AWS環境を運用していると、**「このリソース誰が作ったの?」**という問題はよく発生します。
この課題を放置すると、コスト管理が不透明になったり、不要なリソースが残り続けたりと、組織全体の運用効率に悪影響が出ます。
この記事では、IAMポリシーを使って、リソース作成時にタグ付けを強制し、作成者を明確化する方法を解説します。
Contents
🚨 よくある課題:作成者不明の「ゾンビリソース」
AWSで以下の経験はありませんか?
- Cost Explorer で「このVPC何?」と悩む
- セキュリティレビューで「作った人がわからない」
- 不要なリソースが放置され、毎月コストが発生
- 内部監査で説明責任が果たせない
これらはすべて、作成者をタグで管理できていないことが原因です。
🔑 解決策:IAMポリシーで「作成者タグ」を必須化する
VPCなどのリソースを作成する際、
Owner や CreatedBy のタグが必須になるよう IAMポリシーでガードレールを構築します。
1. IAMポリシーを作成する
JSONでIAMポリシーを作成します。
JSON
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSSSOAccessDeny",
"Effect": "Deny",
"Action": [
"organizations:*",
"sso:*",
"sso-directory:*"
],
"Resource": "*"
}
]
}2. 作成したIAMポリシーをユーザーまたはグループにアタッチする
作成したポリシーを対象ユーザー/グループにアタッチします。
すると、該当のユーザーまたはグループでタグなしで VPC を作成しようとした場合、以下のようにエラーとなり作成がブロックされます。
まとめ
AWSでの運用が成熟してくると、
「リソース作成者を必ずタグに残す」ガバナンスは必須になります。
今回紹介した IAM ポリシーを使えば:
- 作成者不明のリソースが消える
- コスト管理が明確になる
- セキュリティと監査対応が強化される
といった大きなメリットが得られます。