IaC를 사용하여 "필수 태그 키" 적용 - AWS Organizations
를 사용하여 적용 CloudFormationTerraform으로 적용Pulumi로 적용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IaC를 사용하여 "필수 태그 키" 적용

태그 정책은 코드형 인프라(IaC) 배포 전반에서 일관된 태그 지정을 유지하는 데 도움이 됩니다. “필수 태그 키”를 사용하면 Terraform CloudFormation및 Pulumi와 같은 IaC 도구를 통해 생성된 모든 리소스에 조직에서 정의한 필수 태그가 포함되도록 할 수 있습니다.

이 기능은 리소스를 생성하기 전에 조직의 태그 정책을 기준으로 IaC 배포를 확인합니다. 배포에 필수 태그가 없는 경우 개발 팀에 경고하거나 배포를 완전히 방지하도록 IaC 설정을 구성할 수 있습니다. 이 선제적 접근 방식은 나중에 수동 수정을 요구하지 않고 리소스가 생성되는 순간부터 태그 지정 규정 준수를 유지합니다. 적용은 단일 태그 정책 정의를 사용하여 여러 IaC 도구에서 작동하므로 조직에서 사용하는 각 도구에 대해 별도의 태그 지정 규칙을 구성할 필요가 없습니다.

를 사용하여 적용 CloudFormation

참고

에서 필수 태그 키를 적용하려면 태그 정책에서 리소스 유형에 필요한 태그를 지정 CloudFormation해야 합니다. 자세한 내용은 "필수 태그 키" 보고 섹션을 참조하세요.

AWS다음을 위한 실행 역할 설정::TagPolicies::TaggingComplianceValidator 후크

AWS::TagPolicies::TaggingComplianceValidator 후크를 활성화하기 전에 후크가 AWS 서비스에 액세스하는 데 사용하는 실행 역할을 생성해야 합니다. 역할에는 다음과 같은 신뢰 정책이 연결되어 있어야 합니다.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}

실행 역할에는 최소한 다음 권한이 있는 역할 정책도 있어야 합니다.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "tag:ListRequiredTags"
            ],
            "Resource": "*"
        }
    ]
}

퍼블릭 확장을 위한 실행 역할 설정에 대한 자세한 내용은 CloudFormation 사용 설명서의 IAM 권한을 사용하여 실행 역할 구성 및 퍼블릭 확장 액세스를 위한 신뢰 정책을 참조하세요.

AWS::TagPolicies::TaggingComplianceValidator 후크 활성화

중요

계속하기 전에 후크 작업에 필요한 권한이 있는지 확인하고 CloudFormation 콘솔에서 사전 예방적 제어를 확인합니다. 자세한 내용은 CloudFormation 후크에 대한 IAM 권한 부여를 참조하세요.

태그 정책을 업데이트한 후에는 필요한 태그 지정 규정 준수를 적용하려는 모든 AWS 계정 및 리전에서 AWS::TagPolicies::TaggingComplianceValidator 후크를 활성화해야 합니다.

이 AWS관리형 후크는 다음 두 가지 모드로 구성할 수 있습니다.

  • 경고 모드: 배포를 진행하도록 허용하지만 필수 태그가 누락된 경우 경고를 생성합니다.

  • 실패 모드: 필수 태그가 누락된 배포를 차단합니다.

AWS CLI를 사용하여 후크를 활성화하려면

aws cloudformation activate-type \
    --type HOOK \
    --type-name AWS::TagPolicies::TaggingComplianceValidator \
    --execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \
    --publisher-id aws-hooks \
    --region us-east-1
aws cloudformation set-type-configuration \
  --configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \
  --type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \
  --region us-east-1

를 대상 AWS 리전region으로 바꾸고 경고 모드를 원하는 "FailureMode":"WARN" 경우를 "FailureMode":"FAIL"로 변경합니다.

CloudFormation StackSets를 사용하여 여러 계정 및 리전에서 AWS::TagPolicies::TaggingComplianceValidator 후크 활성화

AWS 계정이 여러 개인 조직의 경우 AWS CloudFormation StackSets를 사용하여 모든 계정과 리전에서 태깅 규정 준수 후크를 동시에 활성화할 수 있습니다.

CloudFormation StackSets를 사용하면 단일 작업으로 여러 계정 및 리전에 동일한 CloudFormation 템플릿을 배포할 수 있습니다. 이 접근 방식을 사용하면 각 계정에서 수동으로 구성할 필요 없이 AWS 조직 전체에서 일관된 태그 지정을 적용할 수 있습니다.

이를 위해 CloudFormation StackSets를 사용하려면:

  1. 태그 지정 규정 준수 후크를 활성화하는 CloudFormation 템플릿 생성

  2. CloudFormation StackSets를 사용하여 템플릿을 배포하여 조직 단위 또는 특정 계정을 대상으로 지정

  3. 적용을 활성화하려는 모든 리전 지정

CloudFormation StackSets 배포는 지정된 모든 계정 및 리전에서 활성화 프로세스를 자동으로 처리하여 조직 전체에서 균일한 태그 지정 규정 준수를 보장합니다. 서비스 관리형StackSets를 사용하여 조직에 CloudFormation 후크를 배포하는 방법을 알아보려면이 AWS 블로그를 참조하세요. CloudFormation StackSets

CloudFormation StackSets를 사용하여 아래 CloudFormation 템플릿을 배포하여 조직의 계정에 대해 AWS::TagPolicies::TaggingComplianceValidator 후크를 활성화합니다.

중요

이 후크는 StackHook로만 작동합니다. 리소스 후크로 사용할 때는 효과가 없습니다.

Resources:
  # Activate the AWS-managed hook type
  HookTypeActivation:
    Type: AWS::CloudFormation::TypeActivation
    Properties:
        AutoUpdate: True
        PublisherId: "AWS"
        TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
  
  # Configure the hook
  HookTypeConfiguration:
    Type: AWS::CloudFormation::HookTypeConfig
    DependsOn: HookTypeActivation
    Properties:
      TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
      TypeArn: !GetAtt HookTypeActivation.Arn
      Configuration: !Sub |
        {
          "CloudFormationConfiguration": {
            "HookConfiguration": {
              "TargetStacks": "ALL",
              "TargetOperations": ["STACK"],
              "Properties": {},
              "FailureMode": "Warn",
              "TargetFilters": {
                "Actions": [
                    "CREATE",
                    "UPDATE"
                ]}
            }
          }
        }
참고

CloudFormation 후크 실행에 대한 자세한 내용은 계정에서 사전 예방적 제어 기반 후크 활성화를 참조하세요.

Terraform으로 적용

Terraform에서 필수 태그 키를 적용하려면 Terraform AWS 공급자를 6.22.0 이상으로 업데이트하고 공급자 구성에서 태그 정책 검증을 활성화해야 합니다. 구현 세부 정보 및 구성 예제는 태그 정책 적용에 대한 Terraform AWS Provider 설명서를 참조하세요.

Pulumi로 적용

Pulumi에서 필수 태그 키를 적용하려면 Pulumi Cloud에서 태그 정책 보고 정책 팩을 활성화하고 태그 정책 읽기 권한으로 IAM 역할을 구성해야 합니다. 구현 세부 정보 및 구성 예제는 태그 정책 적용에 대한 Pulumi 설명서를 참조하세요.