英語で読む

次の方法で共有

タグを使用して Azure リソースと管理階層を整理する

  • [アーティクル]

タグは、Azure リソースに適用するメタデータ要素です。 これらは、組織に関連する設定に基づいてリソースを識別するのに役立つキーと値のペアです。 リソースのデプロイ環境を追跡する場合は、Environment という名前のキーを追加します。 運用環境にデプロイされたリソースを識別するには、それらに Production という値を付与します。 完全なキーと値のペアは、Environment = Production です。

この記事では、タグを使用するための条件と制限事項について説明します。

タグの使用と推奨事項

Azure のリソース、リソース グループ、サブスクリプションにはタグを適用できますが、管理グループには適用できません。

タグ付け戦略の実装方法に関する推奨事項については、「リソースの名前付けとタグ付けの意思決定ガイド」を参照してください。

リソース タグは、コストがかかるすべてのサービスをサポートします。 コストが発生するサービスが、タグで確実にプロビジョニングされるようにするには、タグ ポリシーのいずれかを使用します。

警告

タグはプレーンテキストとして保存されます。 タグに機密性の高い値を追加しないでください。 機密性の高い値は、コスト レポート、既存のタグ定義を返すコマンド、デプロイ履歴、エクスポートされたテンプレート、監視ログなど、多くの方法で公開される可能性があります。

警告

タグで英語以外の言語を使用する場合は注意してください。 IMDS (Instance Metadata Service) から仮想マシンのメタデータを読み込んでいるときに、デコードの進行状況エラーが発生するおそれがあります。

重要

操作のタグの名前は大文字と小文字が区別されません。 大文字と小文字の区別に関係なく、操作によってタグ名のあるタグが更新または取得されます。 ただし、リソース プロバイダーでは、タグ名に指定した大文字と小文字がそのまま保持される可能性があります。 コスト レポートにはその大文字と小文字で表示されます。

タグの値は大文字と小文字が区別されます。

注意

この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

必要なアクセス

タグ リソースへの必要なアクセスを取得するには、2 つの方法があります。

  • Microsoft.Resources/tags リソースの種類に対する書き込みアクセス権を持つこと。 このアクセス権により、リソース自体にアクセスできない場合でも、任意のリソースにタグを付けることができます。 タグ共同作成者ロールでは、このアクセス権が付与されます。 たとえば、このロールでは、Azure portal からリソースまたはリソース グループにタグを適用することはできません。 ただし、Azure portal を使用したサブスクリプションへのタグの適用は可能です。 Azure PowerShell と REST API によるすべてのタグ操作がサポートされます。

  • リソース自体に対する書き込みアクセス権を持つこと。 共同作成者ロールでは、任意のエンティティにタグを適用するために必要なアクセス権が付与されます。 1 つのリソースの種類だけにタグを適用するには、そのリソースの共同作成者ロールを使用します。 仮想マシンにタグを適用するには、仮想マシン共同作成者ロールを使用します。

タグを継承する

リソースは、リソース グループまたはサブスクリプションに適用するタグを継承しません。 サブスクリプションまたはリソース グループのタグをリソースに適用するには、「タグの準拠のためのポリシー定義を割り当てる」を参照してください。

cm-resource-parent タグを使用して、Azure リソースのコストをグループ化できます。 このタグを使用すると、フィルターを使用しなくても、Microsoft Cost Management でタグ付けされたコストを確認できます。 このタグのキーは cm-resource-parent であり、その値はコストをグループ化する Azure リソースのリソース ID です。 たとえば、Azure Virtual Desktop ホスト プール別にコストをグループ化するには、ホスト プールのリソース ID を指定します。 詳しくは、「[リソース ビュー] で関連リソースをグループ化する」を参照してください。

タグと課金

タグを使用して課金データをグループ化します。 たとえば、異なる組織向けに複数の仮想マシンを実行している場合は、タグを使用して、コスト センターごとに使用状況をグループ化します。 また、タグを使用すると、運用環境で実行されている仮想マシンの課金データを含めて、ランタイム環境ごとにコストを分類することもできます。

タグに関する情報を取得するには、Azure portal から使用状況ファイルをダウンロードします。 詳しくは、「Azure の請求書をダウンロードまたは表示する」をご覧ください。 課金のタグがサポートされているサービスの場合、タグは [Tags] 列に表示されます。

REST API の操作については、「Azure Billing REST API」の概要を参照してください。

一意のタグの改ページ位置の自動修正

Unique Tags API を呼び出す場合、各 API 応答ページのサイズには制限があります。 大規模な一意の値を持つタグの場合、一連の残りの値を取得するために API が次のページをフェッチする必要があります。 結果が複数のページに分割されると、API 応答はタグ キーをもう一度表示して、このキーの下にまだ値があることを示します。

この動作により、Azure portal などの一部のツールでタグ キーが 2 回表示される可能性があります。

制限事項

タグには次の制限事項が適用されます。

  • すべてのリソースの種類で、タグがサポートされるわけではありません。 リソースの種類にタグを適用することができるかどうかを確認するには、Azure リソースに対するタグのサポートに関する記事を参照してください。

  • タグを使用する際には、リソースの種類ごとに特定の要件がある場合があります。 たとえば、仮想マシン拡張機能のタグは、仮想マシンの実行中にのみ更新できます。 タグの更新中にエラー メッセージが表示される場合は、メッセージの指示に従ってください。

  • 各リソース、リソース グループ、サブスクリプションには、最大で 50 個のタグ名と値のペアを使用できます。 許可される最大数よりも多くのタグを適用する必要がある場合は、タグ値に JSON 文字列を使用します。 JSON 文字列には、1 つのタグ名に適用される値を多数含めることができます。 リソース グループまたはサブスクリプションには、それぞれ 50 個のタグ名と値のペアが付けられたリソースを多数含めることができます。

  • タグ名の制限は 512 文字で、タグ値の制限は 256 文字です。 ストレージ アカウントの場合、タグ名の制限は 128 文字で、タグ値の制限は 256 文字です。

  • Cloud Services などのクラシック リソースではタグがサポートされていません。

  • Azure IP グループと Azure Firewall ポリシーでは、PATCH 操作はサポートされていません。 そのため、PATCH API メソッドの操作では、Azure portal を介してタグを更新できません。 それらのリソースに対しては、代わりに update コマンドを使用してください。 たとえば、az network ip-group update コマンドを使用して、IP グループのタグを更新できます。

  • タグ名には、これらの文字を含めることはできません: <>%&\?/

    注意

    • Azure DNS ゾーンは、タグの中でスペースやかっこを使用したり、数字で始まるタグを使用したりすることができません。 Azure DNS のタグ名では、特殊文字と Unicode 文字はサポートされていません。 値には、すべての文字を含めることができます。

    • Traffic Manager では、タグ名でのスペース、#: の使用はサポートされていません。 タグ名の先頭を数字にすることはできません。

    • Azure Front Door では、タグ名に # または : を使用できません。

    • 次の Azure リソースでは、15 個のタグのみがサポートされています。

      • Azure Automation
      • Azure Content Delivery Network
      • Azure DNS (ゾーン レコードと A レコード)
      • Azure Log Analytics の保存した検索条件

次のステップ

タグの取り扱い方法について詳しくは、以下を参照してください。