タグを使用して Azure リソースと整理階層を整理する

タグは、Azure リソースに適用するメタデータ要素です。 これらは、組織に関連する設定に基づいてリソースを識別するのに役立つ、キーと値のペアです。 リソースのデプロイ環境を追跡する場合は、Environment という名前のキーを追加します。 運用環境にデプロイされたリソースを識別するには、それらに Production という値を付与します。 キーと値のペア全体は、Environment = Production です。

この記事では、タグを使用するための条件と制限事項について説明します。

タグの使用と推奨事項

Azure のリソース、リソース グループ、サブスクリプションにタグを適用することができますが、管理グループには適用できません。

タグ付け戦略の実装方法に関する推奨事項については、「リソースの名前付けとタグ付けの意思決定ガイド」を参照してください。

リソース タグは、コストがかかるすべてのサービスをサポートします。 コストが発生するサービスが、タグで確実にプロビジョニングされるようにするには、タグ ポリシーのいずれかを使用します。

必要なアクセス

タグ リソースへの必要なアクセスを取得するには、2 つの方法があります。

• Microsoft.Resources/tags リソースの種類に対する書き込みアクセス権を持つこと。 このアクセス権により、リソース自体にアクセスできない場合でも、任意のリソースにタグを付けることができます。 タグ共同作成者ロールでは、このアクセス権が付与されます。 たとえば、このロールを使用して、Azure portal からリソースまたはリソース グループにタグを適用することはできません。 ただし、Azure portal を使用して、サブスクリプションにタグを適用することは可能です。 Azure PowerShell と REST API によるすべてのタグ操作がサポートされます。

• リソース自体に対する書き込みアクセス権を持つこと。 共同作成者ロールでは、任意のエンティティにタグを適用するために必要なアクセス権が付与されます。 単一のリソースの種類だけにタグを適用するには、そのリソースの共同作成者ロールを使用します。 仮想マシンにタグを適用するには、Virtual Machine Contributor (仮想マシン共同作成者) ロールを使用します。

タグを継承する

リソースは、リソース グループまたはサブスクリプションに適用するタグを継承しません。 サブスクリプションまたはリソース グループのタグをリソースに適用するには、「タグの準拠のためのポリシー定義を割り当てる」を参照してください。

cm-resource-parent タグを使用すると、Azure リソースのコストをグループ化できます。 このタグを使用すると、フィルターを使用する必要なしで、Microsoft Cost Management でタグ付けされたコストを確認できます。 このタグのキーは cm-resource-parent であり、その値は、コストのグループ化に使用する Azure リソースのリソース ID です。 たとえば、Azure Virtual Desktop ホスト プール別にコストをグループ化するには、ホスト プールのリソース ID を指定します。 詳細については、「Group related resources in the Resources view ([リソース] ビューで関連リソースをグループ化する)」を参照してください。

タグと課金

課金データをグループ化するには、タグを使用します。 たとえば、異なる組織向けに複数の仮想マシンを実行している場合は、タグを使用すると、コスト センターごとに使用状況をグループ化できます。 また、タグを使用すると、運用環境で実行されている仮想マシンの課金データを含めて、ランタイム環境ごとにコストを分類することもできます。

タグに関する情報を取得するには、Azure portal から使用状況ファイルをダウンロードします。 詳しくは、「Azure の請求書をダウンロードまたは表示する」をご覧ください。 課金のタグがサポートされているサービスの場合、タグは [Tags] 列に表示されます。

REST API の操作については、「Azure Billing REST API」の概要を参照してください。

Unique tags (一意のタグ) のページ分割

Unique Tags API (一意のタグ API) を呼び出す場合、各 API 応答ページにはサイズの制限があります。 1 個のタグが、一意の値で構成された大規模なセットを使用している場合、セット内にある残りの値を取得するために API が次のページをフェッチする必要が生じます。 結果が分割されて複数のページになった場合、API 応答はタグ キーをもう一度表示し、このキーの下にまだ値があることを示します。

この動作が原因になり、Azure portal などの一部のツールで、タグ キーが 2 回表示される可能性があります。

制限事項

タグには次の制限事項が適用されます。

• すべてのリソースの種類で、タグがサポートされるわけではありません。 リソースの種類にタグを適用することができるかどうかを確認するには、Azure リソースに対するタグのサポートに関する記事を参照してください。

• タグを使用する際には、リソースの種類ごとに特定の要件が課されることがあります。 たとえば、仮想マシン拡張機能に対応するタグを更新できるのは、その仮想マシンが動作している間のみです。 タグを更新しようとしたときにエラー メッセージが表示される場合は、メッセージの指示に従ってください。

• 各リソース、リソース グループ、サブスクリプションには、最大で 50 個のタグ名と値のペアを使用できます。 許可される最大数よりも多くのタグを適用する必要がある場合は、タグ値に JSON 文字列を使用します。 JSON 文字列には、1 つのタグ名に適用される値を多数含めることができます。 リソース グループまたはサブスクリプションには、それぞれ 50 個のタグ名と値のペアが付けられたリソースを多数含めることができます。

• タグ名の制限は 512 文字で、タグ値の制限は 256 文字です。 ストレージ アカウントの場合、タグ名の制限は 128 文字で、タグ値の制限は 256 文字です。

• Cloud Services などのクラシック リソースではタグがサポートされていません。

• Azure IP グループと Azure Firewall ポリシーでは、PATCH 操作はサポートされていません。 そのため、PATCH API メソッドの操作では、Azure portal 経由でタグを更新することはできません。 それらのリソースに対しては、代わりに update コマンドを使用してください。 たとえば、az network ip-group update コマンドを使用して、IP グループのタグを更新することができます。

• タグ名には、これらの文字を含めることはできません: <、>、%、&、\、?、/

  Note

  • Azure DNS ゾーンでは、タグの中でスペースやかっこを使用すること、あるいは数字で始まるタグを使用することがサポートされていません。 Azure DNS のタグ名では、特殊文字と Unicode 文字はサポートされていません。 値には、すべての文字を含めることができます。

  • Traffic Manager では、タグ名でのスペース、#、: の使用はサポートされていません。 タグ名の先頭を数字にすることはできません。

  • Azure Front Door では、タグ名に # または : を使用できません。

  • 次の Azure リソースでは、15 個のタグのみがサポートされています。

    • Azure Automation
    • Azure Content Delivery Network
    • Azure パブリック DNS (ゾーンと A レコード)
    • Azure プライベート DNS (ゾーンと A レコード)
    • Azure Log Analytics の保存した検索条件

次のステップ

タグの取り扱い方法の詳細については、以下を参照してください。

• Azure portal
• Azure CLI
• Azure PowerShell
• Python
• ARM テンプレート
• Bicep