Oracle Cloud Infrastructureドキュメント

タグとタグ・ネームスペースの管理

Oracle Cloud Infrastructureは2種類のタグをサポートしています: フリーフォームのタグと定義されたタグ。

ヒント

タギングの概念および機能を紹介するビデオ: タギングの紹介を視聴します。

必要なIAMポリシー

Administratorsグループに所属している場合は、タグ・ネームスペースとタグを管理するために必要なアクセス権があります。 タグおよびタグ・ネームスペースを使用する場合に固有のポリシー・サンプルについては、「定義済みタグの操作に必要な権限」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 グループやその他のIAMコンポーネントのポリシーを書くことについて詳しくは、「IAMの詳細」を参照してください。

タグおよびタグ・ネームスペースの概要

定義されたタグはフリーフォームのタグよりも多くの機能とコントロールを提供します。 定義済みのタグ・キーを作成する前に、まずそのタグ用のタグ「ネームスペース」を設定します。 タグ・ネームスペースは、タグ・キーの集合のコンテナと考えることができます。 タグ・キー定義を作成する場合は、値のタイプを選択する必要があります(これにより、タグを適用するユーザーが値をどのように追加するかも決定されます): 

  • ユーザーが値を入力できるように空のままにすることができます
  • ユーザーが値から選択する必要があるように値リストを作成できます。

定義されたタグをリソースに適用するには、まずユーザーはタグ・ネームスペースを選択した後、ネームスペース内のタグ・キーを選択してから値を割り当てます。 タグ・キーに空白値が含まれている場合は、値を入力することも、空白のままにすることもできます。 タグ・キーにリストが含まれている場合は、リストから値を選択する必要があります。

定義済みタグは、定義済みタグを適用できるユーザーを制御できるようにするポリシーをサポートしています。 タグ・ネームスペースは、ポリシーを適用できるエンティティです。 管理者は、各ネームスペースを使用できるユーザーのグループを制御できます。

次の図は、定義されたタグを示しています。 2つのタグ・ネームスペースが設定されています: OperationsとHumanResources。 タグ・キーはネームスペースに定義されています。 各ネームスペース内で、タグ・キーは一意でなければならないが、タグ・キー名は複数のネームスペースにわたって繰り返すことができます。 この例では、両方のネームスペースに"環境"という名前のキーが含まれています。

このイメージは、タグ・キー定義を持つ2つのネームスペースを示しています

最初のインスタンスには、Operationsタグ・ネームスペースの2つのタグがタグ付けされ、オペレーション・プロダクション環境とオペレーション・プロジェクト"Alpha"に属していることを示します。 2番目のインスタンスには、HumanResourcesタグ・ネームスペースとOperationsタグ・ネームスペースのタグが付けられ、HumanResources "Production"環境、HumanResourcesコスト・センター"42"、およびOperationsプロジェクト"Beta"に属していることが示されます。

このイメージは、インスタンスに適用された定義済みタグを表示し、ネームスペースの概念を強調表示

定義済みタグの操作

定義済みのタグをリソースに適用するには、テナンシ内でタグ・ネームスペースとタグ・キーを設定する必要があります。 設定プロセスの一環として、ネームスペースを使用する必要のあるユーザー・グループにもアクセス許可を与える必要があります。

定義されたタグの特徴は次のとおりです:

  • タグ・ネームスペース、キー、および値で構成されます。
  • ユーザーが定義されたタグをリソースに適用するには、テナンシにタグ・ネームスペースおよびタグ・キーの定義を設定する必要があります。
  • タグ値のタイプが文字列である(値を追加する場合や空白のままにする場合)か、値のリスト(ユーザーが選択する必要がある値)でタグ・キーを作成できます。
  • 定義済のタグを適用する場合、ユーザーはタグ・キーのリストから選択します。
  • ユーザーは、リソースの作成時または既存のリソースに定義済のタグを適用できます。
  • 定義されたタグ・キーは大文字小文字を区別しません。
  • 定義されたタグ値では大文字と小文字が区別されます。 たとえば、"alpha"と"Alpha"は異なる値です。
  • タグ変数を使用できます。
  • 事前定義された変数のリストを作成して、タグ・キーに関連付けることができます。 リソースにタグを適用するユーザーは、作成したリストから値を選択する必要があります。

定義済みタグの操作に必要な権限

リソースに対して定義されたタグを適用、更新、または削除するには、リソースに対するアクセス権とタグ・ネームスペースを使用する権限をユーザーに付与する必要があります。

リソースに定義されたタグを適用、更新または削除するには、「タグ・ネームスペース」useアクセス権がユーザーに付与されている必要があります。

タグ・ネームスペースの一部のポリシーの例:

グループがテナンシ(またはコンパートメント内)のタグ・ネームスペースを単純に表示できるようにするには、inspectアクセスが必要です:

Allow group GroupA to inspect tag-namespaces in tenancy

重要

コンソールを使用しているときにリソースにタグを適用するには、inspect tag-namespaces in tenancyに対する権限が必要です。
ユーザーにこの権限がない場合、メニューではタグ・ネームスペースのリストをユーザーに表示できません。

タグ・ネームスペースに含まれるタグ定義の読取りをグループに許可するには、readアクセスが必要です:

Allow group GroupA to read tag-namespaces in tenancy

リソースに対して定義されたタグの適用、更新または削除をグループに許可するには、タグ・ネームスペースに対するuseアクセス権が必要です:

Allow group GroupA to use tag-namespaces in tenancy

特定のタグ・ネームスペースまたはネームスペースの使用を許可するには、target.tag-namespace.name変数とともにwhere句を使用します。 例えば:

Allow group GroupA to use tag-namespaces in tenancy where target.tag-namespace.name='Operations'

または、複数のタグ・ネームスペースを指定します:

Allow group GroupA to use tag-namespaces in tenancy where any {target.tag-namespace.name='Operations', target.tag-namespace.name='HumanResources'}

タグ・ネームスペースおよびその中のタグ定義を管理するには、manageアクセスが必要です:

Allow group GroupA to manage tag-namespaces in tenancy

タグ・ネームスペースを操作する権限の他に、リソースに対して定義済タグを適用または削除するには、そのリソースに対する更新権限が必要です。 多くのリソースでは、use verbを使用して更新許可が与えられます。 たとえば、CompartmentAで「インスタンスを使用」できるユーザーは、CompartmentAのインスタンスに対して定義されたタグを適用、更新、または削除することもできます。

一部のリソースには、use verbの更新パーミッションは含まれていません。 グループがmanageの完全なパーミッションを付与することなく、これらのリソースの定義済みタグを適用、更新、または削除できるようにするには、manage verbの<RESOURCE>_UPDATEパーミッションのみを付与するポリシー文を追加します。 たとえば、グループNetworkUsersがCompartmentA内のVCNで定義されたタグを操作できるようにするには、次のようなポリシーを作成できます:

Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

The inspect permission for a resource grants permissions to view defined tags for that resource. For example, users who can inspect instances can also view any defined tags applied to the instance.

For information about resource permissions, see Policy Reference.

Example Scenario

Your company has an Operations department. Within the Operations department are several cost centers. You want to be able to tag resources that belong to the Operations department with the appropriate cost center.

  1. Create a tag namespace definition called Operations.
  2. In the Operations namespace, create a tag key definition called CostCenter.

Alice already belongs to the group InstanceLaunchers. Alice can manage instances in CompartmentA. You want Alice and other members of the InstanceLaunchers group to be able to apply the Operations.CostCenter tag to instances in CompartmentA.

To grant the InstanceLaunchers group access to the Operations tag namespace (and only the Operations tag namespace), add the following statements to the InstanceLaunchers policy:

Allow group InstanceLaunchers to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Operations'

AliceはCompartmentAのリソースにOperations.CostCenterタグを適用できるようになりました。

キー定義とネームスペース定義の廃止

タグ・キー定義またはタグ・ネームスペース定義を廃止できます。

タグ・キー定義を廃止すると、タグ・キー定義をリソースに適用できなくなります。 ただし、タグは適用されたリソースから削除されません。 タグはこれらのリソース上にメタデータとして存在しており、引き続き廃止したタグを操作(リスティング、ソート、レポートなど)で呼び出すことができます。

重要

タグを廃止すると、タグのコスト・トラッキングは停止されますが、タグ・キー定義でコスト追跡オプションが無効になっていない場合、廃止したタグは、テナンシの10コスト追跡タグの最大値に対してカウントされ続けます。
タグ・キー定義を廃止する前に、コスト・トラッキングを使用不可にしてください。 タグを廃止した後でコスト・トラッキングを無効にするには、タグ・キーの定義を再アクティブ化して更新する必要があります。 廃止済の状態のタグ・キー定義は更新できません。

タグ・ネームスペースを廃止すると、タグ・ネームスペース内のすべてのタグ・キーが廃止されます。 前述のとおり、これは、タグ・ネームスペース内のすべてのタグをリソースに適用できなくなることを意味しますが、既存のタグは削除されません。 廃止したタグ・ネームスペースに新しいキーを作成することはできません。

タグ・キー定義とネームスペース定義の再アクティブ化

廃止したタグ・キー定義とタグ・ネームスペース定義を再アクティブ化することができます。

タグ・キーを再度アクティブにすると、再びリソースに適用することができます。

タグ・ネームスペースを再びアクティブにすると、再びネームスペースにタグのキー定義を作成できます。 ただし、ネームスペースで廃止されたタグ・キー定義のいずれかを使用する場合は、各タグ・キー定義を明示的に再アクティブ化する必要があります。

異なるコンパートメントへのタグ・ネームスペースの移動

タグ・ネームスペースを別のコンパートメントに移動できます。 タグ・ネームスペースは、移動するときにアクティブまたは廃止にできます。 タグ・ネームスペースを移動すると、そのタグのすべてのキー定義も一緒に移動します。

この機能は、コンパートメント階層を再編成する必要がある場合、または廃止されたタグ・ネームスペースが含まれるコンパートメントを削除する必要がある場合に便利です。 まだリソースを含むコンパートメントは削除できないことに注意してください。 廃止されたタグ・ネームスペースは、廃止したままでも既存のリソースです。 廃止したタグ・ネームスペースを別のコンパートメントに移動すると、その元のコンパートメントを削除できます。

タグ・ネームスペースを移動するには、両方のコンパートメントでmanage tag-namespacesを使用できる必要があります。

手順「タグ・ネームスペースを別のコンパートメントに移動するには」を参照してください。

タグ・キー定義およびネームスペースの削除

タグ・キー定義またはタグ・ネームスペースを削除できます。

タグ・キー定義を削除すると、テナンシのすべてのリソースからタグを削除するプロセスが開始されます。 これらの事象はすぐに発生します:

  • このタグがコスト・トラッキング・タグだった場合は、最初に使用禁止にしたかどうかに関係なく、10個のコスト・トラッキング・タグの制限に対してカウントされなくなります。
  • タグが動的グループで使用された場合は、タグを含むルールはタグに対して評価されません。

削除処理は非同期で、作業リクエストを開始します。 削除操作を開始すると、タグの状態が削除に変わり、リソースからのタグ削除が開始されます。 この処理には、タグ付けされたリソースの数およびそれらのリソースが存在するリージョンに応じて、最大48時間かかることがあります。 すべてのタグが削除されると、状態が削除されます。 削除したタグはリストアできません。 削除したタグの状態が削除済に変わると、同じタグ名を再び使用できます。

タグ・キー定義を削除するには、最初にそれを廃止する必要があります。

タグ・ネームスペースを削除するには、最初にそのタグ・キー定義をすべて削除する必要があります。

ヒント

タグ・キー定義を含むタグ・ネームスペースを削除するには、まずタグ・ネームスペースを廃止します。
タグ・ネームスペースを廃止すると、タグ・ネームスペース内のすべてのタグ・キーが廃止されます。

コンソールの使用

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

タグ・ネームスペースの管理

タグ・ネームスペースを作成するには
タグ・ネームスペースの説明を更新するには
タグ・ネームスペースを廃止するには
タグ・ネームスペースを再アクティブ化するには
タグ・ネームスペースを別のコンパートメントに移動するには
タグ・ネームスペースを削除するには