タグを使用して Azure リソースと整理階層を整理する

タグは、Azure リソースに適用するメタデータ要素です。 これらは、組織に関連する設定に基づいてリソースを識別するのに役立つキーと値のペアです。 リソースのデプロイ環境を追跡する場合は、Environment という名前のキーを追加します。 運用環境にデプロイされたリソースを識別するには、それらに Production という値を付与します。 完全なキーと値のペアは、Environment = Production です。

この記事では、タグを使用するための条件と制限事項について説明します。 タグを使用する手順については、次を参照してください。

タグの使用と推奨事項

Azure のリソース、リソース グループ、サブスクリプションにはタグを適用できますが、管理グループには適用できません。

タグ付け戦略の実装方法に関する推奨事項については、「リソースの名前付けとタグ付けの意思決定ガイド」を参照してください。

リソース タグは、コストがかかるすべてのサービスをサポートします。 コストが発生するサービスが、タグで確実にプロビジョニングされるようにするには、タグ ポリシーのいずれかを使用します。

警告

タグはプレーンテキストとして保存されます。 タグに機密性の高い値を追加しないでください。 機密性の高い値は、コスト レポート、既存のタグ定義を返すコマンド、デプロイ履歴、エクスポートされたテンプレート、監視ログなど、多くの方法で公開される可能性があります。

警告

タグで英語以外の言語を使用する場合は注意してください。 IMDS (Instance Metadata Service) から VM のメタデータを読み込んでいるときに、デコードの進行状況エラーが発生するおそれがあります。

重要

操作のタグの名前は大文字と小文字が区別されません。 大文字と小文字の区別に関係なく、タグ名を持つタグが更新または取得されます。 ただし、リソース プロバイダーでは、タグ名に指定した大文字と小文字がそのまま保持される可能性があります。 コスト レポートにはその大文字と小文字で表示されます。

タグの値は大文字と小文字が区別されます。

Note

この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

必要なアクセス

タグ リソースへの必要なアクセスを取得するには、2 つの方法があります。

  • Microsoft.Resources/tags リソースの種類に対する書き込みアクセス権を持つこと。 このアクセス権により、リソース自体にアクセスできない場合でも、任意のリソースにタグを付けることができます。 タグ共同作成者ロールでは、このアクセス権が付与されます。 たとえば、タグの共同作成者ロールでは、ポータルからリソースまたはリソース グループにタグを適用することはできません。 ただし、ポータルを使用したサブスクリプションへのタグの適用は可能です。 Azure PowerShell と REST API によるすべてのタグ操作がサポートされます。

  • リソース自体に対する書き込みアクセス権を持つこと。 共同作成者ロールでは、任意のエンティティにタグを適用するために必要なアクセス権が付与されます。 1 つのリソースの種類だけにタグを適用するには、そのリソースの共同作成者ロールを使用します。 たとえば、仮想マシンにタグを適用するには、仮想マシン共同作成者を使用します。

タグを継承する

リソースは、リソース グループまたはサブスクリプションに適用するタグを継承しません。 サブスクリプションまたはリソース グループのタグをリソースに適用するには、タグに関する Azure Policy についての記事を参照してください。

cm-resource-parent タグを使用して、Azure リソースのコストをグループ化できます。 このタグを使用すると、フィルターを使用しなくても、Microsoft Cost Management でタグ付けされたコストを確認できます。 このタグのキーは、cm-resource-parent であり、その値はコストをグループ化する Azure リソースのリソース ID です。 たとえば、Azure Virtual Desktop ホスト プール別にコストをグループ化するには、ホスト プールのリソース ID を指定します。 詳しくは、コスト分析で関連リソースをグループ化するに関するページを参照してください。

タグと課金

タグを使用して課金データをグループ化できます。 たとえば、異なる組織向けに複数の VM を実行している場合は、タグを使用して、コスト センターごとに使用状況をグループ化します。 また、タグを使用すると、運用環境で実行されている VM の課金データなどの、ランタイム環境ごとにコストを分類することもできます。

タグに関する情報を取得するには、Azure portal から入手できる使用状況ファイルをダウンロードします。 詳細については、「Azure の請求書と毎日の使用状況データをダウンロードまたは表示する」を参照してください。 課金のタグがサポートされているサービスの場合、タグは [Tags] 列に表示されます。

REST API の操作については、「 Azure Billing REST API Reference (Azure Billing REST API リファレンス)」を参照してください。

一意のタグの改ページ位置の自動修正

一意のタグの API を呼び出す場合、返される各 API 応答ページのサイズには制限があります。 大規模な一意の値を持つタグの場合、一連の残りの値を取得するために API が次のページをフェッチする必要があります。 この場合、これらの値がまだこのキーの下にあることを示すためにタグ キーが再度表示されます。

この結果、Azure portal などの一部のツールでタグ キーが 2 回表示される可能性があります。

制限事項

タグには次の制限事項が適用されます。

  • すべてのリソースの種類で、タグがサポートされるわけではありません。 リソースの種類にタグを適用することができるかどうかを確認するには、Azure リソースに対するタグのサポートに関する記事を参照してください。

  • 各リソース、リソース グループ、サブスクリプションには、最大で 50 個のタグ名と値のペアを使用できます。 許可される最大数よりも多くのタグを適用する必要がある場合は、タグ値に JSON 文字列を使用します。 JSON 文字列には、1 つのタグ名に適用される値を多数含めることができます。 リソース グループまたはサブスクリプションには、それぞれ 50 個のタグ名と値のペアが付けられたリソースを多数含めることができます。

  • タグ名の制限は 512 文字で、タグ値の制限は 256 文字です。 ストレージ アカウントの場合、タグ名の制限は 128 文字で、タグ値の制限は 256 文字です。

  • Cloud Services などのクラシック リソースではタグがサポートされていません。

  • Azure IP グループと Azure Firewall ポリシーでは、PATCH 操作はサポートされていません。 そのため、PATCH API メソッドの操作では、ポータルを介してタグを更新できません。 それらのリソースに対しては、代わりに update コマンドを使用できます。 たとえば、az network ip-group update コマンドを使用して、IP グループのタグを更新できます。

  • タグ名には、これらの文字を含めることはできません: <>%&\?/

    Note

    • Azure ドメイン ネーム システム (DNS) ゾーンは、タグの中でスペースやかっこを使用したり、数字で始まるタグを使用したりすることができません。 Azure DNS のタグ名では、特殊文字と unicode 文字はサポートされていません。 値には、すべての文字を含めることができます。

    • Traffic Manager では、タグ名に # または : を使用することができません。 タグ名の先頭を数字にすることはできません。

    • Azure Front Door では、タグ名に # または : を使用できません。

    • 次の Azure リソースでは、15 個のタグのみがサポートされています。

      • Azure Automation
      • Azure Content Delivery Network (CDN)
      • Azure DNS (ゾーン レコードと A レコード)
      • Azure Log Analytics の保存した検索条件

次のステップ