選択した後、ネームスペース内のタグ・キーを選択してから値を割り当てます。 管理者は、各ネームスペースを使用できるユーザーのグループを制御できます。

次の図は、定義されたタグを示しています。 2つのタグ・ネームスペースが設定されています: OperationsとHumanResources。 タグ・キーはネームスペースに定義されています。 各ネームスペース内で、タグ・キーは一意でなければならないが、タグ・キー名は複数のネームスペースにわたって繰り返すことができます。 この例では、両方のネームスペースに環境という名前のキーが含まれています。

このイメージは、タグ・キー定義を持つ2つのネームスペースを示しています

最初のインスタンスには、Operationsタグ・ネームスペースの2つのタグがタグ付けされ、オペレーション・プロダクション環境とオペレーション・プロジェクト"Alpha"に属していることを示します。 2番目のインスタンスには、HumanResourcesタグ・ネームスペースとOperationsタグ・ネームスペースのタグが付けられ、HumanResources "Production"環境、HumanResourcesコスト・センター"42"、およびOperationsプロジェクト"Beta"に属していることが示されます。

このイメージは、インスタンスに適用された定義済みタグを表示し、ネームスペースの概念を強調表示

タギングの概念

基本的なタギングの概念の一覧は次のとおりです:

タグ・ネームスペース
タグ「ネームスペース」をタグ・キーのコンテナと考えることができます。 これは、名前と0個以上のタグ・キー定義で構成されます。 タグ・ネームスペースは大文字と小文字が区別されず、テナンシ全体で一意でなければなりません。 ネームスペースは、管理者がポリシーを適用できる自然なグループです。 タグ・ネームスペースに関する1つのポリシーは、タグに含まれるすべてのタグ定義に適用されます。
キー
タグを参照するために使用する名前。 タグ・キーでは大文字と小文字は区別されません(たとえば、mytagkeyはMyTagKeyを複製します)。 定義されたタグのタグ・キーは、ネームスペースに作成する必要があります。 タグ・キーは、ネームスペース内で一意でなければなりません。
タグ値タイプ
タグ値タイプは、その値に許容されるデータ型を指定します。 現時点でサポートされている唯一のデータ型はstringです。
キー定義
キー定義はタグのスキーマを定義し、ネームスペース、タグ・キー、タグ値の型を含みます。
タグ値
タグ値は、タグ・キーに与えた値です。 この例では:
Operations.CostCenter="42"
Operationsはネームスペース、CostCenterはタグ・キー、42はタグ値です。 タグ値はオプションです。 タグ値は文字列データ型のみをサポートします。
タグ(または定義済みタグ)
タグは、リソースに適用されるキー定義のインスタンスです。 これは、ネームスペース、キー、および値で構成されます。 タグは一般的に定義されたタグを参照するために使用されます。
フリーフォーム・タグ
キーと値のみで構成される基本的なメタデータの関連付け。 フリーフォーム・タグは機能が制限されています。 「フリーフォーム・タグの操作」を参照してください。
Cost-tracking
コスト・トラッキングは、定義済タグに対してサポートされている機能です。 コスト・トラッキング(コスト追跡タグとも呼ばれる)に対して有効なタグを使用すると、タグを使用してオンライン・ステートメントをフィルタおよび小計付け、使用状況およびコストを追跡できます。 たとえば、"Finance.CostCenter"タグでリソースのグループにタグ付けし、それらのリソースのみで生成されたコストを参照できます。 オンライン文は、My Servicesで表示します。
タグのデフォルト
タグのデフォルト値を使用すると、リソースを作成するユーザーの権限に関係なく、作成時に特定のコンパートメント内のすべてのリソースに自動的に適用されるタグを指定できます。 「タグのデフォルトの管理」も参照してください。
リタイア
タグ・キー定義またはタグ・ネームスペースは削除できません。 代わりに、それらを廃止します。 廃止されたタグ・ネームスペースとキー定義は、リソースにもはや適用できません。 ただし、廃止したタグは、既に適用されているリソースから削除されません。 検索、フィルタリング、レポート作成などの際に、廃止したタグを指定することもできます。
再アクティブ化
テナンシでの使用を元に戻すために廃止されたタグ・ネームスペースまたはタグ・キー定義を再アクティブ化で作成できます。

タグ可能なリソース

次の表に、タギングをサポートするリソースを示します。 この表は、より多くのリソースに対してサポートが追加されると更新されます。

サービス タグ付け可能なリソース・タイプ
Block Volume

ボリューム

volume_backups

volume_groups

volume_group_backups

Compute

インスタンス

instance-image

auto-scaling-configurations

instanceconsoleconnections

Database

db-systems

データベース

Email Delivery approved-sender
File Storage

filesystem

mount-targets

スナップショット

Health Checks health-check-monitor
IAM

グループ

ユーザー

コンパートメント

テナンシ(ルート・コンパートメント)

ポリシー

tag-namespaces

タグ定義(APIのみ)

identity-providers

Key Management

keys

ボールト

Load Balancing load-balancers
Networking

vcns

route-tables

security-lists

dhcp-options

サブネット

vnics

private-ips

public-ips

internet-gateways

local-peering-gateways

nat-gateways

service-gateways

drgs

cpes

ipsec-connections

Object StorageArchive Storage バケット
Resource Manager

ジョブ

スタック

Traffic Management Steering Policies

dns-steering-policies

WAF

waas-policy

waas-certificate

フリーフォーム・タグの操作

フリーフォームのタグは、単純にキーと値のペアで構成されます。 フリーフォーム・タグには機能が限定されています。 タギングの全機能セットを体験するには、「定義されたタグ」を使用してください。

フリーフォーム・タグの特長は次のとおりです:

  • キーと値から構成されます。 フリーフォームのタグはネームスペースに属しません。
  • フリーフォーム・タグは、リソースの作成中または既存のリソースに適用できます。
  • フリーフォームのタグ・キーは大文字と小文字を区別します。 たとえば、"Project"と"project"は異なるキーです。
  • フリーフォームのタグ値では大文字と小文字が区別されます。 たとえば、"alpha"と"Alpha"は異なる値です。

フリーフォーム・タグの制限は次のとおりです:

  • フリーフォーム・タグを適用すると、既存のフリーフォーム・タグのリストが表示されないため、すでに使用されているタグと値がわからないことがあります。
  • テナンシでは、既存のフリーフォーム・タグのリストは表示されません。
  • フリーフォーム・タグを使用してリソースへのアクセスを制御することはできません(つまり、IAMポリシーにフリーフォーム・タグを含めることはできません)。

フリーフォーム・タグの操作に必要な権限

リソースのフリーフォーム・タグを適用、更新、または削除するには、そのリソースに対する更新権限が必要です。 多くのリソースでは、use verbを使用して更新許可が与えられます。 たとえば、CompartmentAで「インスタンスを使用」できるユーザーは、CompartmentAのインスタンスのフリーフォーム・タグを適用、更新、または削除することもできます。

一部のリソースには、use verbの更新パーミッションは含まれていません。 manageの完全なパーミッションを付与せずに、グループがこれらのリソースのフリーフォーム・タグを適用、更新、または削除できるようにするには、manage verbの<RESOURCE>_UPDATEパーミッションのみを付与するポリシー・ステートメントを追加します。 たとえば、グループNetworkUsersがCompartmentA内のVCNを持つフリー・タグで作業できるようにするには、次のようなポリシーを記述できます:

Allow group NetworkUsers to use vcns in compartment CompartmentA

Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

リソースのinspect verbは、そのリソースのフリーフォーム・タグを表示するための許可を与えます。 そのため、CompartmentAに含まれるinspectインスタンスを結合できるユーザーは、そのインスタンスに適用される任意のフリーフォーム・タグも表示できます。

リソースのアクセス許可については、「ポリシー・リファレンス」を参照してください。

定義済みタグの操作

定義済みのタグをリソースに適用するには、テナンシ内でタグ・ネームスペースとタグ・キーを設定する必要があります。 設定プロセスの一環として、ネームスペースを使用する必要のあるユーザー・グループにもアクセス許可を与える必要があります。

定義されたタグの特徴は次のとおりです:

  • タグ・ネームスペース、キー、および値で構成されます。
  • 定義されたタグをリソースに適用するには、テナンシ内でタグ・ネームスペースとタグのキー定義を設定する必要があります。
  • 定義済みのタグを適用するときは、定義済みのタグ・キーのリストから選択します。
  • 定義済みのタグは、リソースの作成中または既存のリソースに適用できます。
  • 定義されたタグ・キーは大文字小文字を区別しません。
  • 定義されたタグ値では大文字と小文字が区別されます。 たとえば、"alpha"と"Alpha"は異なる値です。

定義済みタグの操作に必要な権限

リソースに対して定義されたタグを適用、更新、または削除するには、リソースに対するアクセス権とタグ・ネームスペースを使用する権限をユーザーに付与する必要があります。

リソースに定義されたタグを適用、更新または削除するには、「タグ・ネームスペース」useアクセス権がユーザーに付与されている必要があります。

タグ・ネームスペースの一部のポリシーの例:

グループがテナンシ(またはコンパートメント内)のタグ・ネームスペースを単純に表示できるようにするには、inspectアクセスが必要です。

Allow group GroupA to inspect tag-namespaces in tenancy

タグ・ネームスペースに含まれるタグ定義の読取りをグループに許可するには、readアクセスが必要です。

Allow group GroupA to read tag-namespaces in tenancy

リソースに対して定義されたタグの適用、更新または削除をグループに許可するには、タグ・ネームスペースに対するuseアクセス権が必要です。

Allow group GroupA to use tag-namespaces in tenancy

タグ・ネームスペースおよびその中のタグ定義を管理するには、manageアクセスが必要です。

Allow group GroupA to manage tag-namespaces in tenancy

タグ・ネームスペースを操作する権限の他に、リソースに対して定義済タグを適用または削除するには、そのリソースに対する更新権限が必要です。 多くのリソースでは、use verbを使用して更新許可が与えられます。 たとえば、CompartmentAで「インスタンスを使用」できるユーザーは、CompartmentAのインスタンスに対して定義されたタグを適用、更新、または削除することもできます。

一部のリソースには、use verbの更新パーミッションは含まれていません。 グループがmanageの完全なパーミッションを付与することなく、これらのリソースの定義済みタグを適用、更新、または削除できるようにするには、manage verbの<RESOURCE>_UPDATEパーミッションのみを付与するポリシー文を追加します。 たとえば、グループNetworkUsersがCompartmentA内のVCNで定義されたタグを操作できるようにするには、次のようなポリシーを作成できます:

Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

The inspect permission for a resource grants permissions to view defined tags for that resource. For example, users who can inspect instances can also view any defined tags applied to the instance.

For information about resource permissions, see Policy Reference.

Example Scenario

Your company has an Operations department. Within the Operations department are several cost centers. You want to be able to tag resources that belong to the Operations department with the appropriate cost center.

  1. Create a tag namespace definition called Operations.
  2. In the Operations namespace, create a tag key definition called CostCenter.

Alice already belongs to the group InstanceLaunchers. Alice can manage instances in CompartmentA. You want Alice and other members of the InstanceLaunchers group to be able to apply the Operations.CostCenter tag to instances in CompartmentA.

To grant the InstanceLaunchers group access to the Operations tag namespace, add the following statements to the InstanceLaunchers policy:

Allow group InstanceLaunchers to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name="Operations"

AliceはCompartmentAのリソースにOperations.CostCenterタグを適用できるようになりました。

コスト・トラッキング・タグの使用

コスト・トラッキング・タグはオンライン請求文に表示され、コスト・トラッキング・タグでタグ付けされたリソースのコストをフィルタおよび小計化できます。 コスト・トラッキングは、定義済のタグに対して有効にできる機能です。

たとえば、CostCenter.Financeという名前のタグ・キー定義を定義したとします。 このタグ定義をコスト・トラッキング用に有効にします。 値が"W1"のタグ(CostCenter.Finance="W1")は一部のリソースに適用され、"C2"の値(CostCenter.Finance="C2")でタグを他のリソースに適用します。 My Servicesでアカウント残高と使用サマリーを表示する際、使用情報をフィルタリングして、"CostCenter.Finance=W1"のタグが付けられたリソースによって生成された原価のみを表示できます。 その後、"CostCenter.Finance=C2"で使用サマリーをフィルタ処理できます。 コスト・トラッキング・タグを使用すると、タグに基づいてリソース使用率を比較およびトラッキングできます。

コスト・トラッキングのためのタグの有効化

「タグ・キー定義の作成」を使用して、コスト・トラッキングを有効にすることも、「既存のタグ・キー定義の更新」を使用してコスト・トラッキングを有効にすることもできます。

コスト・トラッキング・タグによる使用状況の表示

重要

コスト・トラッキング・タグをリソースに適用したら、テナンシ・アカウント残高および使用状況サマリーで使用状況データを利用できるように5時間かかります。

タグによる使用状況トラッキングは、タグが適用された後(または、タグがすでに存在する場合は、コスト追跡タグとして有効化された後)、次の計測サイクルで始まります。

コスト・トラッキング・タグ別に使用状況を表示するには、次のステップを実行します。

  1. My Servicesにナビゲート: 「ナビゲーション・メニュー」を開きます。 ソリューション、プラットフォーム、エッジで、「My Servicesダッシュボード」をクリックします。
  2. My Servicesダッシュボードで、「アカウント管理」をクリックします。
  3. 使用ページで、タグによるフィルタ・テキスト・ボックスをクリックし、1つ以上のタグを選択します。 使用サマリーは、選択したすべてのタグに基づいてフィルタされます。

このページの詳細は、「管理およびモニタリングOracle Cloud」を参照してください。

コスト・トラッキング・タグの制限

  • テナンシでコスト・トラッキングを有効にできる最大の10タグを有効にできます。 これには、アクティブなタグと廃止したタグの両方が含まれます。
  • コスト・トラッキング・タグがリソースに適用され、タグ情報がMy Servicesで使用可能な場合は、5時間以内に遅延する可能性があります。

コスト・トラッキング・タグをサポートする請求可能リソース

コスト・トラッキングを有効にしたタグは、「タグ付けのサポート」を含むリソースに適用できます。 ただし、タグ付け可能なリソースの中には、タグ別にフィルタ処理できるコスト情報がMy Servicesに提供されないものもあります。 現在、次のリソースは、タグによるコスト・トラッキングをサポートしています。

  • Computeインスタンス
  • Block Volumes
  • Object Storageバケット
  • Databaseインスタンス(Autonomous Data WarehouseおよびAutonomous Transaction Processingインスタンスを含む)

その他のリソースのサポートについては、小切手してください。

コスト・トラッキング・タグをサポートしていないリソースの場合でも、コスト・トラッキング・タグを使用してそのリソースにタグ付けできます。ただし、そのリソースの使用はタグの計算に含まれません。

キー定義とネームスペース定義の廃止

タグ・キー定義またはタグ・ネームスペース定義は削除できません。 代わりに、それらを廃止できます。

タグ・キー定義を廃止すると、タグ・キー定義をリソースに適用できなくなります。 ただし、タグは適用されたリソースから削除されません。 タグはこれらのリソース上にメタデータとして存在しており、引き続き廃止したタグを操作(リスティング、ソート、レポートなど)で呼び出すことができます。

重要

タグを廃止すると、タグのコスト・トラッキングは停止されますが、タグ・キー定義でコスト追跡オプションが無効になっていない場合、廃止したタグは、テナンシの10コスト追跡タグの最大値に対してカウントされ続けます。
タグ・キー定義を廃止する前に、コスト・トラッキングを使用不可にしてください。 タグを廃止した後でコスト・トラッキングを無効にするには、タグ・キーの定義を再アクティブ化して更新する必要があります。 廃止済の状態のタグ・キー定義は更新できません。

タグ・ネームスペースを廃止すると、タグ・ネームスペース内のすべてのタグ・キーが廃止されます。 前述のように、これは、既存のタグは削除されないものの、タグ・ネームスペース内のすべてのタグをリソースに適用できなくなることを意味します。 廃止したタグ・ネームスペースに新しいキーを作成することはできません。

タグ・キー定義とネームスペース定義の再アクティブ化

廃止したタグ・キー定義とタグ・ネームスペース定義を再アクティブ化することができます。

タグ・キーを再度アクティブにすると、再びリソースに適用することができます。

タグ・ネームスペースを再びアクティブにすると、再びネームスペースにタグのキー定義を作成できます。 ただし、ネームスペースで廃止されたタグ・キー定義のいずれかを使用する場合は、各タグ・キー定義を明示的に再アクティブ化する必要があります。

異なるコンパートメントへのタグ・ネームスペースの移動

タグ・ネームスペースを別のコンパートメントに移動できます。 タグ・ネームスペースは、移動するときにアクティブまたはリタイアにできます。 タグ・ネームスペースを移動すると、そのタグのすべてのキー定義も一緒に移動します。

この機能は、コンパートメント階層を再編成する必要がある場合や、リタイアしたタグ・ネームスペースを含むコンパートメントを削除する必要がある場合に便利です。 まだリソースを含むコンパートメントは削除できないことに注意してください。 リタイアされたタグ・ネームスペースは、リタイアしたままでも既存のリソースです。 リタイアしたタグ・ネームスペースを別のコンパートメントに移動すると、その元のコンパートメントを削除できます。

タグ・ネームスペースを移動するには、両方のコンパートメントでmanage tag-namespacesを使用できる必要があります。

手順「タグ・ネームスペースを別のコンパートメントに移動するには」を参照してください。

タグの制限

適用可能な制限の一覧と制限の増加をリクエストする手順については、「サービス制限」を参照してください。

リソースごとのタグ: 10のフリーフォーム・タグと64の定義済みタグ

コスト・トラッキングで有効なタグ: 10 1テナンシ当たり(アクティブなタグと廃止したタグの両方を含む)

総タグ・データ・サイズ: 5K (JSON). 総タグ・データ・サイズには、単一のリソース(すべての適用タグとタグ値)のすべてのタグ・データが含まれます。 サイジングはUTF-8ごとです。

リソース サポートされている文字 最大長
タグ・ネームスペース ピリオド(.)とスペースを除く、印刷可能なASCII 100文字

タグ・キー名

(フリーフォームと定義済み)

ピリオド(.)とスペースを除く、印刷可能なASCII 100文字

タグ値

(フリーフォームと定義済み)

Unicode文字 256文字

コンソールの使用

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

タグ・ネームスペースの管理

タグ・ネームスペースを作成するには
タグ・ネームスペースを廃止するには
タグ・ネームスペースを再アクティブ化するには
タグ・ネームスペースを別のコンパートメントに移動するには
タグ・ネームスペースを削除するには

キー定義の管理

キー定義を作成するには
タグ・キー定義の説明を更新するには
コスト・トラッキングのタグ・キー定義を有効または無効にするには
タグ・キー定義を廃止するには
タグ・キー定義を再アクティブ化するには
タグ・キー定義を削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

タグ・ネームスペースを管理するには、次のAPI操作を使用します:

タグ・キー定義を管理するには、次のAPI操作を使用します:

  • GetTag - タグ・キー定義を取得
  • ListTags - タグのキー定義を一覧表示
  • ListCostTrackingTags - コスト・トラッキングを有効にしたタグをリストします(ルート・コンパートメントでのみ実行可能)
  • CreateTag - タグ・キー定義を作成
  • UpdateTag - タグ・キー定義を更新します(この操作を使用してタグ・キーを廃止または再アクティブ化します)