Oracle Cloud Infrastructureドキュメント

タグのデフォルトの管理

このトピックでは、作成時にリソースに自動的に適用されるタグを指定する方法について説明します。

必要なIAMポリシー

Administratorsグループでは、タグのデフォルトを管理し、ネームスペースをタグ付けするために必要なアクセス権があります。 この機能の特定のポリシー情報は、「タグ・デフォルトの操作に必要な権限」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 タグ付けやその他のIAMコンポーネントのポリシーの作成をさらに深く検証する場合は、「IAMの詳細」を参照してください。

タグのデフォルトの概要

タグのデフォルト値を使用すると、作成時に特定のコンパートメント内のすべてのリソースに自動的に適用されるタグを指定できます。 この機能により、リソースを作成しているユーザーにタグ・ネームスペースへのアクセス権を付与しなくても、リソース作成時に適切なタグが適用されるようにできます。 次に例を示します。

Aliceは財務管理者であり、制限付きタグ・ネームスペースFinanceにアクセスしています。 Aliceは、デフォルトのタグを設定してFinance.CostCenterタグを値がW1234のすべてのリソースに適用できます。 Eliはリソースを作成できますが、Financeタグ・ネームスペースへのアクセス権はありません。 Eliがリソースを作成すると、Finance.CostCenterタグは値W1234で自動的に適用されます。 このタグは変更できません。Aliceは、常に正しく適用され、リソースを作成または編集するユーザーは変更されないことを保証します。

タグのデフォルトにより、テナンシ管理者は、ガバナンスに関係したユーザーとリソースの作成および管理を必要とするユーザーの間にセキュアな権限境界を作成できます。

タグのデフォルトを管理する場所

タグのデフォルトは、特定のコンパートメントに対して定義され、コンソールでは「コンパートメント詳細」ページで管理します。

♪このスクリーンショットは、コンソールの「コンパートメント詳細」ページを示しています。

タグ・デフォルトの操作に必要な権限

コンパートメントのタグ・デフォルトを作成または編集するには、少なくとも次の権限の組合せで付与する必要があります:

  • manage tag-defaultsタグのデフォルトの追加先のコンパートメントでのアクセス
  • use tag-namespacesタグ・ネームスペースが存在するコンパートメントでのアクセス
  • テナンシに関するinspect tag-namespacesアクセス

API操作への権限の完全マッピングについては、「IAMの詳細」を参照してください。

たとえば、CompartmentAでタグ・ネームスペースのセットを作成しているとします。 TagAdminsアクセス権というグループにタグのデフォルトをCompartmentAに追加するには、次の文を使用してポリシーを記述します:

Allow group TagAdmins to manage tag-defaults in compartment CompartmentA

Allow group TagAdmins to use tag-namespaces in compartment CompartmentA

Allow group TagAdmins to inspect tag-namespaces in tenancy

ここで、TagAdminsで、CompartmentZに存在するタグ・ネームスペースを使用してCompartmentAにタグ・デフォルトも作成できるようにします。 文を追加して、CompartmentZでTagAdminsがタグ・ネームスペースを使用できるようにします:

Allow group TagAdmins to use tag-namespaces in compartment CompartmentZ

CompartmentCでのTagAdmins作成時に、CompartmentAまたはCompartmentZのいずれかに存在するタグ・ネームスペースを使用できます。

タグ・デフォルトの使用

タグのデフォルトは、定義済のタグに対してのみ設定できます。 フリー・フォーム・タグは、タグのデフォルトに対してはサポートされません。

コンパートメント当たりのデフォルトの5タグを定義できます。

タグのデフォルト作成後、デフォルトのタグはコンパートメントで作成される新しいリソースに適用されます。 コンパートメント内の既存のリソースは遡及的にタグ付けされていません。 同様に、タグ・デフォルトのデフォルト値を変更しても、既存の発生は更新されません。 また、コンパートメントからタグ・デフォルトを削除すると、タグの既存のオカレンスはリソースから削除されません。

タグ継承

デフォルトのタグは、コンパートメントで作成されるすべてのリソースに適用されます(子コンパートメントおよび子コンパートメント内で作成されたリソースを含む)。

例:

  • CompartmentAでは、タグ・デフォルトTagAを作成します。

    CompartmentAで作成されたリソース(およびコンパートメント)は、TagAで自動的にタグ付けされます。

    • サブコンパートメント、CompartmentBでは、タグ・デフォルトのTagBを作成します。

      CompartmentBで作成されるリソースおよびコンパートメントには、TagAおよびTagBのタグが自動的に付けられます。

      • サブコンパートメントで、CompartmentCのタグをデフォルトTagCとして作成します。

        CompartmentCで作成されたリソースには、TagA、TagB、TagCのタグが自動的に付けられます。

次の図に、この例を示します:

♪この図は、ネストされたコンパートメントの例およびデフォルト・タグの継承方法を示しています

タグのデフォルトのオーバーライド

タグのデフォルトは、リソースの作成時に、リソースの作成とタグ・ネームスペースの使用の両方の適切な権限を持つユーザーがオーバーライドできます。

例: CompartmentAには、CostCenter.Operations="42"を適用するように定義されたタグのデフォルト値があります。 Pradeepは、CompartmentAでインスタンスを作成する権限を付与するグループに属し、CompartmentAでタグ・ネームスペースを使用します。 CompartmentAにインスタンスを作成し、「インスタンスの作成」ダイアログで、タグCostCenter.Operations="50"を適用します。 ユーザーは適切な権限を持っているため、インスタンスの作成時にタグのデフォルトがオーバーライドされ、CostCenter.Operations="50"でインスタンスがタグ付けされます。

リソースの作成とタグ付けを行った後、適切な権限を持つユーザーがリソースを更新し、タグ・ネームスペースの使用により、リソース作成時に適用されたデフォルトのタグを変更できるようになります。

タグのデフォルトおよびリタイア・タグ

リタイアされたタグは、新規リソースに適用できません。 したがって、タグのデフォルトで指定されているタグ・ネームスペースまたはタグ・キーがリタイアされると、リタイアされたタグを適用できないため、リソースをコンパートメントに作成できなくなります。 コンパートメント内のリソースの作成を続行するには、リタイアされたタグを指定するタグのデフォルトを削除する必要があります。

タグのデフォルトの制限

コンパートメント単位で定義できる5タグのデフォルト値の制限があります。

タグの制限の詳細は、「タグの制限」を参照してください。

コンソールを使用したタグのデフォルトの管理

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

タグ・デフォルトを作成するには
タグのデフォルト値を更新するには
タグのデフォルトを削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用して、タグのデフォルトを管理します: